Membuat insiden sendiri secara manual di Microsoft Sentinel

Penting

Pembuatan insiden manual, menggunakan portal atau Logic Apps, saat ini dalam PRATINJAU. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Pembuatan insiden manual umumnya tersedia menggunakan API.

Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Dengan Microsoft Azure Sentinel sebagai solusi informasi keamanan dan manajemen peristiwa (SIEM), aktivitas deteksi dan respons ancaman operasi keamanan Anda berpusat pada insiden yang Anda selidiki dan diperbaiki. Insiden ini memiliki dua sumber utama:

• Mereka dihasilkan secara otomatis saat mekanisme deteksi beroperasi pada log dan pemberitahuan yang diserap Microsoft Azure Sentinel dari sumber data yang terhubung.

• Mereka diserap langsung dari layanan keamanan Microsoft lain yang terhubung (seperti Microsoft Defender XDR) yang membuatnya.

Namun, data ancaman juga dapat berasal dari sumber lain yang tidak diserap ke Microsoft Sentinel, atau peristiwa yang tidak dicatat dalam log apa pun, namun dapat membenarkan pembukaan penyelidikan. Misalnya, karyawan mungkin melihat orang yang tidak dikenali terlibat dalam aktivitas mencurigakan yang terkait dengan aset informasi organisasi Anda. Karyawan ini mungkin memanggil atau mengirim email ke pusat operasi keamanan (SOC) untuk melaporkan aktivitas.

Microsoft Azure Sentinel memungkinkan analis keamanan Anda membuat insiden secara manual untuk semua jenis peristiwa, terlepas dari sumber atau datanya, sehingga Anda tidak ketinggalan untuk menyelidiki jenis ancaman yang tidak biasa ini.

Kasus penggunaan umum

Membuat insiden untuk peristiwa yang dilaporkan

Ini adalah skenario yang dijelaskan dalam pengenalan di atas.

Membuat insiden peristiwa dari sistem eksternal

Buat insiden berdasarkan peristiwa dari sistem yang log-nya tidak diserap ke Microsoft Sentinel. Misalnya, kampanye phishing berbasis SMS dapat menggunakan branding dan tema perusahaan organisasi Anda untuk menargetkan perangkat seluler pribadi karyawan. Anda mungkin ingin menyelidiki serangan seperti itu, dan Anda dapat membuat insiden di Microsoft Azure Sentinel sehingga Anda memiliki platform untuk mengelola penyelidikan Anda, untuk mengumpulkan dan mencatat bukti, dan untuk merekam respons dan tindakan mitigasi Anda.

Membuat insiden berdasarkan hasil perburuan

Buat insiden berdasarkan hasil aktivitas perburuan yang diamati. Misalnya, saat perburuan ancaman dalam konteks penyelidikan tertentu (atau sendiri), Anda mungkin menemukan bukti ancaman yang sama sekali tidak terkait yang menjamin penyelidikan terpisahnya sendiri.

Membuat insiden secara manual

Ada tiga cara untuk membuat insiden secara manual:

• Membuat insiden menggunakan portal Azure
• Buat insiden menggunakan Azure Logic Apps, menggunakan pemicu Insiden Microsoft Sentinel.
• Buat insiden menggunakan Microsoft Sentinel API, melalui grup operasi Insiden. Ini memungkinkan Anda mendapatkan, membuat, memperbarui, dan menghapus insiden.

Setelah onboarding Microsoft Sentinel ke platform operasi keamanan terpadu di portal Pertahanan Microsoft, insiden yang dibuat secara manual tidak akan disinkronkan dengan platform terpadu, meskipun mereka masih dapat dilihat dan dikelola di Microsoft Azure Sentinel di portal Azure, dan melalui Logic Apps dan API.

Membuat insiden menggunakan portal Azure

1. Pilih Microsoft Sentinel dan pilih ruang kerja Anda.

2. Dari menu navigasi Microsoft Sentinel, pilih Insiden.

3. Pada halaman Insiden, pilih + Buat insiden (Pratinjau) dari bilah tombol.

   

   Panel Buat insiden (Pratinjau) akan terbuka di sisi kanan layar.

   

4. Isi bidang di panel yang sesuai.

   • Judul

     • Masukkan judul yang Anda pilih untuk insiden tersebut. Insiden akan muncul dalam antrean dengan judul ini.
     • Harus diisi. Teks bebas dengan panjang tak terbatas. Spasi akan dipangkas.

   • Keterangan

     • Masukkan informasi deskriptif tentang insiden tersebut, termasuk detail seperti asal insiden, entitas apa pun yang terlibat, kaitannya dengan peristiwa lain, pihak yang diberitahu, dan sebagainya.
     • Opsional. Teks bebas hingga 5000 karakter.

   • Keparahan

     • Pilih tingkat keparahan dari daftar drop-down. Semua tingkat keparahan yang didukung Microsoft Sentinel tersedia.
     • Harus diisi. Defaultnya adalah "Sedang".

   • Keadaan

     • Pilih status dari daftar drop-down. Semua status yang didukung Microsoft Sentinel tersedia.
     • Harus diisi. Defaultnya adalah "Baru".
     • Anda dapat membuat insiden dengan status "tertutup", lalu membukanya secara manual untuk membuat perubahan dan memilih status yang berbeda. Memilih "tertutup" dari drop-down akan mengaktifkan bidang alasan klasifikasi bagi Anda untuk memilih alasan menutup insiden dan menambahkan komentar.

