Menavigasi dan menyelidiki insiden di Microsoft Azure Sentinel

Artikel
06/01/2023

Microsoft Azure Sentinel memberi Anda platform manajemen kasus berformat lengkap untuk menyelidiki insiden keamanan. Halaman Detail insiden adalah lokasi pusat Anda untuk menjalankan investigasi Anda, mengumpulkan semua informasi yang relevan dan semua alat dan tugas yang berlaku dalam satu layar.

Artikel ini membawa Anda melalui semua panel dan opsi yang tersedia di halaman detail insiden, membantu Anda menavigasi dan menyelidiki insiden Anda dengan lebih cepat, efektif, dan efisien, dan mengurangi waktu rata-rata Anda untuk menyelesaikan (MTTR).

Lihat instruksi untuk penyelidikan insiden versi sebelumnya.

Insiden adalah file kasus Anda yang berisi agregasi semua bukti yang relevan untuk penyelidikan tertentu. Setiap insiden dibuat (atau ditambahkan ke) berdasarkan potongan bukti (pemberitahuan) yang dihasilkan oleh aturan analitik atau diimpor dari produk keamanan pihak ketiga yang menghasilkan pemberitahuan mereka sendiri. Insiden mewarisi entitas yang terkandung dalam pemberitahuan, serta properti pemberitahuan, seperti tingkat keparahan, status, dan taktik dan teknik MITRE ATT&CK.

Prasyarat

Penetapan peran Penanggap Microsoft Sentinel diperlukan untuk menyelidiki insiden.

Pelajari selengkapnya tentang peran di Microsoft Azure Sentinel.
Jika Anda memiliki pengguna tamu yang perlu menetapkan insiden, pengguna harus diberi peran Pembaca Direktori di penyewa Microsoft Entra Anda. Pengguna reguler (non-tamu) memiliki peran ini yang ditetapkan secara default.

Menavigasi dan triase insiden

Halaman Insiden

Dari menu navigasi Microsoft Azure Sentinel, di bawah Manajemen ancaman, pilih Insiden.

Halaman Insiden memberi Anda informasi dasar tentang semua insiden terbuka Anda.
- Di bagian atas layar Anda memiliki jumlah insiden terbuka, baik baru atau aktif, dan jumlah insiden terbuka berdasarkan tingkat keparahan. Anda juga memiliki banner dengan tindakan yang dapat Anda ambil di luar insiden tertentu—baik di kisi secara keseluruhan, atau pada beberapa insiden yang dipilih.
- Di panel pusat, Anda memiliki kisi insiden, daftar insiden seperti yang difilter oleh kontrol pemfilteran di bagian atas daftar, dan bilah pencarian untuk menemukan insiden tertentu.
- Di sisi kanan, Anda memiliki panel detail yang memperlihatkan informasi penting tentang insiden yang disorot di daftar pusat, bersama dengan tombol untuk mengambil tindakan tertentu sehubungan dengan insiden tersebut.
Tim Operasi Keamanan Anda mungkin memiliki aturan otomatisasi untuk melakukan triase dasar pada insiden baru dan menetapkannya ke personel yang tepat.

Dalam hal ini, filter daftar insiden menurut Pemilik untuk membatasi daftar insiden yang ditetapkan kepada Anda atau ke tim Anda. Set yang difilter ini mewakili beban kerja pribadi Anda.

Jika tidak, Anda dapat melakukan triase dasar sendiri. Anda dapat memulai dengan memfilter daftar insiden dengan kriteria pemfilteran yang tersedia, baik status, tingkat keparahan, atau nama produk. Untuk informasi selengkapnya, lihat Pencarian atas insiden.
Lakukan triase insiden tertentu dan segera ambil beberapa tindakan, langsung dari panel detail di halaman Insiden, tanpa harus memasukkan halaman detail lengkap insiden.
- Menyelidiki insiden Microsoft Defender XDR di Microsoft Defender XDR: Ikuti tautan Selidiki di Microsoft Defender XDR untuk melakukan pivot ke insiden paralel di portal Defender. Setiap perubahan yang Anda buat pada insiden di Microsoft Defender XDR akan disinkronkan ke insiden yang sama di Microsoft Azure Sentinel.
- Buka daftar tugas yang ditetapkan: Insiden yang tugasnya telah ditetapkan akan menampilkan jumlah tugas yang telah selesai dan total serta tautan Lihat detail lengkap. Ikuti tautan untuk membuka panel Tugas insiden untuk melihat daftar tugas untuk insiden ini.
- Tetapkan kepemilikan insiden kepada pengguna atau grup dengan memilih dari daftar drop-down Pemilik .
  
