Bagikan melalui

Membuat aturan analitik terjadwal dari awal

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Anda telah menyiapkan konektor dan cara lain untuk mengumpulkan data aktivitas di seluruh estat digital Anda. Sekarang Anda perlu menggali semua data tersebut untuk mendeteksi pola aktivitas dan menemukan aktivitas yang tidak sesuai dengan pola tersebut dan yang dapat mewakili ancaman keamanan.

Microsoft Sentinel dan banyak solusinya yang disediakan di hub Konten menawarkan templat untuk jenis aturan analitik yang paling umum digunakan, dan Anda sangat dianjurkan untuk menggunakan templat tersebut, menyesuaikannya agar sesuai dengan skenario spesifik Anda. Tetapi ada kemungkinan Anda mungkin memerlukan sesuatu yang sama sekali berbeda, jadi dalam hal ini Anda dapat membuat aturan dari awal, menggunakan wizard aturan analitik.

Artikel ini menjelaskan proses pembuatan aturan analitik dari awal, termasuk menggunakan wizard aturan Analitik. Ini disertai dengan cuplikan layar dan petunjuk arah untuk mengakses wizard di portal Azure, untuk pengguna Microsoft Azure Sentinel yang tidak juga pelanggan Pertahanan Microsoft, dan portal Pertahanan, untuk pengguna platform operasi keamanan terpadu Pertahanan Microsoft.

Penting

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Prasyarat

  • Anda harus memiliki peran Kontributor Microsoft Azure Sentinel, atau peran atau sekumpulan izin lain yang menyertakan izin tulis di ruang kerja Analitik Log dan grup sumber dayanya.

  • Anda harus memiliki setidaknya pemahaman dasar tentang ilmu data dan analisis dan Bahasa Kueri Kusto.

  • Anda harus membiasakan diri dengan wizard aturan analitik dan semua opsi konfigurasi yang tersedia. Untuk informasi selengkapnya, lihat Aturan analitik terjadwal di Microsoft Azure Sentinel.

Mendesain dan menyusun kueri Anda

Sebelum melakukan hal lain, Anda harus merancang dan membuat kueri di Bahasa Kueri Kusto (KQL) yang akan digunakan aturan Anda untuk mengkueri satu atau beberapa tabel di ruang kerja Analitik Log Anda.

  1. Tentukan sumber data, atau sekumpulan sumber data, yang ingin Anda cari untuk mendeteksi aktivitas yang tidak biasa atau mencurigakan. Temukan nama tabel Analitik Log tempat data dari sumber tersebut diserap. Anda dapat menemukan nama tabel di halaman konektor data untuk sumber tersebut. Gunakan nama tabel ini (atau fungsi berdasarkan itu) sebagai dasar untuk kueri Anda.

  2. Tentukan jenis analisis apa yang Anda inginkan untuk dilakukan kueri ini pada tabel. Keputusan ini akan menentukan perintah dan fungsi mana yang harus Anda gunakan dalam kueri.

  3. Tentukan elemen data mana (bidang, kolom) yang Anda inginkan dari hasil kueri. Keputusan ini akan menentukan bagaimana Anda menyusun output kueri.

  4. Buat dan uji kueri Anda di layar Log . Saat Anda puas, simpan kueri untuk digunakan dalam aturan Anda.

Untuk beberapa tips bermanfaat untuk membuat kueri Kusto, lihat Praktik terbaik untuk kueri aturan analitik.

Untuk bantuan selengkapnya dalam membangun kueri Kusto, lihat Bahasa Kueri Kusto di Microsoft Azure Sentinel dan Praktik terbaik untuk kueri Bahasa Kueri Kusto.

Membuat aturan analitik Anda

Bagian ini menjelaskan cara membuat aturan menggunakan portal Azure atau Defender.

Mulai membuat aturan kueri terjadwal

Untuk memulai, buka halaman Analitik di Microsoft Azure Sentinel untuk membuat aturan analitik terjadwal.

  1. Untuk Microsoft Azure Sentinel di portal Azure, di bawah Konfigurasi, pilih Analitik.
    Untuk Microsoft Azure Sentinel di portal Pertahanan, pilih Microsoft Sentinel>Configuration>Analytics.

