Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Pusat operasi keamanan (SOC) adalah fungsi terpusat dalam organisasi yang mengintegrasikan orang, proses, dan teknologi. SOC mengimplementasikan kerangka kerja keamanan cyber organisasi secara keseluruhan. SOC mengkolaborasikan upaya organisasi untuk memantau, memperingatkan, mencegah, mendeteksi, menganalisis, dan merespons insiden keamanan cyber. Tim SOC, yang dipimpin oleh manajer SOC, dapat mencakup responden insiden, analis SOC di tingkat 1, 2, dan 3, pemburu ancaman, dan manajer respons insiden.
Tim SOC menggunakan telemetri dari seluruh infrastruktur TI organisasi, termasuk jaringan, perangkat, aplikasi, perilaku, appliance, dan penyimpanan informasi. Tim kemudian berhubungan bersama dan menganalisis data, untuk menentukan cara mengelola data dan tindakan mana yang harus diambil.
Agar berhasil bermigrasi ke Microsoft Sentinel, Anda perlu memperbarui tidak hanya teknologi yang digunakan SOC, tetapi juga tugas dan proses SOC. Artikel ini menjelaskan cara memperbarui SOC dan proses analis Anda sebagai bagian dari migrasi Anda ke Microsoft Sentinel.
Memperbarui alur kerja analis
Microsoft Sentinel menawarkan berbagai alat yang memetakan ke alur kerja analis umum, mulai dari penugasan hingga penutupan insiden. Analis dapat secara fleksibel menggunakan beberapa atau semua alat yang tersedia untuk melakukan triase dan menyelidiki insiden. Saat organisasi Anda bermigrasi ke Microsoft Sentinel, analis Anda harus beradaptasi dengan rangkaian alat, fitur, dan alur kerja baru ini.
Insiden di Microsoft Sentinel
Di Microsoft Sentinel, insiden adalah kumpulan pemberitahuan yang ditentukan Microsoft Sentinel memiliki keakuratan yang memadai untuk memicu insiden. Oleh karena itu, dengan Microsoft Sentinel, analis melakukan triase insiden di halaman Insiden terlebih dahulu, dan kemudian melanjutkan untuk menganalisis pemberitahuan, jika penyelaman yang lebih dalam diperlukan. Bandingkan area terminologi dan manajemen insiden SIEM Anda dengan Microsoft Sentinel.
Tahapan alur kerja analis
Tabel ini menjelaskan tahapan utama dalam alur kerja analis, dan menyoroti alat tertentu yang relevan dengan setiap aktivitas dalam alur kerja.
| Tugaskan | Triase | Menyelidiki | Tanggapi |
|---|---|---|---|
|
Menetapkan insiden: • Secara manual, di halaman Insiden • Secara otomatis, menggunakan playbook atau aturan automasi |
Insiden triase menggunakan: • Detail insiden di halaman Insiden • Informasi entitas di halaman Insiden, di bawah tab Entitas • Jupyter Notebooks |
Menyelidiki insiden menggunakan: • Grafik investigasi • Microsoft Sentinel Workbooks • Jendela kueri Analitik Log |
Respons terhadap insiden menggunakan: • Playbook dan aturan automasi • Microsoft Teams War Room |
Bagian berikutnya memetakan terminologi dan alur kerja analis ke fitur Microsoft Sentinel tertentu.
Tugaskan
Gunakan halaman Insiden Microsoft Sentinel untuk menetapkan insiden. Halaman Insiden mencakup pratinjau insiden, dan tampilan terperinci untuk satu insiden.
Untuk menetapkan insiden:
- Secara manual. Atur bidang Pemilik ke nama pengguna yang relevan.
- Secara otomatis. Gunakan solusi kustom berdasarkan Microsoft Teams dan Logic Apps, atau aturan automasi.
Triase
Untuk melakukan latihan triase di Microsoft Sentinel, Anda dapat memulai dengan berbagai fitur Microsoft Sentinel, tergantung pada tingkat keahlian Anda dan sifat insiden yang sedang diinvestigasi. Sebagai titik awal yang khas, pilih Tampilkan detail lengkap di halaman Insiden. Anda sekarang dapat memeriksa pemberitahuan yang terdiri dari insiden, meninjau marka buku, memilih entitas untuk menelusuri paling detail ke entitas tertentu, atau menambahkan komentar.
Berikut adalah tindakan yang disarankan untuk melanjutkan tinjauan insiden Anda:
- Pilih Investigasi untuk representasi visual hubungan antara insiden dan entitas yang relevan.
- Gunakan notebook Jupyter untuk melakukan latihan triase mendalam untuk entitas tertentu. Anda dapat menggunakan buku catatan Triase insiden untuk latihan ini.
Mempercepat triase
Gunakan fitur dan kemampuan ini untuk mempercepat triase:
- Untuk pemfilteran cepat, di halaman Insiden, cari insiden yang terkait dengan entitas tertentu. Pemfilteran menurut entitas di halaman Insiden lebih cepat daripada memfilter berdasarkan kolom entitas dalam antrean insiden SIEM warisan.