   • Pemilik

     • Pilih dari pengguna atau grup yang tersedia di penyewa Anda. Ketik nama untuk mencari pengguna dan grup. Pilih bidang (klik atau ketuk) untuk menampilkan daftar saran. Pilih "tetapkan kepada saya" di bagian atas daftar untuk menetapkan insiden ke diri Anda sendiri.
     • Opsional.

   • Tag

     • Gunakan tag untuk mengklasifikasikan insiden serta untuk memfilter dan menemukannya dalam antrean.
     • Buat tag dengan memilih ikon tanda plus, memasukkan teks dalam kotak dialog, dan memilih Oke. Penyelesaian otomatis akan menyarankan tag yang digunakan dalam ruang kerja selama dua minggu sebelumnya.
     • Opsional. Teks bebas.

5. Pilih Buat di bagian bawah panel. Setelah beberapa detik, insiden akan dibuat lalu muncul di antrean insiden.

   Jika Anda menetapkan insiden dengan status "Tertutup", insiden tersebut tidak akan muncul dalam antrean hingga Anda mengubah filter status untuk menampilkan insiden tertutup. Filter diatur secara default untuk hanya menampilkan insiden dengan status "Baru" atau "Aktif".

Pilih insiden dalam antrean untuk melihat detail lengkapnya, menambahkan marka buku, mengubah pemilik dan statusnya, dan banyak lagi.

Jika karena alasan tertentu Anda berubah pikiran setelah membuat insiden, Anda dapat menghapusnya dari kisi antrean, atau dari dalam insiden itu sendiri.

Membuat insiden menggunakan Azure Logic Apps

Membuat insiden juga tersedia sebagai tindakan Logic Apps di konektor Microsoft Sentinel, serta di playbook Microsoft Sentinel.

Anda dapat menemukan tindakan Buat insiden (pratinjau) di skema playbook untuk pemicu insiden.

Anda perlu menyediakan parameter seperti yang dijelaskan di bawah:

• Pilih Langganan, Grup sumber daya, dan Nama ruang kerja Anda dari setiap menu drop-down.

• Untuk bidang yang tersisa, lihat penjelasan di atas (pada Membuat insiden menggunakan portal Azure).

  

Microsoft Sentinel menyediakan beberapa contoh template playbook yang menunjukkan cara menggunakan kemampuan ini:

• Membuat insiden dengan Microsoft Form
• Membuat insiden dari kotak masuk email bersama

Anda dapat menemukannya di galeri templat playbook di halaman Otomatisasi Microsoft Sentinel.

Membuat insiden menggunakan API Microsoft Sentinel

Grup operasi Insiden memungkinkan Anda tidak hanya membuat, tetapi juga memperbarui (mengedit), mendapatkan (mengambil), mencantumkan, dan menghapus insiden.

Buat insiden menggunakan titik akhir berikut. Setelah permintaan ini dibuat, insiden akan terlihat dalam antrean insiden di portal.

PUT https://management.azure.com/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.OperationalInsights/workspaces/{workspaceName}/providers/Microsoft.SecurityInsights/incidents/{incidentId}?api-version=2022-07-01-preview

Berikut adalah contoh seperti apa isi permintaannya:

{
  "etag": "\"0300bf09-0000-0000-0000-5c37296e0000\"",
  "properties": {
    "lastActivityTimeUtc": "2019-01-01T13:05:30Z",
    "firstActivityTimeUtc": "2019-01-01T13:00:30Z",
    "description": "This is a demo incident",
    "title": "My incident",
    "owner": {
      "objectId": "2046feea-040d-4a46-9e2b-91c2941bfa70"
    },
    "severity": "High",
    "classification": "FalsePositive",
    "classificationComment": "Not a malicious activity",
    "classificationReason": "IncorrectAlertLogic",
    "status": "Closed"
  }
}

Catatan

• Insiden yang dibuat secara manual tidak berisi entitas atau pemberitahuan apa pun. Oleh karena itu, tab Pemberitahuan di halaman insiden akan tetap kosong hingga Anda menghubungkan pemberitahuan yang ada dengan insiden Anda.

  Tab Entitas juga akan tetap kosong, karena menambahkan entitas langsung ke insiden yang dibuat secara manual saat ini tidak didukung. (Jika Anda menghubungkan pemberitahuan dengan insiden ini, entitas dari pemberitahuan akan muncul dalam insiden.)

• Insiden yang dibuat secara manual juga tidak akan menampilkan Nama produk apa pun dalam antrean.

• Antrean insiden difilter secara default untuk hanya menampilkan insiden dengan status "Baru" atau "Aktif". Jika Anda membuat insiden dengan status "Tertutup", insiden tersebut tidak akan muncul dalam antrean hingga Anda mengubah filter status untuk menampilkan insiden tertutup juga.

Langkah berikutnya

Untuk informasi selengkapnya, lihat:

• Menghubungkan pemberitahuan dengan insiden di Microsoft Azure Sentinel
• Menghapus insiden di Microsoft Sentinel
• Selidiki insiden dengan Microsoft Sentinel
• Membuat aturan analitik kustom untuk mendeteksi ancaman