  2. Pilih +Buat dan pilih Aturan kueri terjadwal.

Beri nama aturan dan tentukan informasi umum

Dalam portal Azure, tahapan diwakili secara visual sebagai tab. Di portal Defender, mereka direpresentasikan secara visual sebagai tonggak pencapaian pada garis waktu.

  1. Masukkan informasi berikut untuk aturan Anda.

    Bidang KETERANGAN
    Nama Nama unik untuk aturan Anda.
    Keterangan Deskripsi teks bebas untuk aturan Anda.
    Keparahan Cocokkan dampak aktivitas yang memicu aturan mungkin pada lingkungan target, jika aturan tersebut benar-benar positif.

    Informasi: Tidak ada dampak pada sistem Anda, tetapi informasi tersebut mungkin menunjukkan langkah-langkah di masa mendatang yang direncanakan oleh pelaku ancaman.
    Rendah: Dampak langsung akan minimal. Aktor ancaman kemungkinan perlu melakukan beberapa langkah sebelum mencapai dampak pada lingkungan.
    Sedang: Pelaku ancaman dapat berdampak pada lingkungan dengan aktivitas ini, tetapi akan dibatasi dalam cakupan atau memerlukan aktivitas tambahan.
    Tinggi: Aktivitas yang diidentifikasi memberi pelaku ancaman akses yang luas untuk melakukan tindakan pada lingkungan atau dipicu oleh dampak pada lingkungan.
    MITRE ATT&CK Pilih aktivitas ancaman yang berlaku untuk aturan Anda. Pilih dari antara taktik dan teknik MITRE ATT&CK yang disajikan dalam daftar drop-down. Anda dapat membuat beberapa pilihan.

    Untuk informasi selengkapnya tentang memaksimalkan cakupan lanskap ancaman MITRE ATT&CK Anda, lihat Memahami cakupan keamanan oleh kerangka kerja MITRE ATT&CKĀ®.
    Keadaan Diaktifkan: Aturan berjalan segera setelah pembuatan, atau pada tanggal dan waktu tertentu yang Anda pilih untuk menjadwalkannya (saat ini dalam PRATINJAU).
    Dinonaktifkan: Aturan dibuat tetapi tidak berjalan. Aktifkan nanti dari tab Aturan aktif saat Anda membutuhkannya.

  2. Pilih Berikutnya: Setel logika aturan >.

Menentukan logika aturan

Langkah selanjutnya adalah mengatur logika aturan yang mencakup penambahan kueri Kusto yang Anda buat.

  1. Masukkan kueri aturan dan konfigurasi penyempurnaan pemberitahuan.

    Pengaturan Deskripsi
    Kueri aturan Tempelkan kueri yang Anda rancang, buat, dan uji ke jendela Kueri aturan. Setiap perubahan yang Anda buat di jendela ini langsung divalidasi, jadi jika ada kesalahan, Anda akan melihat indikasi tepat di bawah jendela.
    Entitas peta Perluas pemetaan Entitas dan tentukan hingga 10 jenis entitas yang dikenali oleh Microsoft Sentinel ke bidang dalam hasil kueri Anda. Pemetaan ini mengintegrasikan entitas yang diidentifikasi ke dalam bidang Entitas dalam skema pemberitahuan Anda.

    Untuk petunjuk lengkap tentang pemetaan entitas, lihat Memetakan bidang data ke entitas di Microsoft Azure Sentinel.
    Memunculkan detail kustom dalam pemberitahuan Anda Perluas Detail kustom dan tentukan bidang apa pun dalam hasil kueri yang ingin Anda munculkan di pemberitahuan Anda sebagai detail kustom. Bidang-bidang ini juga muncul dalam insiden apa pun yang dihasilkan.

    Untuk instruksi lengkap tentang memunculkan detail kustom, lihat Memunculkan detail peristiwa kustom di pemberitahuan di Microsoft Azure Sentinel.
    Menyesuaikan detail pemberitahuan Perluas detail Pemberitahuan dan sesuaikan properti pemberitahuan standar lainnya sesuai dengan konten berbagai bidang di setiap pemberitahuan individu. Misalnya, sesuaikan nama atau deskripsi pemberitahuan untuk menyertakan nama pengguna atau alamat IP yang ditampilkan dalam pemberitahuan.