- Untuk triase yang lebih cepat, gunakan layar Detail pemberitahuan untuk menyertakan informasi insiden utama dalam nama dan deskripsi insiden, seperti nama pengguna, alamat IP, atau host terkait. Misalnya, insiden dapat diubah namanya secara dinamis menjadi
Ransomware activity detected in DC01, di manaDC01merupakan aset penting, diidentifikasi secara dinamis melalui properti pemberitahuan yang dapat disesuaikan. - Untuk analisis yang lebih mendalam, di halaman Insiden, pilih insiden dan pilih Peristiwa di bawah Bukti untuk melihat peristiwa tertentu yang memicu insiden. Data peristiwa terlihat sebagai output kueri yang terkait dengan aturan analitik, bukan peristiwa mentah. Teknisi migrasi aturan dapat menggunakan output ini untuk memastikan bahwa analis mendapatkan data yang benar.
- Untuk informasi entitas terperinci, di halaman Insiden, pilih insiden dan pilih nama entitas di bawah Entitas untuk menampilkan informasi direktori, garis waktu, dan wawasan entitas. Pelajari cara memetakan entitas.
- Untuk menautkan ke buku kerja yang relevan, pilih Pratinjau insiden. Anda dapat menyesuaikan buku kerja untuk menampilkan informasi tambahan tentang insiden, atau entitas terkait dan bidang kustom.
Menyelidiki
Gunakan grafik investigasi untuk menyelidiki insiden secara mendalam. Dari halaman Insiden, pilih insiden dan pilih Selidiki untuk melihat grafik investigasi.
Dengan grafik investigasi, Anda dapat:
- Memahami ruang lingkup dan mengidentifikasi akar penyebab potensi ancaman keamanan dengan menghubungkan data yang relevan dengan entitas yang terlibat.
- Selami lebih dalam entitas, dan pilih antara opsi ekspansi yang berbeda.
- Dengan mudah melihat koneksi di berbagai sumber data dengan melihat hubungan yang diekstrak secara otomatis dari data mentah.
- Perluas cakupan investigasi Anda menggunakan kueri eksplorasi bawaan untuk memunculkan cakupan ancaman secara penuh.
- Gunakan opsi eksplorasi yang telah ditentukan sebelumnya untuk membantu Anda mengajukan pertanyaan yang tepat saat menyelidiki ancaman.
Dari grafik investigasi, Anda juga dapat membuka buku kerja untuk lebih mendukung upaya penyelidikan Anda. Microsoft Sentinel menyertakan beberapa templat buku kerja yang dapat Anda kustomisasi agar sesuai dengan kasus penggunaan spesifik Anda.
Tanggapi
Gunakan kemampuan respons otomatis Microsoft Sentinel untuk merespons ancaman kompleks dan mengurangi kelelahan pemberitahuan. Microsoft Sentinel menyediakan respons otomatis menggunakan playbook Logic Apps dan aturan automasi.
Gunakan salah satu opsi berikut untuk mengakses playbook:
- Automasi > Tab templat playbook
- Hub konten Microsoft Sentinel
- Repositori GitHub Microsoft Sentinel
Sumber-sumber ini mencakup berbagai playbook berorientasi keamanan untuk mencakup sebagian besar kasus penggunaan dari berbagai kompleksitas. Untuk menyederhanakan pekerjaan Anda dengan playbook, gunakan templat di bawah Automasi> templat Playbook. Templat memungkinkan Anda untuk dengan mudah menyebarkan playbook ke dalam instans Microsoft Sentinel, lalu memodifikasi playbook agar sesuai dengan kebutuhan organisasi Anda.
Lihat Kerangka Kerja Proses SOC untuk memetakan proses SOC Anda ke kemampuan Microsoft Sentinel.
Membandingkan konsep SIEM
Gunakan tabel ini untuk membandingkan konsep utama SIEM warisan Anda dengan konsep Microsoft Sentinel.
| ArcSight | QRadar | Splunk | Microsoft Sentinel |
|---|---|---|---|
| Kejadian | Kejadian | Kejadian | Kejadian |
| Peristiwa Korelasi | Peristiwa Korelasi | Peristiwa Penting | Peringatan |
| Insiden | Pelanggaran | Peristiwa Penting | Insiden |
| Daftar pelanggaran | Tag | Halaman insiden | |
| Label | Bidang isian kustom di SOAR | Tag | Tag |
| Jupyter Notebooks | Jupyter Notebooks | Notebook Microsoft Sentinel | |
| Dasbor | Dasbor | Dasbor | Buku kerja |
| Aturan korelasi | Blok penyusun | Aturan korelasi | Aturan analitik |
| Antrean Insiden | Tab Pelanggaran | Tinjauan insiden | Halaman Insiden |
Langkah berikutnya
Setelah migrasi, jelajahi sumber daya Microsoft Sentinel untuk memperluas keterampilan Anda dan dapatkan hasil maksimal dari Microsoft Sentinel.
Pertimbangkan juga untuk meningkatkan perlindungan ancaman Anda dengan menggunakan Microsoft Sentinel bersama Pertahanan Microsoft XDR dan Microsoft Defender untuk Cloud untuk perlindungan ancaman terintegrasi. Manfaatkan luasnya visibilitas yang diberikan Microsoft Sentinel, sambil lebih memahami analisis ancaman terperinci.
Untuk informasi selengkapnya, lihat:
- Praktik terbaik migrasi aturan
- Webinar: Praktik Terbaik untuk Mengonversi Aturan Deteksi
- Security Orchestration, Automation, and Response (SOAR) di Microsoft Sentinel
- Mengelola SOC Anda dengan lebih baik dengan metrik insiden
- Jalur pembelajaran Microsoft Sentinel
- Sertifikat SC-200 Microsoft Security Operations Analyst
- Pelatihan Microsoft Sentinel Ninja
- Menyelidiki serangan pada lingkungan hibrid dengan Microsoft Sentinel