  Pengguna dan grup yang baru dipilih akan muncul di bagian atas daftar drop-down yang digambarkan.
- Perbarui status insiden (misalnya, dari Baru ke Aktif atau Tertutup) dengan memilih dari daftar drop-down Status . Saat menutup insiden, Anda akan diminta untuk menentukan alasannya. Lihat di bawah ini untuk petunjuknya.
- Ubah tingkat keparahan insiden dengan memilih dari daftar drop-down Tingkat Keparahan .
- Tambahkan tag untuk mengategorikan insiden Anda. Anda mungkin perlu menggulir ke bawah ke bagian bawah panel detail untuk melihat tempat menambahkan tag.
- Tambahkan komentar untuk mencatat tindakan, ide, pertanyaan, dan lainnya. Anda mungkin perlu menggulir ke bawah ke bagian bawah panel detail untuk melihat tempat menambahkan komentar.
Jika informasi di panel detail cukup untuk meminta tindakan remediasi atau mitigasi lebih lanjut, pilih tombol Tindakan di bagian bawah panel detail untuk melakukan salah satu hal berikut ini:
- Selidiki: gunakan alat investigasi grafis untuk menemukan hubungan antara pemberitahuan, entitas, dan aktivitas, baik dalam insiden ini maupun di seluruh insiden lainnya.
- Jalankan playbook (Pratinjau): jalankan playbook pada insiden ini untuk mengambil tindakan pengayaan, kolaborasi, atau respons tertentu seperti teknisi SOC Anda mungkin telah tersedia.
- Buat aturan otomatisasi: buat aturan otomatisasi yang hanya akan berjalan pada insiden seperti ini (dihasilkan oleh aturan analitik yang sama) di masa mendatang, untuk mengurangi beban kerja Anda di masa mendatang atau untuk memperhitungkan perubahan persyaratan sementara (seperti untuk pengujian penetrasi).
- Buat tim (Pratinjau): buat tim di Microsoft Teams untuk berkolaborasi dengan individu atau tim lain di seluruh departemen dalam menangani insiden tersebut.
Jika informasi selengkapnya tentang insiden diperlukan, pilih Tampilkan detail lengkap di panel detail untuk membuka dan melihat detail insiden secara keseluruhan, termasuk pemberitahuan dan entitas dalam insiden, daftar insiden serupa, dan wawasan teratas yang dipilih.

Lihat bagian berikutnya dari artikel ini untuk mengikuti jalur investigasi umum, mempelajari proses tentang semua informasi yang akan Anda lihat di sana, dan semua tindakan yang dapat Anda ambil.

Selidiki insiden Anda secara mendalam

Microsoft Sentinel menawarkan penyelidikan insiden lengkap dan pengalaman manajemen kasus berfungsi lengkap sehingga Anda dapat menyelidiki, memulihkan, dan menyelesaikan insiden dengan lebih cepat dan efisien. Berikut adalah halaman detail insiden baru:

Siapkan tanah dengan benar

Saat Anda menyiapkan untuk menyelidiki insiden, kumpulkan hal-hal yang anda perlukan untuk mengarahkan alur kerja Anda. Anda akan menemukan alat berikut pada bilah tombol di bagian atas halaman insiden, tepat di bawah judul.

Screenshot of the button bar on the incident details page.

Pilih Tugas untuk melihat tugas yang ditetapkan untuk insiden ini, atau untuk menambahkan tugas Anda sendiri.

Pelajari selengkapnya tentang menggunakan tugas insiden untuk meningkatkan standardisasi proses di SOC Anda.
Pilih Log aktivitas untuk melihat apakah ada tindakan yang telah diambil pada insiden ini—dengan aturan otomatisasi, misalnya—dan komentar apa pun yang telah dibuat. Anda juga dapat menambahkan komentar Anda sendiri di sini. Lihat selengkapnya tentang log aktivitas di bawah ini.
Pilih Log kapan saja untuk membuka jendela kueri Analitik log kosong penuh di dalam halaman insiden. Buat dan jalankan kueri, terkait atau tidak, tanpa meninggalkan insiden. Jadi, setiap kali Anda dihantam dengan inspirasi mendadak untuk mengejar pemikiran, jangan khawatir mengganggu aliran Anda. Log ada untuk Anda.

Lihat selengkapnya tentang Log di bawah ini.

Anda juga akan melihat tombol Tindakan insiden di seberang tab Gambaran Umum dan Entitas . Di sini Anda telah tersedia untuk Anda tindakan yang sama seperti yang dijelaskan di atas seperti yang tersedia dari tombol Tindakan pada panel detail di halaman kisi Insiden . Satu-satunya yang hilang ada Penyelidikan, yang tersedia di panel detail sebelah kiri.

Untuk merekap tindakan yang tersedia di bawah tombol Tindakan insiden:

Jalankan playbook: jalankan playbook pada insiden ini untuk mengambil tindakan pengayaan, kolaborasi, atau respons tertentu seperti teknisi SOC Anda mungkin telah tersedia.
Buat aturan otomatisasi: buat aturan otomatisasi yang hanya akan berjalan pada insiden seperti ini (dihasilkan oleh aturan analitik yang sama) di masa mendatang, untuk mengurangi beban kerja Anda di masa mendatang atau untuk memperhitungkan perubahan persyaratan sementara (seperti untuk pengujian penetrasi).
Buat tim (Pratinjau): buat tim di Microsoft Teams untuk berkolaborasi dengan individu atau tim lain di seluruh departemen dalam menangani insiden tersebut. Jika tim telah dibuat untuk insiden ini, item menu ini akan ditampilkan sebagai Open Teams.