    Untuk instruksi lengkap tentang menyesuaikan detail pemberitahuan, lihat Menyesuaikan detail pemberitahuan di Microsoft Azure Sentinel.

  2. Jadwalkan dan cakupan kueri. Atur parameter berikut di bagian Penjadwalan kueri:

    Pengaturan Deskripsi /Opsi
    Jalankan kueri setiap Mengontrol interval kueri: seberapa sering kueri dijalankan.
    Rentang yang diizinkan: 5 menit hingga 14 hari.
    Data pencarian dari yang terakhir Menentukan periode lookback: periode waktu yang dicakup oleh kueri.
    Rentang yang diizinkan: 5 menit hingga 14 hari.
    Harus lebih panjang dari atau sama dengan interval kueri.
    Mulai menjalankan Secara otomatis: Aturan akan berjalan untuk pertama kalinya segera setelah dibuat, dan setelah itu pada interval kueri.
    Pada waktu tertentu (Pratinjau): Atur tanggal dan waktu aturan untuk pertama kali dijalankan, setelah itu aturan akan berjalan pada interval kueri.
    Rentang yang diizinkan: 10 menit hingga 30 hari setelah waktu pembuatan aturan (atau pengaktifan).

  3. Atur ambang batas untuk membuat pemberitahuan.

    Gunakan bagian Ambang pemberitahuan untuk menentukan tingkat sensitivitas aturan. Misalnya, tetapkan ambang minimum 100:

    Pengaturan Deskripsi
    Hasilkan pemberitahuan saat jumlah hasil kueri Lebih besar dari
    Jumlah peristiwa 100

    Jika Anda tidak ingin mengatur ambang batas, masukkan 0 di bidang angka.

  4. Atur pengaturan pengelompokan peristiwa.

    Di bagian Pengelompokan peristiwa, pilih salah satu dari dua cara untuk menangani pengelompokan peristiwa ke pemberitahuan:

    Pengaturan Perilaku
    Mengelompokkan semua peristiwa ke dalam satu pemberitahuan
    (default)    		 Aturan membuat satu pemberitahuan setiap kali dijalankan, selama kueri menampilkan lebih banyak hasil daripada ambang peringatan yang ditentukan di atas. Pemberitahuan tunggal ini meringkas semua peristiwa yang dikembalikan dalam hasil kueri.
    Memicu pemberitahuan untuk setiap peristiwa Aturan membuat pemberitahuan unik untuk setiap peristiwa yang ditampilkan oleh kueri. Ini berguna jika Anda ingin peristiwa ditampilkan satu per satu, atau jika Anda ingin mengelompokkannya berdasarkan parameter tertentuā€”menurut pengguna, nama host, atau sesuatu yang lain. Anda bisa menentukan parameter ini dalam kueri.

  5. Sembunyikan aturan untuk sementara setelah pemberitahuan dibuat.

    Untuk menekan aturan di luar waktu proses berikutnya jika pemberitahuan dibuat, aktifkan pengaturan Hentikan kueri yang sedang berjalan setelah pemberitahuan dibuat Aktif. Jika Anda mengaktifkannya, atur Hentikan kueri yang sedang berjalan hingga jumlah waktu kueri harus berhenti berjalan, hingga 24 jam.

  6. Simulasikan hasil pengaturan kueri dan logika.

    Di area Simulasi hasil, pilih Uji dengan data saat ini untuk melihat seperti apa hasil aturan Anda jika telah berjalan pada data Anda saat ini. Microsoft Azure Sentinel mensimulasikan menjalankan aturan 50 kali pada data saat ini, menggunakan jadwal yang ditentukan, dan menunjukkan grafik hasil (peristiwa log). Jika Anda mengubah kueri, pilih lagi Uji dengan data saat ini untuk memperbarui grafik. Grafik memperlihatkan jumlah hasil selama periode waktu yang ditentukan oleh pengaturan di bagian Penjadwalan kueri .

  7. Pilih Berikutnya: Pengaturan insiden.

Mengonfigurasi pengaturan pembuatan insiden

Di tab Pengaturan insiden, pilih apakah Microsoft Azure Sentinel mengubah pemberitahuan menjadi insiden yang dapat ditindaklanjuti, dan apakah dan bagaimana pemberitahuan dikelompokkan bersama dalam insiden.

