Panduan penyebaran untuk Microsoft Azure Sentinel
Artikel ini memperkenalkan aktivitas yang membantu Anda merencanakan, menyebarkan, dan menyempurnakan penyebaran Microsoft Azure Sentinel Anda.
Merencanakan dan menyiapkan gambaran umum
Bagian ini memperkenalkan aktivitas dan prasyarat yang membantu Anda merencanakan dan mempersiapkan sebelum menyebarkan Microsoft Azure Sentinel.
Fase rencana dan persiapan biasanya dilakukan oleh arsitek SOC atau peran terkait.
| Langkah | Detail |
|---|---|
| 1. Merencanakan dan menyiapkan gambaran umum dan prasyarat | Tinjau prasyarat penyewa Azure. |
| 2. Merencanakan arsitektur ruang kerja | Mendesain arsitektur ruang kerja Microsoft Sentinel Anda. Pertimbangkan parameter seperti: - Apakah Anda akan menggunakan satu penyewa atau beberapa penyewa - Persyaratan kepatuhan apa pun yang Anda miliki untuk pengumpulan dan penyimpanan data - Cara mengontrol akses ke data Microsoft Azure Sentinel Tinjau artikel ini: 1. Tinjau praktik terbaik 2. Desain arsitektur ruang kerja 3. Tinjau sampel desain ruang kerja 4. Bersiaplah untuk beberapa ruang kerja |
| 3. Prioritaskan konektor data | Tentukan sumber data mana yang Anda butuhkan dan persyaratan ukuran data untuk membantu Anda memproyeksikan anggaran dan garis waktu penyebaran Anda secara akurat. Anda dapat menentukan informasi ini selama tinjauan kasus penggunaan bisnis Anda, atau dengan mengevaluasi SIEM saat ini yang sudah Anda miliki. Jika SIEM sudah terinstal, lakukan analisis pada data Anda untuk memahami sumber data mana yang memberikan nilai paling banyak dan harus masuk ke Microsoft Sentinel. |
| 4. Merencanakan peran dan izin | Gunakan kontrol akses berbasis peran Azure (RBAC) untuk membuat dan menetapkan peran dalam tim operasi keamanan Anda untuk memberikan akses yang sesuai ke Microsoft Azure Sentinel. Masing-masing peran memberi Anda kontrol khusus atas apa yang dapat dilihat dan dilakukan pengguna Microsoft Sentinel. Peran Azure dapat ditetapkan di ruang kerja Microsoft Azure Sentinel secara langsung, atau dalam langganan atau grup sumber daya tempat ruang kerja berada, yang diwarisi Microsoft Azure Sentinel. |
| 5. Biaya paket | Mulai rencanakan anggaran Anda, pertimbangkan implikasi biaya untuk setiap skenario yang direncanakan. Pastikan anggaran Anda mencakup biaya konsumsi data untuk Microsoft Sentinel dan Azure Log Analytics, setiap playbook yang akan disebarkan, dan sebagainya. |
Ringkasan penyebaran
Fase penyebaran biasanya dilakukan oleh analis SOC atau peran terkait.
| Langkah | Detail |
|---|---|
| 1. Aktifkan Microsoft Azure Sentinel, kesehatan dan audit, dan konten | Aktifkan Microsoft Azure Sentinel, aktifkan fitur kesehatan dan audit, dan aktifkan solusi dan konten yang telah Anda identifikasi sesuai dengan kebutuhan organisasi Anda. |
| 2. Mengonfigurasi konten | Konfigurasikan berbagai jenis konten keamanan Microsoft Azure Sentinel, yang memungkinkan Anda mendeteksi, memantau, dan merespons ancaman keamanan di seluruh sistem Anda: Konektor data, aturan analitik, aturan otomatisasi, playbook, buku kerja, dan daftar tonton. |
| 3. Menyiapkan arsitektur lintas ruang kerja | Jika lingkungan Anda memerlukan beberapa ruang kerja, Anda sekarang dapat menyiapkannya sebagai bagian dari penyebaran Anda. Dalam artikel ini, Anda mempelajari cara menyiapkan Microsoft Azure Sentinel untuk memperluas di beberapa ruang kerja dan penyewa. |
| 4. Aktifkan Analitik Perilaku Pengguna dan Entitas (UEBA) | Aktifkan dan gunakan fitur UEBA untuk menyederhanakan proses analisis. |
| 5. Menyiapkan retensi dan arsip data | Siapkan retensi dan arsip data, untuk memastikan organisasi Anda menyimpan data yang penting dalam jangka panjang. |
Menyempurnakan dan meninjau: Daftar periksa untuk pasca-penyebaran
Tinjau daftar periksa pasca-penyebaran untuk membantu Anda memastikan bahwa proses penyebaran Anda berfungsi seperti yang diharapkan, dan bahwa konten keamanan yang Anda sebarkan berfungsi dan melindungi organisasi Anda sesuai dengan kebutuhan dan kasus penggunaan Anda.