Dapatkan seluruh gambar di halaman detail insiden

Panel kiri halaman detail insiden berisi informasi detail insiden yang sama yang Anda lihat di halaman Insiden di sebelah kanan kisi, dan itu cukup banyak tidak berubah dari versi sebelumnya. Panel ini selalu ditampilkan, tidak peduli tab mana yang ditampilkan di halaman lainnya. Dari sana, Anda dapat melihat informasi dasar insiden, dan menelusuri dengan cara berikut:

Pilih Peristiwa, Pemberitahuan, atau Marka Buku untuk membuka panel Log dalam halaman insiden. Panel Log akan ditampilkan dengan kueri mana pun dari tiga yang Anda pilih, dan Anda dapat melalui hasil kueri secara mendalam, tanpa memicu jauh dari insiden. Pelajari selengkapnya tentang Log.
Pilih salah satu entri di bawah Entitas untuk menampilkannya di tab Entitas. (Hanya empat entitas pertama dalam insiden yang ditampilkan di sini. Lihat sisanya dengan memilih Tampilkan semua, atau di widget Entitas pada tab Gambaran Umum, atau di tab Entitas.) Pelajari apa yang bisa Anda lakukan di tab Entitas.

Anda juga dapat memilih Selidiki untuk membuka insiden di alat investigasi grafis yang diagram hubungan antara semua elemen insiden.

Panel ini juga dapat diciutkan ke margin kiri layar dengan memilih panah ganda kecil dan menunjuk kiri di samping drop-down Pemilik . Namun, bahkan dalam keadaan diminimalkan ini, Anda masih akan dapat mengubah pemilik, status, dan tingkat keparahan.

Screenshot of collapsed side panel on incident details page.

Sisa halaman detail insiden dibagi menjadi dua tab, Gambaran Umum dan Entitas.

Tab Gambaran Umum berisi widget berikut, yang masing-masing mewakili tujuan penting penyelidikan Anda.

Widget garis waktu Insiden menunjukkan garis waktu pemberitahuan dan marka buku dalam insiden, yang dapat membantu Anda merekonstruksi garis waktu aktivitas penyerang. Pilih item individual untuk melihat semua detailnya, memungkinkan Anda menelusuri lebih lanjut.

Pelajari selengkapnya tentang widget garis waktu Insiden di bawah ini.
Dalam widget Insiden serupa, Anda akan melihat koleksi hingga 20 insiden lain yang paling mirip dengan insiden saat ini. Hal ini memungkinkan Anda melihat insiden dalam konteks yang lebih besar dan membantu mengarahkan investigasi Anda.

Pelajari selengkapnya tentang widget Insiden serupa di bawah ini.
Widget Entitas menunjukkan kepada Anda semua entitas yang telah diidentifikasi dalam pemberitahuan. Ini adalah objek yang berperan dalam insiden tersebut, baik itu pengguna, perangkat, alamat, file, atau jenis lainnya. Pilih entitas untuk melihat detail lengkapnya (yang akan ditampilkan di tab Entitas—lihat di bawah).

Pelajari selengkapnya tentang widget Entitas di bawah ini.
Terakhir, di widget Wawasan teratas, Anda akan melihat kumpulan hasil kueri yang ditentukan oleh peneliti keamanan Microsoft yang memberikan informasi keamanan yang berharga dan kontekstual tentang semua entitas dalam insiden, berdasarkan data dari kumpulan sumber.

Pelajari selengkapnya tentang widget Wawasan teratas di bawah ini.

Tab Entitas menunjukkan daftar lengkap entitas dalam insiden (yang sama seperti pada widget Entitas di atas). Saat Anda memilih entitas di widget, Anda diarahkan ke sini untuk melihat dokumen lengkap entitas—informasi identifikasinya, garis waktu aktivitasnya (baik di dalam maupun di luar insiden), dan serangkaian wawasan lengkap tentang entitas, seperti yang Anda lihat di halaman entitas lengkapnya (tetapi terbatas pada jangka waktu yang sesuai dengan insiden).

Garis waktu insiden

Widget garis waktu Insiden menunjukkan garis waktu pemberitahuan dan marka buku dalam insiden, yang dapat membantu Anda merekonstruksi garis waktu aktivitas penyerang.

Anda dapat mencari daftar pemberitahuan dan marka buku, atau memfilter daftar berdasarkan tingkat keparahan, taktik, atau tipe konten (pemberitahuan atau marka buku), untuk membantu Anda menemukan item yang ingin Anda kejar.