  1. Aktifkan pembuatan insiden.

    Di bagian Pengaturan insiden, Buat insiden dari pemberitahuan yang dipicu oleh aturan analitik ini diatur secara default ke Aktif, yang berarti bahwa Microsoft Azure Sentinel akan membuat satu insiden terpisah dari masing-masing dan setiap pemberitahuan yang dipicu oleh aturan.

    • Jika Anda tidak ingin aturan ini menghasilkan pembuatan insiden apa pun (misalnya, jika aturan ini hanya untuk mengumpulkan informasi untuk analisis berikutnya), atur ini ke Nonaktif.

      Penting

      Jika Anda melakukan onboarding Microsoft Sentinel ke platform operasi keamanan terpadu di portal Pertahanan Microsoft, biarkan pengaturan ini Diaktifkan.

    • Jika Anda ingin satu insiden dibuat dari sekelompok pemberitahuan, bukan satu untuk setiap pemberitahuan, lihat bagian berikutnya.

  2. Atur pengaturan pengelompokan pemberitahuan.

    Di bagian Pengelompokan pemberitahuan, jika Anda ingin satu insiden dibuat dari grup hingga 150 pemberitahuan serupa atau berulang (lihat catatan), atur Pemberitahuan terkait grup, yang dipicu oleh aturan analitik ini, ke dalam insiden ke Diaktifkan, dan atur parameter berikut.

    1. Batasi grup ke pemberitahuan yang dibuat dalam jangka waktu yang dipilih: Atur jangka waktu di mana pemberitahuan serupa atau berulang dikelompokkan bersama-sama. Pemberitahuan di luar jangka waktu ini menghasilkan insiden atau serangkaian insiden terpisah.

    2. Pemberitahuan grup yang dipicu oleh aturan analitik ini ke dalam satu insiden dengan: Pilih cara pemberitahuan dikelompokkan bersama:

      Opsi Deskripsi
      Pemberitahuan grup menjadi satu insiden jika semua entitas cocok Pemberitahuan dikelompokkan bersama jika memiliki nilai yang identik untuk setiap entitas yang dipetakan (ditentukan dalam tab Atur logika aturan di atas). Ini adalah pengaturan yang direkomendasikan.
      Mengelompokkan semua pemberitahuan yang dipicu oleh aturan ini ke dalam satu insiden Semua pemberitahuan yang dibuat oleh aturan ini dikelompokkan bersama-sama meskipun tidak memiliki nilai yang identik.
      Mengelompokkan pemberitahuan ke dalam satu insiden jika entitas dan detail yang dipilih cocok Pemberitahuan dikelompokkan bersama jika memiliki nilai yang identik untuk semua entitas yang dipetakan, detail pemberitahuan, dan detail kustom yang dipilih dari daftar drop-down masing-masing.

    3. Buka kembali insiden pencocokan tertutup: Jika insiden telah diselesaikan dan ditutup, dan kemudian pemberitahuan lain dibuat yang seharusnya milik insiden itu, atur pengaturan ini ke Diaktifkan jika Anda ingin insiden tertutup dibuka kembali, dan biarkan sebagai Dinonaktifkan jika ingin pemberitahuan untuk membuat insiden baru.

    Catatan

    Hingga 150 peringatan bisa dikelompokkan ke dalam satu insiden.

    • Insiden hanya akan dibuat setelah semua pemberitahuan dibuat. Semua pemberitahuan akan ditambahkan ke insiden segera setelah pembuatannya.

    • Jika lebih dari 150 pemberitahuan dibuat oleh aturan yang mengelompokkannya menjadi satu insiden, insiden baru akan dibuat dengan detail insiden yang sama dengan aslinya, dan pemberitahuan berlebih akan dikelompokkan ke dalam insiden baru.

  3. Pilih Berikutnya: Respons otomatis.

Meninjau atau menambahkan respons otomatis

  1. Di tab Respons otomatis, lihat aturan otomatisasi yang ditampilkan dalam daftar. Jika Anda ingin menambahkan respons apa pun yang belum tercakup oleh aturan yang ada, Anda memiliki dua pilihan:

    • Edit aturan yang sudah ada jika Anda ingin respons tambahan diterapkan ke banyak atau semua aturan.
    • Pilih Tambahkan baru untuk membuat aturan otomatisasi baru yang hanya akan berlaku untuk aturan analitik ini.