Fase penyetelan dan peninjauan halus biasanya dilakukan oleh teknisi SOC atau peran terkait.
| Langkah | Tindakan |
|---|---|
| ✅Meninjau insiden dan proses insiden | - Periksa apakah insiden dan jumlah insiden yang Anda lihat mencerminkan apa yang sebenarnya terjadi di lingkungan Anda. - Periksa apakah proses insiden SOC Anda bekerja untuk menangani insiden secara efisien: Apakah Anda menetapkan berbagai jenis insiden ke lapisan/tingkatan SOC yang berbeda? Pelajari selengkapnya tentang cara menavigasi dan menyelidiki insiden dan cara bekerja dengan tugas insiden. |
| ✅Meninjau dan menyempurnakan aturan analitik | - Berdasarkan ulasan insiden Anda, periksa apakah aturan analitik Anda dipicu seperti yang diharapkan, dan apakah aturan mencerminkan jenis insiden yang Anda minati. - Tangani positif palsu, baik dengan menggunakan otomatisasi atau dengan memodifikasi aturan analitik terjadwal. - Microsoft Sentinel menyediakan kemampuan penyempurnaan bawaan untuk membantu Anda menganalisis aturan analitik Anda. Tinjau wawasan bawaan ini dan terapkan rekomendasi yang relevan. |
| ✅Meninjau aturan otomatisasi dan playbook | - Mirip dengan aturan analitik, periksa apakah aturan otomatisasi Anda berfungsi seperti yang diharapkan, dan mencerminkan insiden yang Anda khawatirkan dan minati. - Periksa apakah playbook Anda merespons pemberitahuan dan insiden seperti yang diharapkan. |
| ✅Menambahkan data ke daftar pengawasan | Periksa apakah daftar tonton Anda sudah diperbarui. Jika ada perubahan yang terjadi di lingkungan Anda, seperti pengguna baru atau kasus penggunaan, perbarui daftar tonton Anda yang sesuai. |
| ✅Meninjau tingkat komitmen | Tinjau tingkat komitmen yang awalnya Anda siapkan, dan verifikasi bahwa tingkatan ini mencerminkan konfigurasi Anda saat ini. |
| ✅Melacak biaya penyerapan | Untuk melacak biaya penyerapan, gunakan salah satu buku kerja ini: - Buku kerja Laporan Penggunaan Ruang Kerja menyediakan konsumsi data, biaya, dan statistik penggunaan ruang kerja Anda. Buku kerja memberikan status penggunaan data ruang kerja dan jumlah data gratis dan dapat ditagih. Anda bisa menggunakan logika buku kerja untuk memantau penggunaan dan biaya data, serta menyusun tampilan kustom dan pemberitahuan berbasis aturan. - Buku kerja Biaya Microsoft Azure Sentinel memberikan tampilan biaya Microsoft Azure Sentinel yang lebih terfokus, termasuk data penyerapan dan retensi, data penyerapan untuk sumber data yang memenuhi syarat, informasi penagihan Logic Apps, dan banyak lagi. |
| ✅Menyempurnakan Aturan Pengumpulan Data (DCR) | - Periksa apakah DCR Anda mencerminkan kebutuhan penyerapan data dan kasus penggunaan Anda. - Jika diperlukan, terapkan transformasi waktu penyerapan untuk memfilter data yang tidak relevan bahkan sebelum pertama kali disimpan di ruang kerja Anda. |
| ✅Memeriksa aturan analitik terhadap kerangka kerja MITRE | Periksa cakupan MITRE Anda di halaman MICROSOFT Sentinel MITRE: Lihat deteksi yang sudah aktif di ruang kerja Anda, dan yang tersedia untuk Anda konfigurasi, untuk memahami cakupan keamanan organisasi Anda, berdasarkan taktik dan teknik dari kerangka kerja MITRE ATT&CK®. |
| ✅Berburu aktivitas mencurigakan | Pastikan SOC Anda memiliki proses untuk perburuan ancaman proaktif. Perburuan adalah proses di mana analis keamanan mencari ancaman yang tidak terdeteksi dan perilaku jahat. Dengan membuat hipotesis, mencari melalui data, dan memvalidasi hipotesis tersebut, mereka menentukan apa yang harus ditindaklanjuti. Tindakan dapat mencakup pembuatan deteksi baru, inteligensi ancaman baru, atau memutar insiden baru. |
Artikel terkait
Dalam artikel ini, Anda meninjau aktivitas di setiap fase yang membantu Anda menyebarkan Microsoft Azure Sentinel.
Bergantung pada fase mana Anda berada, pilih langkah berikutnya yang sesuai:
- Rencanakan dan siapkan - Prasyarat untuk menyebarkan Azure Sentinel
- Menyebarkan - Mengaktifkan Microsoft Azure Sentinel dan fitur dan konten awal
- Menyempurnakan dan meninjau - Menavigasi dan menyelidiki insiden di Microsoft SentinelNavigasikan dan selidiki insiden di Microsoft Azure Sentinel
Setelah selesai dengan penyebaran Microsoft Azure Sentinel, lanjutkan menjelajahi kemampuan Microsoft Azure Sentinel dengan meninjau tutorial yang mencakup tugas umum:
- Meneruskan data Syslog ke ruang kerja Analitik Log dengan Microsoft Azure Sentinel dengan menggunakan Agen Azure Monitor
- Mengonfigurasi kebijakan retensi data
- Mendeteksi ancaman menggunakan aturan analitik
- Memeriksa dan merekam informasi reputasi alamat IP secara otomatis dalam insiden
- Menanggapi ancaman menggunakan otomatisasi
- Mengekstrak entitas insiden dengan tindakan non-asli
- Selidiki dengan UEBA
- Membangun dan memantau Zero Trust