Tampilan awal garis waktu segera memberi tahu Anda beberapa hal penting tentang setiap item di dalamnya, baik pemberitahuan atau marka buku:

Tanggal dan waktu pembuatan pemberitahuan atau marka buku.
Jenis item, pemberitahuan, atau marka buku, yang ditunjukkan oleh ikon dan TipsAlat saat mengarahkan mouse ke ikon.
Nama pemberitahuan atau marka buku, dalam jenis tebal pada baris pertama item.
Tingkat keparahan pemberitahuan, ditunjukkan oleh pita warna di sepanjang tepi kiri, dan dalam bentuk kata di awal "subtitel" tiga bagian pemberitahuan.
Penyedia pemberitahuan, di bagian kedua subtitel. Untuk marka buku, pembuat marka buku.
Taktik MITRE ATT&CK yang terkait dengan pemberitahuan, ditunjukkan oleh ikon dan TipsAlat, di bagian ketiga subtitel.

Arahkan mouse ke atas ikon apa pun atau elemen teks yang tidak lengkap untuk melihat TipsAlat dengan teks lengkap ikon atau elemen teks tersebut. TipsAlat ini berguna ketika teks yang ditampilkan terpotong karena lebar widget yang terbatas. Lihat contoh dalam cuplikan layar ini:

Screenshot of incident timeline display details.

Pilih pemberitahuan atau marka buku individual untuk melihat detail lengkapnya.

Detail pemberitahuan termasuk tingkat keparahan dan status pemberitahuan, aturan analitik yang menghasilkannya, produk yang menghasilkan pemberitahuan, entitas yang disebutkan dalam pemberitahuan, taktik dan teknik MITRE ATT&CK terkait, dan ID pemberitahuan Sistem internal.

Pilih tautan ID pemberitahuan Sistem untuk menelusuri lebih jauh ke pemberitahuan, membuka panel Log dan menampilkan kueri yang menghasilkan hasil dan peristiwa yang memicu pemberitahuan.
Detail marka buku tidak sama persis dengan detail pemberitahuan; meskipun juga menyertakan entitas, taktik dan teknik MITRE ATT&CK, dan ID bookmark, mereka juga menyertakan hasil mentah dan informasi pembuat bookmark.

Pilih tautan Tampilkan log marka buku untuk membuka panel Log dan menampilkan kueri yang menghasilkan hasil yang disimpan sebagai marka buku.

Dari widget garis waktu insiden, Anda juga dapat mengambil tindakan berikut pada pemberitahuan dan marka buku:

Jalankan playbook pada pemberitahuan untuk mengambil tindakan segera guna mengurangi ancaman. Terkadang Anda perlu memblokir atau mengisolasi ancaman sebelum melanjutkan penyelidikan. Pelajari selengkapnya tentang menjalankan playbook pada pemberitahuan.
Menghapus pemberitahuan dari insiden. Anda dapat menghapus pemberitahuan yang ditambahkan ke insiden setelah pembuatannya jika Anda menilainya agar tidak relevan. Pelajari selengkapnya tentang menghapus pemberitahuan dari insiden.
Hapus bookmark dari insiden, atau edit bidang tersebut di marka buku yang dapat diedit (tidak ditampilkan).

Insiden serupa

Sebagai analis operasi keamanan, saat menyelidiki insiden, Anda harus memperhatikan konteks insiden yang lebih luas. Misalnya, Anda ingin melihat apakah insiden lain seperti ini pernah terjadi sebelumnya atau sedang terjadi sekarang.

Anda mungkin ingin mengidentifikasi insiden bersamaan yang mungkin menjadi bagian dari strategi serangan yang lebih besar yang sama.
Anda mungkin ingin mengidentifikasi insiden serupa di masa lalu, untuk menggunakannya sebagai titik referensi untuk investigasi Anda saat ini.
Anda mungkin ingin mengidentifikasi pemilik insiden serupa di masa lalu, untuk menemukan orang-orang di SOC Anda yang dapat memberikan lebih banyak konteks, atau kepada siapa Anda dapat meningkatkan investigasi.

Widget insiden serupa di halaman detail insiden menyajikan hingga 20 insiden lain yang paling mirip dengan yang saat ini. Kemiripan dihitung oleh algoritma Microsoft Sentinel internal, dan insiden diurutkan dan ditampilkan dalam urutan kesamaan yang menurun.

Seperti halnya widget garis waktu insiden, Anda dapat mengarahkan mouse ke atas teks apa pun yang tidak lengkap ditampilkan karena lebar kolom untuk menampilkan teks lengkap.

Ada tiga kriteria yang menentukan kemiripan:

Entitas serupa: Insiden dianggap mirip dengan insiden lain jika keduanya menyertakan entitas yang sama. Semakin banyak entitas serupa yang dimiliki oleh dua insiden, kedua insiden semakin dianggap mirip.
Aturan serupa: Insiden dianggap mirip dengan insiden lain jika keduanya dibuat oleh aturan analitik yang sama.
Detail peringatan serupa: Insiden dianggap mirip dengan insiden lain jika memiliki judul, nama produk, dan/atau detail kustom yang sama.

Alasan munculnya insiden dalam daftar insiden serupa ditampilkan di kolom Alasan kemiripan. Arahkan kursor ke ikon info untuk menampilkan item umum (entitas, nama aturan, atau detail).

Screenshot of pop-up display of similar incident details.

Kemiripan insiden dihitung berdasarkan data dari 14 hari sebelum aktivitas terakhir dalam insiden tersebut, yang menjadi waktu berakhirnya peringatan terbaru dalam insiden tersebut.