    Untuk mempelajari selengkapnya tentang apa yang dapat Anda gunakan aturan otomatisasi, lihat Mengotomatiskan respons ancaman di Microsoft Azure Sentinel dengan aturan otomatisasi

    • Di bawah Otomatisasi pemberitahuan (klasik) di bagian bawah layar, Anda akan melihat playbook apa pun yang telah Dikonfigurasi untuk berjalan secara otomatis saat pemberitahuan dibuat menggunakan metode lama.

      • Pada Juni 2023, Anda tidak dapat lagi menambahkan playbook ke daftar ini. Playbook yang sudah tercantum di sini akan terus berjalan sampai metode ini tidak digunakan lagi, efektif Maret 2026.

      • Jika Anda masih memiliki playbook yang tercantum di sini, Anda harus membuat aturan otomatisasi berdasarkan pemicu yang dibuat pemberitahuan dan memanggil playbook dari aturan otomatisasi. Setelah Anda melakukannya, pilih elipsis di akhir baris playbook yang tercantum di sini, dan pilih Hapus. Lihat Memigrasikan playbook pemicu pemberitahuan Microsoft Azure Sentinel Anda ke aturan otomatisasi untuk instruksi lengkap.

  1. Pilih Berikutnya: Tinjau dan buat untuk meninjau semua pengaturan untuk aturan analitik baru Anda.

Memvalidasi konfigurasi dan membuat aturan

  1. Saat pesan "Validasi lulus" muncul, pilih Buat.

  2. Jika kesalahan muncul sebagai gantinya, temukan dan pilih X merah pada tab di wizard tempat kesalahan terjadi.

  3. Koreksi kesalahan dan kembali ke tab Tinjau dan buat untuk menjalankan validasi lagi.

Menampilkan aturan dan outputnya

Menampilkan definisi aturan

Anda bisa menemukan aturan kustom yang baru dibuat (jenis "Terjadwal") dalam tabel di bawah tab Aturan aktif di layar Analitik utama. Dari daftar ini Anda bisa mengaktifkan, menonaktifkan, atau menghapus setiap aturan.

Menampilkan hasil aturan

Untuk melihat hasil aturan analitik yang Anda buat di portal Azure, buka halaman Insiden, tempat Anda dapat melakukan triase insiden, menyelidikinya, dan memulihkan ancaman.

Cuplikan layar halaman insiden di portal Azure.

Menyetel aturan

Catatan

Pemberitahuan yang dibuat di Microsoft Azure Sentinel tersedia melalui Microsoft Graph Security. Untuk mengetahui informasi selengkapnya, lihat dokumentasi pemberitahuan Keamanan Microsoft Graph.

Mengekspor aturan ke templat ARM

Jika Anda ingin mengemas aturan Anda untuk dikelola dan disebarkan sebagai kode, Anda bisa dengan mudah mengekspor aturan ke templat Azure Resource Manager (ARM). Anda juga bisa mengimpor aturan dari file templat untuk menampilkan dan mengeditnya di antarmuka pengguna.

Langkah berikutnya

Saat menggunakan aturan analitik untuk mendeteksi ancaman dari Microsoft Azure Sentinel, pastikan Anda mengaktifkan semua aturan yang terkait dengan sumber data yang terhubung untuk memastikan cakupan keamanan penuh untuk lingkungan Anda.

Untuk mengotomatiskan pengaktifan aturan, dorong aturan ke Microsoft Azure Sentinel melalui API dan PowerShell, meskipun melakukannya memerlukan upaya tambahan. Saat menggunakan API atau PowerShell, Anda harus terlebih dahulu mengekspor aturan ke JSON sebelum mengaktifkan aturan. API atau PowerShell dapat berguna saat mengaktifkan aturan di beberapa instans Microsoft Azure Sentinel dengan pengaturan yang identik di setiap instans.

Untuk informasi selengkapnya, lihat:

Selain itu, pelajari contoh penggunaan aturan analitik kustom saat memantau Zoom dengan konektor kustom.