Kemiripan insiden dihitung ulang setiap kali Anda memasuki halaman detail insiden, sehingga hasilnya dapat bervariasi antar sesi jika insiden baru dibuat atau diperbarui.

Dapatkan wawasan teratas tentang insiden Anda

Pakar keamanan Microsoft Sentinel telah membangun kueri yang secara otomatis mengajukan pertanyaan besar tentang entitas dalam insiden Anda. Anda dapat melihat jawaban teratas di widget Wawasan teratas, terlihat di sisi kanan halaman detail insiden. Widget ini menunjukkan kumpulan wawasan berdasarkan analisis pembelajaran mesin dan kurasi tim ahli keamanan teratas.

Ini adalah beberapa wawasan yang sama yang muncul di halaman entitas, khususnya dipilih untuk membantu Anda melakukan triase dengan cepat dan memahami cakupan ancaman. Untuk alasan yang sama, wawasan untuk semua entitas dalam insiden disajikan bersama-sama untuk memberi Anda gambaran yang lebih lengkap tentang apa yang terjadi.

Berikut ini adalah wawasan teratas yang saat ini dipilih (daftar dapat berubah):

Tindakan menurut akun.
Tindakan pada akun.
Wawasan UEBA.
Indikator ancaman yang terkait dengan pengguna.
Wawasan daftar tonton (Pratinjau).
Jumlah peristiwa keamanan yang sangat tinggi.
Aktivitas masuk Windows.
Koneksi jarak jauh alamat IP.
Koneksi jarak jauh alamat IP dengan kecocokan TI.

Masing-masing wawasan ini (kecuali untuk yang berkaitan dengan daftar tonton, untuk saat ini) memiliki tautan yang dapat Anda pilih untuk membuka kueri yang mendasar di panel Log yang terbuka di halaman insiden. Anda kemudian dapat menelusuri paling detail hasil kueri.

Jangka waktu untuk widget Wawasan teratas adalah dari 24 jam sebelum pemberitahuan paling awal dalam insiden hingga waktu pemberitahuan terbaru.

Menjelajahi entitas insiden

Widget Entitas menunjukkan kepada Anda semua entitas yang telah diidentifikasi dalam pemberitahuan dalam insiden tersebut. Ini adalah objek yang berperan dalam insiden tersebut, baik itu pengguna, perangkat, alamat, file, atau jenis lainnya.

Anda dapat mencari daftar entitas di widget entitas, atau memfilter daftar menurut jenis entitas, untuk membantu Anda menemukan entitas.

Screenshot of the actions you can take on an entity from the overview tab.

Jika Anda sudah tahu bahwa entitas tertentu adalah indikator kompromi yang diketahui, pilih tiga titik pada baris entitas dan pilih Tambahkan ke TI untuk menambahkan entitas ke inteligensi ancaman Anda. (Opsi ini tersedia untuk jenis entitas yang didukung.)

Jika Anda ingin memicu urutan respons otomatis untuk entitas tertentu, pilih tiga titik dan pilih Jalankan playbook (Pratinjau). (Opsi ini tersedia untuk jenis entitas yang didukung.)

Pilih entitas untuk melihat detail lengkapnya. Saat Anda memilih entitas, Anda akan berpindah dari tab Gambaran Umum ke tab Entitas, bagian lain dari halaman detail insiden.

Tab Entitas

Tab Entitas memperlihatkan daftar semua entitas dalam insiden tersebut.

Seperti widget entitas, daftar ini juga dapat dicari dan difilter menurut jenis entitas. Pencarian dan filter yang diterapkan dalam satu daftar tidak akan berlaku untuk daftar lainnya.

Pilih baris dalam daftar untuk informasi entitas tersebut yang akan ditampilkan di panel samping di sebelah kanan.

Jika nama entitas muncul sebagai tautan, memilih nama entitas akan mengarahkan Anda ke halaman entitas lengkap, di luar halaman investigasi insiden. Untuk menampilkan panel samping saja tanpa meninggalkan insiden, pilih baris dalam daftar tempat entitas muncul, tetapi jangan pilih namanya.

Anda dapat mengambil tindakan yang sama di sini yang dapat Anda ambil dari widget di halaman gambaran umum. Pilih tiga titik di baris entitas untuk menjalankan playbook atau menambahkan entitas ke inteligensi ancaman Anda.

Anda juga dapat mengambil tindakan ini dengan memilih tombol di samping Lihat detail lengkap di bagian bawah panel samping. Tombol akan membaca tindakan Tambahkan ke TI, Jalankan playbook (Pratinjau), atau Entitas—dalam hal ini menu akan muncul dengan dua pilihan lainnya.

Tombol Lihat detail lengkap itu sendiri akan mengarahkan Anda ke halaman entitas lengkap entitas.

Panel samping menampilkan tiga kartu:

Info berisi informasi identifikasi tentang entitas. Misalnya, untuk entitas akun pengguna, ini mungkin hal-hal seperti nama pengguna, nama domain, pengidentifikasi keamanan (SID), informasi organisasi, informasi keamanan, dan banyak lagi, dan untuk alamat IP yang akan disertakannya, misalnya, geolokasi.
Garis waktu berisi daftar pemberitahuan, marka buku, dan anomali yang menampilkan entitas ini, dan juga aktivitas yang telah dilakukan entitas, seperti yang dikumpulkan dari log tempat entitas muncul. Semua pemberitahuan yang menampilkan entitas ini akan ada dalam daftar ini, apakah pemberitahuan tersebut termasuk dalam insiden ini atau tidak .

Pemberitahuan yang bukan bagian dari insiden akan ditampilkan secara berbeda: ikon perisai akan berwarna abu-abu, pita warna tingkat keparahan akan menjadi garis putus-putus alih-alih garis padat, dan akan ada tombol dengan tanda plus di sisi kanan baris pemberitahuan.

Pilih tanda plus untuk menambahkan pemberitahuan ke insiden ini. Saat pemberitahuan ditambahkan ke insiden, semua entitas lain pemberitahuan (yang belum menjadi bagian dari insiden) juga ditambahkan ke dalamnya. Sekarang Anda dapat memperluas penyelidikan lebih lanjut dengan melihat garis waktu entitas tersebut untuk pemberitahuan terkait.

Garis waktu ini terbatas pada pemberitahuan dan aktivitas selama tujuh hari sebelumnya. Untuk kembali lebih jauh, pivot ke garis waktu di halaman entitas lengkap, yang jangka waktunya dapat disesuaikan.
Wawasan berisi hasil kueri yang ditentukan oleh peneliti keamanan Microsoft yang memberikan informasi keamanan yang berharga dan kontekstual tentang entitas, berdasarkan data dari kumpulan sumber. Wawasan ini termasuk yang dari widget Wawasan teratas dan banyak lagi; mereka adalah yang sama yang muncul di halaman entitas penuh, tetapi selama jangka waktu terbatas: mulai dari 24 jam sebelum pemberitahuan paling awal dalam insiden, dan diakhir dengan waktu pemberitahuan terbaru.

Sebagian besar wawasan berisi tautan yang, saat dipilih, buka panel Log yang menampilkan kueri yang menghasilkan wawasan bersama dengan hasilnya.

Memfokuskan investigasi Anda

Pelajari cara Anda dapat memperluas atau mempersempit cakupan investigasi dengan menambahkan peringatan ke insiden Anda atau menghapus peringatan dari insiden.

Menyelam lebih dalam ke dalam data Anda di Log

Dari hampir di mana saja dalam pengalaman investigasi, Anda akan dapat memilih tautan yang akan membuka kueri yang mendasar di panel Log, dalam konteks penyelidikan. Jika Anda masuk ke panel Log dari salah satu tautan ini, kueri yang sesuai akan muncul di jendela kueri, dan kueri akan berjalan secara otomatis dan menghasilkan hasil yang sesuai untuk Anda jelajahi.

Anda juga dapat memanggil panel Log kosong di dalam halaman detail insiden kapan saja, jika Anda memikirkan kueri yang ingin Anda coba saat menyelidiki, sambil tetap dalam konteks. Untuk melakukan ini, pilih Log di bagian atas halaman.

Namun Anda berakhir di panel Log, jika Anda telah menjalankan kueri yang hasilnya ingin Anda simpan:

Tandai kotak centang di samping baris yang ingin Anda simpan di antara hasilnya. Untuk menyimpan semua hasil, tandai kotak centang di bagian atas kolom.
Simpan hasil yang ditandai sebagai marka buku. Anda memiliki dua opsi untuk melakukan ini:
- Pilih Tambahkan bookmark ke insiden saat ini untuk membuat marka buku dan menambahkannya ke insiden terbuka. Ikuti instruksi marka buku untuk menyelesaikan proses. Setelah selesai, marka buku akan muncul di garis waktu insiden.
- Pilih Tambahkan bookmark untuk membuat marka buku tanpa menambahkannya ke insiden apa pun. Ikuti instruksi marka buku untuk menyelesaikan proses. Anda akan dapat menemukan marka buku ini bersama dengan yang lain yang telah Anda buat di halaman Berburu , di bawah tab Marka Buku. Dari sana Anda dapat menambahkannya ke ini atau insiden lainnya.
Setelah membuat marka buku (atau jika Anda memilih untuk tidak), pilih Selesai untuk menutup panel Log .

Mengaudit dan mengomentari insiden

Saat menyelidiki insiden, Anda harus secara menyeluruh mendokumenkan langkah-langkah yang Anda ambil, baik untuk memastikan pelaporan yang akurat ke manajemen dan untuk memungkinkan kerja sama dan kolaborasi yang lancar di antara rekan kerja. Anda juga ingin melihat dengan jelas catatan tindakan apa pun yang diambil pada insiden oleh orang lain, termasuk oleh proses otomatis. Microsoft Sentinel memberi Anda log Aktivitas, lingkungan audit dan komentar yang kaya, untuk membantu Anda menyelesaikannya.

Anda juga dapat memperkaya insiden Anda secara otomatis dengan komentar. Misalnya, saat Anda menjalankan playbook pada insiden yang mengambil informasi yang relevan dari sumber eksternal (misalnya, memeriksa file untuk malware di VirusTotal), Anda dapat membuat playbook menempatkan respons sumber eksternal—bersama dengan informasi lain yang Anda tentukan—dalam komentar insiden.

Log aktivitas di-refresh secara otomatis, bahkan saat terbuka, sehingga Anda selalu dapat melihat perubahan secara real time. Anda juga akan diberi tahu tentang perubahan apa pun yang dilakukan pada log aktivitas saat Anda membukanya.

Untuk melihat log aktivitas dan komentar, atau untuk menambahkan komentar Anda sendiri:

Pilih Log aktivitas di bagian atas halaman detail insiden.
Untuk memfilter log agar hanya menampilkan aktivitas atau hanya komentar, pilih kontrol filter di bagian atas log.
Jika Anda ingin menambahkan komentar, masukkan di editor teks kaya di bagian bawah panel log aktivitas Insiden.
Pilih Komentar untuk mengirimkan komentar. Sekarang Anda akan melihat komentar Anda di bagian atas log.

Screenshot of viewing and entering comments.

Pertimbangan untuk komentar

Berikut ini adalah beberapa pertimbangan yang perlu diperhitungkan saat menggunakan komentar insiden.

Input yang didukung:

Teks: Komentar di Microsoft Sentinel mendukung input teks dalam teks biasa, HTML dasar, dan Markdown. Anda juga dapat menempelkan teks yang disalin, HTML, dan Markdown ke dalam jendela komentar.
Tautan: Tautan harus dalam bentuk tag jangkar HTML, dan harus memiliki parameter target="_blank". Contoh:
```
<a href="https://www.url.com" target="_blank">link text</a>
```
Catatan

Jika Anda memiliki playbook yang membuat komentar dalam insiden, tautan di komentar tersebut sekarang harus sesuai dengan templat ini juga, karena perubahan format komentar.
Gambar: Anda dapat menyisipkan tautan ke gambar di komentar dan gambar akan ditampilkan sebaris, tetapi gambar harus sudah dihosting di lokasi yang dapat diakses publik seperti Dropbox, OneDrive, Google Drive, dan sejenisnya. Gambar tidak dapat diunggah langsung ke komentar.

Batas ukuran:

Per komentar: Satu komentar dapat berisi hingga 30.000 karakter.
Per insiden: Satu insiden dapat berisi hingga 100 komentar.

Catatan

Batas ukuran satu baris insiden di tabel SecurityIncident di Log Analytics adalah 64 KB. Jika batas ini terlampaui, komentar (dimulai dengan yang paling awal) akan terpotong, yang dapat mempengaruhi komentar yang akan muncul di hasil pencarian lanjutan.

Catatan insiden yang sebenarnya dalam database insiden tidak akan terpengaruh.

Siapa dapat mengedit atau menghapus:

Mengedit: Hanya penulis komentar yang memiliki izin untuk mengeditnya.
Menghapus: Hanya pengguna dengan peran Kontributor Microsoft Sentinel yang memiliki izin untuk menghapus komentar. Bahkan penulis komentar harus memiliki peran ini untuk menghapusnya.

Menyelidiki insiden secara visual menggunakan grafik investigasi

Jika Anda lebih suka visual, representasi grafis pemberitahuan, entitas, dan koneksi di antara mereka dalam penyelidikan Anda, Anda dapat menyelesaikan banyak hal yang dibahas di atas dengan grafik investigasi klasik juga. Kelemahan grafik adalah Anda akhirnya harus mengalihkan konteks dengan lebih banyak.

Grafik investigasi memberi Anda:

Konteks visual dari data mentah: Grafik visual langsung menampilkan hubungan entitas yang diekstraksi secara otomatis dari data mentah. Ini memungkinkan Anda dengan mudah melihat koneksi di berbagai sumber data.
Penemuan cakupan investigasi penuh : Perluas cakupan investigasi Anda menggunakan kueri eksplorasi bawaan untuk menampilkan cakupan penuh pelanggaran.
Langkah-langkah investigasi bawaan: Gunakan opsi eksplorasi yang ditentukan sebelumnya untuk memastikan Anda mengajukan pertanyaan yang tepat dalam menghadapi ancaman.

Untuk menggunakan grafik investigasi:

Pilih insiden, lalu pilih Selidiki. Ini akan membawa Anda ke grafik investigasi. Grafik menyediakan peta ilustrasi entitas yang terhubung langsung ke pemberitahuan dan setiap sumber daya yang terhubung lebih jauh.
Penting
- Anda hanya akan dapat menyelidiki insiden jika aturan analitik atau marka buku yang menghasilkannya berisi pemetaan entitas. Graph investigasi mengharuskan insiden asli Anda mencakup entitas.
- Grafik investigasi saat ini mendukung penyelidikan insiden hingga 30 hari.
Pilih entitas untuk membuka panel Entitas sehingga Anda dapat meninjau informasi tentang entitas tersebut.
Perluas investigasi Anda dengan mengarahkan kursor ke setiap entitas untuk mengungkapkan daftar pertanyaan yang dirancang oleh pakar keamanan dan analis per jenis entitas untuk memperdalam investigasi Anda. Kami menyebut opsi ini kueri eksplorasi.

Misalnya, Anda dapat meminta peringatan terkait. Jika Anda memilih kueri eksplorasi, entitas yang dihasilkan ditambahkan kembali ke grafik. Dalam contoh ini, memilih Pemberitahuan terkait menampilkan pemberitahuan berikut ke dalam grafik:

Lihat bahwa peringatan terkait muncul terhubung ke entitas dengan garis putus-putus.
Untuk setiap kueri eksplorasi, Anda dapat memilih opsi untuk membuka hasil peristiwa mentah dan kueri yang digunakan dalam Analitik Log, dengan memilih Peristiwa >.
Untuk memahami insiden, grafik memberi Anda garis waktu paralel.
Arahkan kursor ke garis waktu untuk melihat hal-hal pada grafik mana yang terjadi pada titik waktu berapa.

Menutup insiden

Setelah Anda menyelesaikan insiden tertentu (misalnya, saat investigasi Anda telah mencapai kesimpulannya), Anda harus menetapkan status insiden menjadi Ditutup. Saat Anda melakukannya, Anda akan diminta untuk mengklasifikasikan insiden dengan menentukan alasan Anda menutupnya. Langkah ini bersifat wajib. Klik Pilih klasifikasi dan pilih salah satu hal berikut dari daftar drop-down:

True Positive – aktivitas mencurigakan
Positif Jinak – mencurigakan tetapi diharapkan
Positif Palsu – logika pemberitahuan yang salah
Positif Palsu – data yang salah
Tidak ditentukan

Screenshot that highlights the classifications available in the Select classification list.

Untuk mendapatkan informasi selengkapnya tentang positif palsu dan positif tidak berbahaya, lihat Menangani positif palsu di Microsoft Sentinel.

Setelah memilih klasifikasi yang sesuai, tambahkan beberapa teks deskriptif di bidang Komentar. Ini akan berguna jika Anda perlu merujuk kembali ke insiden ini. Klik Terapkan saat Anda selesai, dan insiden akan ditutup.

{alt-text}

Mencari insiden

Untuk menemukan insiden tertentu dengan cepat, masukkan string pencarian di kotak pencarian di atas kisi insiden dan tekan Enter untuk mengubah daftar insiden yang ditampilkan. Jika insiden Anda tidak disertakan dalam hasil, Anda dapat mempersempit pencarian dengan menggunakan opsi Pencarian tingkat lanjut.

Untuk mengubah parameter pencarian, pilih tombol Cari, lalu pilih parameter tempat Anda ingin menjalankan pencarian.

Misalnya:

Secara default, pencarian insiden dijalankan di seluruh ID Insiden, Judul, Tag, Pemilik, dan hanya nilai Nama produk. Di panel pencarian, gulir daftar ke bawah untuk memilih satu atau beberapa parameter lain yang akan dicari, dan pilih Terapkan untuk memperbarui parameter pencarian. Pilih Atur ke default atur ulang parameter yang dipilih ke opsi default.

Catatan

Pencarian di bidang Pemilik mendukung nama dan alamat email.

Menggunakan opsi pencarian tingkat lanjut mengubah perilaku pencarian sebagai berikut:

Perilaku pencarian	Deskripsi
Mencari warna tombol	Warna tombol pencarian berubah, tergantung pada jenis parameter yang saat ini digunakan dalam pencarian. Selama hanya parameter default yang dipilih, tombol berwarna abu-abu. Segera setelah parameter yang berbeda dipilih, seperti parameter pencarian tingkat lanjut, tombol berubah menjadi biru.
Refresh otomatis	Menggunakan parameter pencarian tingkat lanjut mencegah Anda memilih untuk merefresh hasil Anda secara otomatis.
Parameter entitas	Semua parameter entitas didukung untuk pencarian tingkat lanjut. Saat mencari di parameter entitas apa pun, pencarian berjalan di semua parameter entitas.
String pencarian	Mencari string kata mencakup semua kata dalam kueri pencarian. String pencarian peka huruf besar-kecil.
Dukungan lintas ruang kerja	Pencarian tingkat lanjut tidak didukung untuk tampilan lintas ruang kerja.
Jumlah hasil pencarian yang ditampilkan	Saat Anda menggunakan parameter pencarian tingkat lanjut, hanya 50 hasil yang ditampilkan dalam satu waktu.

Tip

Jika Anda tidak dapat menemukan insiden yang Anda cari, hapus parameter pencarian untuk memperluas pencarian Anda. Jika pencarian Anda menghasilkan terlalu banyak item, tambahkan lebih banyak filter untuk mempersempit hasil Anda.

Langkah berikutnya

Dalam artikel ini, Anda mempelajari cara memulai penyelidikan insiden menggunakan Microsoft Sentinel. Untuk informasi selengkapnya, lihat: