Pelatihan peningkatan keterampilan Microsoft Sentinel
Artikel ini memandu Anda melalui pelatihan tingkat 400 untuk membantu Anda meningkatkan kemampuan di Microsoft Sentinel. Pelatihan ini terdiri dari 21 modul mandiri yang menyajikan dokumentasi produk yang relevan, posting blog, dan sumber daya lainnya.
Modul yang tercantum di bawah ini dibagi menjadi lima bagian yang mengikuti siklus hidup Pusat Operasi Keamanan (SOC):
- Modul 0: Opsi pembelajaran dan dukungan lainnya
- Modul 1: Mulai dengan Microsoft Azure Sentinel
- Modul 2: Bagaimana Microsoft Azure Sentinel digunakan?
Bagian 2: Merancang dan menyebarkan
- Modul 3: Arsitektur ruang kerja dan penyewa
- Modul 4: Pengumpulan data
- Modul 5: Manajemen log
- Modul 6: Pengayaan: Inteligensi ancaman, daftar tonton, dan banyak lagi
- Module 7: Log transformasi
- Modul 8: Migrasi
- Modul 9: Model informasi dan normalisasi SIEM tingkat lanjut
- Modul 10: Bahasa Kueri Kusto
- Modul 11: Analitik
- Modul 12: Menerapkan SOAR
- Modul 13: Buku kerja, pelaporan, dan visualisasi
- Modul 14: Notebooks
- Modul 15: Kasus penggunaan dan solusi
- Modul 16: Sehari dalam analis kehidupan SOC, manajemen insiden, dan investigasi
- Modul 17: Perburuan
- Modul 18: Analitik Perilaku Pengguna dan Entitas (UEBA)
- Modul 19: Memantau kesehatan Microsoft Sentinel
- Modul 20: Memperluas dan mengintegrasikan dengan menggunakan API Microsoft Sentinel
- Modul 21: Membangun pembelajaran mesin Anda sendiri
Bagian 1: Gambaran Umum
Modul 0: Opsi pembelajaran dan dukungan lainnya
Pelatihan meningkatkan kemampuan ini merupakan pelatihan tingkat 400 yang didasarkan pada Pelatihan Ninja Microsoft Sentinel. Jika Anda tidak ingin mengikuti pelatihannya secara mendalam, atau jika Anda memiliki masalah tertentu, lihat sumber daya lain yang mungkin lebih cocok bagi Anda:
- Meskipun pelatihan kemampuannya bersifat ekstensif, Anda harus tetap mengikuti skrip dan tidak dapat memperluas setiap topiknya. Lihat dokumentasi yang disertakan yang berisi informasi mengenai setiap artikel.
- Anda sekarang dapat memperoleh sertifikat baru SC-200: Analis Operasi Keamanan Microsoft, yang mencakup Microsoft Sentinel. Anda mungkin juga ingin mempertimbangkan SC-900: Dasar-Dasar Keamanan, Kepatuhan, dan Identitas Microsoft atau AZ-500: Teknologi Keamanan Microsoft Azure yang berisi tampilan tingkat yang lebih luas dan lebih tinggi dari rangkaian Keamanan Microsoft.
- Apabila Anda sudah terampil di Microsoft Sentinel, ikuti terus apa yang baru atau bergabung dengan program Komunitas Privat Keamanan Cloud Microsoft untuk tampilan lebih awal mengenai rilisan mendatang.
- Apakah Anda ingin memiliki ide terkait fitur yang ingin Anda kirimkan kepada kami? Beri tahu kami di halaman suara pengguna Microsoft Azure Sentinel.
- Apakah Anda pelanggan utama? Anda mungkin ingin mengikuti Lokakarya Dasar-Dasar Microsoft Sentinel selama empat hari secara luring atau jarak jauh. Hubungi Manajer Akun Keberhasilan Pelanggan Anda untuk informasi lebih lanjut.
- Apakah Anda memiliki masalah tertentu? Tanyakan (atau jawab yang lain) di Komunitas Teknologi Microsoft Sentinel. Atau, Anda dapat mengirim pertanyaan atau masalah Anda melalui email kepada kami di MicrosoftSentinel@microsoft.com.
Modul 1: Mulai dengan Microsoft Azure Sentinel
Microsoft Sentinel adalah solusi manajemen peristiwa informasi keamanan (SIEM) dan respons otomatis orkestrasi keamanan (SOAR) yang dapat diskalakan, berbasis cloud,. Microsoft Sentinel memberikan analisis keamanan dan ancaman secara cerdas di seluruh perusahaan. Microsoft Azure Sentinel memberikan satu solusi untuk deteksi peringatan, visibilitas ancaman, perburuan proaktif, dan respons ancaman. Untuk informasi selengkapnya, lihat Apa yang dimaksud dengan Microsoft Sentinel?.
Jika Anda ingin mendapatkan gambaran umum awal mengenai kemampuan teknis Microsoft Sentinel, presentasi Ignite terbaru adalah pengenalan yang cocok. Anda mungkin juga dapat mengakses Panduan Mulai Cepat Microsoft Sentinel (memerlukan pendaftaran).
Temukan gambaran umum yang lebih rinci di webinar Microsoft Azure Sentinel ini: YouTube, MP4, atau presentasi.
Terakhir, apakah Anda ingin mencobanya sendiri? Microsoft Sentinel All-In-One Accelerator (blog, YouTube, MP4, Presentasi) menyajikan cara mudah untuk memulai. Untuk mempelajari cara memulai, tinjau dokumentasi onboarding, atau tonton Video penyiapan dan konfigurasi Microsoft Sentinel Insight.
Belajar dari pengguna lain
Ribuan organisasi dan penyedia layanan menggunakan Microsoft Azure Sentinel. Seperti layaknya produk keamanan biasa, kebanyakan organisasi tidak membagikan informasi tersebut kepada publik. Namun, berikut adalah beberapa organisasi yang sudah menunjukannya kepada publik:
- Temukan kasus penggunaan pelanggan publik.
- Stuart Gregg, Manajer Operasi Keamanan di ASOS memposting posting blog yang jauh lebih rinci dari pengalaman Microsoft Sentinel, yang fokus dalam berburu.
Belajar dari analis
- Azure Sentinel berhasil menempati penghargaan sebagai Pemimpin di Forrester Wave dengan peringkat teratas dalam hal Strategi
- Microsoft dengan Microsoft Sentinel miliknya dinobatkan sebagai produk yang Visioner dalam Gartner Magic Quadrant untuk SIEM tahun 2021
Modul 2: Bagaimana Microsoft Azure Sentinel digunakan?
Ada banyak organisasi yang menggunakan Microsoft Sentinel sebagai SIEM utama mereka. Sebagian besar modul dalam kursus ini mencakup kasus penggunaan ini. Dalam modul ini, kami menyajikan beberapa cara tambahan untuk menggunakan Microsoft Sentinel.
Sebagai bagian dari tumpukan Keamanan Microsoft
Gunakan Microsoft Sentinel, Microsoft Defender untuk Cloud, dan Microsoft Defender XDR bersama-sama untuk melindungi beban kerja Microsoft Anda, termasuk Windows, Azure, dan Office:
- Baca selengkapnya tentang solusi SIEM+XDR komprehensif kami yang menggabungkan Microsoft Sentinel dan Microsoft Defender XDR.
- Baca Kompas Keamanan Azure (sekarang Praktik Terbaik Keamanan Microsoft) untuk memahami blueprint Microsoft untuk operasi keamanan Anda.
- Baca dan tonton bagaimana pengaturan tersebut membantu mendeteksi dan menanggapi serangan WebShell: blog, video demo.
- Tonton seminar web Better Together: "Deteksi, penyelidikan, dan respons serangan OT dan IOT."
Untuk memantau beban kerja multicloud Anda
Cloud (masih) baru dan sering tidak dipantau secara ekstensif seperti beban kerja lokal. Baca presentasi ini untuk mempelajari bagaimana Microsoft Azure Sentinel dapat membantu Anda menutup kesenjangan pemantauan cloud di seluruh cloud Anda.
Berdampingan dengan SIEM Anda yang ada
Baik untuk periode transisi atau untuk jangka panjang, jika Anda menggunakan Microsoft Sentinel untuk beban kerja cloud, Anda mungkin menggunakan Microsoft Sentinel bersamaan dengan SIEM yang sudah ada. Anda mungkin juga menggunakan keduanya dengan sistem tiket seperti Layanan Sekarang.
Untuk informasi lebih lanjut mengenai migrasi dari SIEM lain ke Microsoft Sentinel, tonton seminar web migrasi: YouTube, MP4, atau presentasi.
Ada tiga skenario umum untuk penyebaran berdampingan:
Jika Anda memiliki sistem tiket di SOC Anda, praktik terbaik adalah mengirim pemberitahuan atau insiden dari kedua sistem SIEM ke sistem tiket seperti Layanan Sekarang. Contohnya adalah menggunakan sinkronisasi dua arah insiden Microsoft Sentinel dengan ServiceNow, atau mengirim peringatan yang dilengkapi dengan kejadian pendukung dari Microsoft Sentinel ke SIEM pihak ketiga.
Setidaknya, pada awalnya, ada banyak pengguna yang mengirim peringatan dari Microsoft Sentinel ke SIEM lokal mereka. Baca mengenai cara melakukannya di Mengirim peringatan yang dilengkapi dengan kejadian pendukung dari Microsoft Sentinel ke SIEM pihak ketiga.
Seiring waktu, karena Microsoft Sentinel mencakup lebih banyak beban kerja, biasanya Anda membalikkan arah kerjanya, sehingga Anda mengirim peringatan dari SIEM lokal Anda ke Microsoft Sentinel. Untuk melakukannya:
- Untuk Splunk, lihat Mengirim data dan kejadian penting dari Splunk ke Microsoft Sentinel.
- Untuk QRadar, lihat Mengirim pelanggaran QRadar ke Microsoft Sentinel.
- Untuk ArcSight, lihat Penerusan Common Event Format (CEF).
Anda juga dapat mengirim peringatan dari Microsoft Sentinel ke SIEM pihak ketiga Anda, atau sistem tiket dengan menggunakan API Keamanan Graph. Pendekatan ini lebih sederhana, tetapi tidak dapat melakukan pengiriman data lain.
Untuk MSSP
Karena menghilangkan biaya pengaturan dan merupakan agnostik lokasi, Microsoft Sentinel adalah pilihan populer untuk menyediakan SIEM sebagai layanan. Temukan daftar penyedia layanan keamanan (MSP) yang dikelola anggota MISA (Microsoft Intelligent Security Association) yang menggunakan Microsoft Sentinel. Banyak MSSP lainnya, terutama yang regional dan yang lebih kecil, menggunakan Microsoft Sentinel tetapi bukan anggota MISA.
Untuk memulai perjalanan Anda sebagai MSSP, Anda harus membaca Playbook Teknis Microsoft Sentinel untuk MSSP. Informasi selengkapnya tentang dukungan MSSP disertakan dalam modul berikutnya, yang mencakup arsitektur cloud dan dukungan multipenyewa.
Bagian 2: Merancang dan menyebarkan
Meskipun "Bagian 1: Gambaran Umum" menawarkan cara untuk mulai menggunakan Microsoft Sentinel dalam hitungan menit, tetap saja penting bagi Anda untuk membuat rencana sebelum memulai penyebaran produksi.
Bagian ini berisi panduan mengenai pertimbangan saat merancang solusi Anda, dan memberikan panduan mengenai cara menerapkan desain Anda:
- Arsitektur ruang kerja dan penyewa
- Kumpulan data
- Manajemen log
- Akuisisi Inteligensi Ancaman
Modul 3: Arsitektur ruang kerja dan penyewa
Instans Microsoft Sentinel disebut ruang kerja. Ruang kerja sama dengan ruang kerja Log Analytics, dan ruang kerja tersebut mendukung kemampuan Log Analytics apa pun. Anda dapat menganggap Microsoft Sentinel sebagai solusi yang menambahkan fitur SIEM di atas ruang kerja Log Analytics.
Beberapa ruang kerja sering diperlukan dan dapat bertindak bersama sebagai satu sistem Microsoft Azure Sentinel. Kasus penggunaan khusus menyediakan layanan menggunakan Microsoft Sentinel, misalnya oleh MSSP (Penyedia Layanan Keamanan Terkelola), atau oleh SOC Global dalam organisasi besar.
Untuk mempelajari lebih lanjut penggunaan beberapa ruang kerja sebagai satu sistem Microsoft Sentinel, baca Memperluas Microsoft Sentinel di seluruh ruang kerja dan penyewa atau tonton seminar web: YouTube, MP4, atau presentasi.
Saat Anda menggunakan beberapa ruang kerja, pertimbangkan hal berikut:
- Driver penting untuk menggunakan beberapa ruang kerja adalah residensi data. Untuk informasi lebih lanjut, lihat Residensi data Microsoft Sentinel.
- Untuk menyebarkan Microsoft Sentinel dan mengelola konten secara efisien di beberapa ruang kerja, Anda perlu mengelola Microsoft Sentinel sebagai kode dengan menggunakan teknologi integrasi berkelanjutan/pengiriman berkelanjutan (CI/ID). Praktik terbaik yang direkomendasikan untuk Microsoft Sentinel adalah dengan mengaktifkan penyebaran berkelanjutan. Baca Mengaktifkan penyebaran berkelanjutan secara asli dengan menggunakan repositori Microsoft Sentinel untuk informasi lebih lanjut.
- Saat mengelola beberapa ruang kerja sebagai MSSP, Anda mungkin ingin melindungi properti intelektual MSSP di Microsoft Sentinel.
Playbook Teknis Microsoft Sentinel untuk MSSP memberikan panduan terperinci mengenai topik tersebut, dan berguna juga untuk organisasi besar, tidak hanya untuk MSSP.
Modul 4: Pengumpulan data
Dasar SIEM adalah mengumpulkan telemetri: kejadian, peringatan, dan informasi pengayaan kontekstual seperti Inteligensi ancaman, data kerentanan, serta informasi aset. Berikut adalah daftar sumber rujukannya:
- Baca Konektor data Microsoft Sentinel.
- Buka Menemukan konektor data Microsoft Sentinel Anda untuk melihat semua konektor data yang didukung dan di luar kotak. Temukan tautan ke prosedur penyebaran generik, dan langkah tambahan yang diperlukan untuk konektor tertentu.
- Skenario Pengumpulan Data: Pelajari metode pengumpulan seperti Logstash/CEF/WEF. Skenario umum lainnya adalah pembatasan izin untuk tabel, pemfilteran log, pengumpulan log dari Amazon Web Services (AWS) atau Google Cloud Platform (GCP), log mentah Microsoft 365, dan lainnya. Semua konten tersebut dapat ditemukan di seminar web "Skenario Pengumpulan Data": YouTube, MP4, atau presentasi.
Bagian pertama dari informasi yang Anda lihat untuk setiap konektor adalah metode penyerapan datanya. Metode yang muncul memiliki tautan ke salah satu prosedur penyebaran generik berikut, yang berisi sebagian besar informasi yang Anda butuhkan untuk menghubungkan sumber data Anda ke Microsoft Azure Sentinel:
| Metode penyerapan data | Artikel terkait |
|---|---|
| Integrasi layanan ke layanan Azure | Menyambungkan ke layanan Azure, Windows, Microsoft, dan Amazon |
| Format Peristiwa Umum (CEF) melalui Syslog | Menyerap pesan Syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor |
| API Azure Sentinel Data Collector API | Koneksi sumber data Anda ke API Pengumpul Data Microsoft Azure Sentinel untuk menyerap data |
| Azure Functions dan REST API | Gunakan Azure Functions untuk menyambungkan Microsoft Azure Sentinel ke sumber data Anda |
| Syslog | Menyerap pesan Syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor |
| Log kustom | Log Kustom melalui konektor data AMA - Mengonfigurasi penyerapan data ke Microsoft Azure Sentinel dari aplikasi tertentu |
Jika sumber Anda tidak tersedia, Anda dapat membuat konektor kustom. Konektor kustom menggunakan API penyerapan dan oleh karena itu mirip dengan sumber langsung. Anda paling sering menerapkan konektor kustom dengan menggunakan Azure Logic Apps, yang menawarkan opsi tanpa kode, atau Azure Functions.
Modul 5: Manajemen log
Keputusan perancangan pertama yang perlu dipertimbangkan saat Anda mengonfigurasi Microsoft Sentinel adalah jumlah ruang kerja, serta ruang kerja mana yang akan digunakan. Keputusan terkait perancangan manajemen log utama lainnya untuk dipertimbangkan meliputi:
- Tempat dan durasi penyimpanan data.
- Cara terbaik mengelola akses ke data dan mengamankannya.
Menyerap, Mengarsipkan, Mencari, dan Memulihkan Data dalam Microsoft Sentinel
Untuk memulai, tonton seminar web "Mengelola siklus hidup log Anda dengan menggunakan metode baru untuk penyerapan, pengarsipan, pencarian, dan pemulihan".
Rangkaian fitur ini berisi:
- Tingkat penyerapan dasar: Tingkat harga baru untuk Log Azure Monitor yang membuat agar Anda dapat menyerap log dengan biaya yang lebih rendah. Data ini hanya disimpan di ruang kerja selama delapan hari.
- Tingkat arsip: Log Azure Monitor memperluas kemampuan retensinya dari dua tahun menjadi tujuh tahun. Dengan tingkat baru ini, Anda dapat menyimpan data hingga tujuh tahun dalam status diarsipkan dengan biaya yang rendah.
- Mencari pekerjaan: Mencari tugas pencarian yang menjalankan KQL terbatas untuk menemukan dan menampilkan semua log yang relevan. Pekerjaan ini mencari data di seluruh tingkat analitik, tingkat dasar, serta tingkat arsip.
- Pemulihan data: Fitur baru yang membuat agar Anda dapat memilih tabel data dan rentang waktu, sehingga Anda dapat memulihkan data ke ruang kerja melalui tabel pemulihan.
Untuk informasi lebih lanjut mengenai fitur baru ini, lihat Menyerap, mengarsipkan, mencari, dan memulihkan data di Microsoft Sentinel.
Opsi retensi alternatif di luar platform Microsoft Sentinel
Jika Anda ingin menyimpan data selama lebih dari dua tahun, atau mengurangi biaya retensi, Anda dapat mempertimbangkan untuk menggunakan Azure Data Explorer untuk penyimpanan log Microsoft Sentinel jangka panjang. Lihat slide seminar web, rekaman seminar web, atau blog.
Apa Anda ingin membaca informasi lebih lanjut? Tonton seminar web "Meningkatkan luas dan cakupan perburuan dengan dukungan ADX, jenis entitas tambahan, serta integrasi MITRE yang diperbarui".
Jika Anda lebih suka solusi retensi jangka panjang lainnya, lihat Mengekspor dari ruang kerja Microsoft Sentinel / Log Analytics ke Azure Storage dan Azure Event Hubs, atau Memindahkan log ke penyimpanan jangka panjang dengan menggunakan Azure Logic Apps. Keuntungan dalam menggunakan Azure Logic Apps adalah Anda dapat mengekspor data historis.
Terakhir, Anda dapat mengatur periode retensi terperinci dengan menggunakan pengaturan retensi tingkat tabel. Untuk informasi lebih lanjut, lihat Mengonfigurasi retensi data dan kebijakan arsip di Azure Monitor Logs (Pratinjau).
Keamanan log
Gunakan kontrol akses berbasis peran sumber daya (RBAC) atau RBAC tingkat tabel untuk agar beberapa tim dapat menggunakan satu ruang kerja.
Jika perlu, hapus konten pelanggan dari ruang kerja Anda.
Pelajari cara mengaudit kueri ruang kerja dan penggunaan Microsoft Sentinel dengan menggunakan buku kerja dan kueri peringatan.
Gunakan link privat untuk memastikan bahwa log tidak pernah keluar dari jaringan privat Anda.
Kluster khusus
Gunakan kluster ruang kerja khusus jika penyerapan data yang diperkirakan jumlahnya sekitar atau lebih dari 500 GB per hari. Dengan kluster khusus, Anda dapat dengan mudah mengamankan sumber daya untuk data Microsoft Sentinel, sehingga performa kueri lebih baik untuk set data yang besar.
Modul 6: Pengayaan: Inteligensi ancaman, daftar tonton, dan banyak lagi
Salah satu fungsi penting dari SIEM adalah untuk menerapkan informasi kontekstual ke kejadian steam, mengaktifkan deteksi, prioritas peringatan, dan penyelidikan insiden. Beberapa contoh dari informasi kontekstual adalah inteligensi ancaman, kecerdasan IP, informasi host dan pengguna, serta daftar tonton.
Microsoft Sentinel menyediakan alat komprehensif untuk mengimpor, mengelola, dan menggunakan inteligensi ancaman. Untuk jenis informasi kontekstual lainnya, Microsoft Sentinel menyediakan daftar tonton dan solusi alternatif lainnya.
Inteligensi ancaman
Inteligensi ancaman adalah blok penyusun penting sebuah SIEM. Tonton seminar web "Menjelajahi Kekuatan Inteligensi Ancaman di Microsoft Sentinel".
Di Microsoft Sentinel, Anda dapat mengintegrasikan inteligensi ancaman dengan menggunakan konektor bawaan dari server TAXII (Trusted Automated eXchange of Indicator Information) atau melalui API Keamanan Microsoft Graph. Untuk informasi lebih lanjut, lihat Integrasi inteligensi ancaman di Microsoft Sentinel. Untuk informasi lebih lanjut mengenai impor inteligensi ancaman, lihat bagian Modul 4: Pengumpulan data.
Setelah diimpor, inteligensi ancaman digunakan secara ekstensif di seluruh Microsoft Sentinel. Fitur berikut berfokus pada penggunaan inteligensi ancaman:
Tampilkan dan kelola inteligensi ancaman yang diimpor di Log di area Inteligensi ancaman baru di Microsoft Sentinel.
Gunakan templat aturan analitik inteligensi ancaman bawaan untuk menghasilkan peringatan dan insiden keamanan dengan menggunakan inteligensi ancaman yang diimpor.
Visualisasikan informasi utama terkait inteligensi ancaman Anda di Microsoft Sentinel dengan menggunakan buku kerja inteligensi ancaman.
Tonton seminar web "Mengotomatiskan Upaya Triase Microsoft Sentinel Anda dengan menggunakan Inteligensi Ancaman RiskIQ": YouTube atau presentasi.
Apa Anda tidak punya banyak waktu luang? Tonton Sesi Ignite (28 menit).
Apa Anda ingin membaca informasi lebih lanjut? Lihat seminar web "Mendalami inteligensi ancaman": YouTube, MP4, atau presentasi.
Daftar tonton dan mekanisme pencarian lainnya
Untuk mengimpor dan mengelola semua jenis informasi kontekstual apa pun, Microsoft Sentinel menyediakan daftar tonton. Daftar tonton membuat agar Anda dapat mengunggah tabel data dalam format CSV dan menggunakannya dalam kueri KQL. Untuk informasi lebih lanjut, lihat Menggunakan daftar tonton di Microsoft Sentinel, atau tonton seminar web "Menggunakan daftar tonton untuk mengelola peringatan, mengurangi kelelahan peringatan, dan meningkatkan efisiensi SOC": YouTube atau presentasi.
Gunakan daftar tonton untuk membantu Anda dengan skenario berikut:
Menyelidiki ancaman dan menanggapi insiden dengan cepat: Mengimpor alamat IP, hash file, dan data lain dari file CSV dengan cepat. Setelah Anda mengimpor data, gunakan pasangan nama-nilai daftar tonton untuk gabungan dan filter dalam aturan pemberitahuan, perburuan ancaman, buku kerja, buku catatan, dan kueri umum.
Mengimpor data bisnis sebagai daftar tonton: Misalnya, mengimpor daftar pengguna dengan akses sistem hak istimewa, atau karyawan yang diberhentikan. Lalu, gunakan daftar tonton untuk membuat daftar izin dan daftar blokir untuk mendeteksi atau mencegah agar pengguna tersebut tidak masuk ke jaringan.
Mengurangi kelelahan peringatan: Membuat daftar izin untuk menekan peringatan dari sekelompok pengguna, seperti pengguna dari alamat IP resmi yang melakukan tugas yang biasanya memicu peringatan. Mencegah peristiwa yang tidak berbahaya menjadi pemberitahuan.
Memperkaya data kejadian: Menggunakan daftar tonton untuk memperkaya data kejadian Anda dengan kombinasi nama-nilai yang berasal dari sumber data eksternal.
Selain daftar tonton, Anda juga dapat menggunakan operator data eksternal KQL, log kustom, dan fungsi KQL untuk mengelola dan mengkueri informasi konteks. Seetiap metode dari keempat metode tersebut memiliki kelebihan dan kekurangannya sendiri, dan Anda dapat membaca lebih lanjut mengenai perbandingannya dalam posting blog "Menerapkan pencarian di Microsoft Sentinel." Meskipun setiap pada dasarnya metode berbeda, penggunaan informasi yang dihasilkan dalam kueri Anda sebenarnya serupa dan Anda dapat melakukan peralihan yang mudah di antara empat metode tersebut.
Baca Menggunakan daftar tonton untuk mendukung efisiensi selama penyelidikan Sentinel Microsoft yang berisi mengenai gagasan terkait penggunaan daftar tonton di luar aturan analitik.
Tonton seminar web "Menggunakan daftar tonton untuk mengelola peringatan, mengurangi kelelahan peringatan, serta meningkatkan efisiensi SOC": YouTube atau presentasi.
Module 7: Log transformasi
Microsoft Sentinel mendukung dua fitur baru untuk penyerapan dan transformasi data. Fitur ini, yang disediakan oleh Analitik Log, memproses data Anda bahkan sebelum disimpan di ruang kerja Anda. Fitur-fiturnya adalah:
API penyerapan log: Gunakan API ini untuk mengirim log format kustom dari sumber data apa pun ke ruang kerja Log Analytics Anda, dan simpan log tersebut di dalam tabel standar khusus tertentu, atau dalam tabel yang diformat khusus yang Anda buat. Anda dapat melakukan penyerapan log ini dengan menggunakan panggilan API langsung. Anda dapat menggunakan aturan pengumpulan data Azure Monitor untuk menentukan dan mengonfigurasi alur kerja ini.
Transformasi data ruang kerja untuk log standar: Fitur ini menggunakan aturan pengumpulan data untuk memfilter data yang tidak relevan, memperkaya atau memberikan tag pada data Anda, atau menyembunyikan informasi yang bersifat sensitif atau pribadi. Transformasi data dapat dikonfigurasi pada saat waktu penyerapan untuk jenis konektor data bawaan berikut:
- Konektor data berbasis Agen Azure Monitor (AMA) (Syslog dan CEF | Windows DNS | Custom)
- Konektor data yang menggunakan pengaturan diagnostik
- Konektor data layanan ke layanan
Untuk informasi selengkapnya, lihat:
- Mengubah atau menyesuaikan data pada waktu penyerapan di Microsoft Sentinel
- Menemukan konektor data Microsoft Sentinel Anda
Modul 8: Migrasi
Dalam banyak kasus (jika tidak sebagian besar), Anda sudah memiliki SIEM dan perlu bermigrasi ke Microsoft Sentinel. Meskipun saat itu mungkin merupakan waktu yang tepat untuk memulai kembali dan mempertimbangkan ulang implementasi SIEM Anda, sebenarnya masuk akal untuk memanfaatkan beberapa aset yang telah Anda bangun dalam implementasi Anda saat ini. Tonton seminar web "Praktik terbaik saat mengonversi aturan deteksi" (dari Splunk, QRadar, dan ArcSight ke Azure Microsoft Sentinel): YouTube, MP4, presentasi, atau blog.
Anda mungkin juga akan tertarik dengan beberapa referensi berikut:
Modul 9: Model informasi dan normalisasi SIEM tingkat lanjut
Penggunaan berbagai jenis data dan tabel sekaligus dapat mengarah kepada tantangan. Anda harus terbiasa dengan berbagai jenis data dan skema seiring Anda menulis dan menggunakan seperangkat aturan analitik, buku kerja, dan kueri berburu yang unik. Korelasi antara jenis data berbeda yang diperlukan untuk penyelidikan dan perburuan juga bisa menjadi rumit.
Model informasi SIEM tingkat lanjut (ASIM) memberikan pengalaman tanpa hambatan dalam menangani berbagai sumber dalam tampilan yang seragam dan dinormalisasi. ASIM selaras dengan model informasi umum Metadata Kejadian Keamanan Sumber Terbuka (OSSEM), mempromosikan yang bersifat agnostik terhadap vendor di seluruh industri. Tonton "Model informasi SIEM tingkat lanjut (ASIM): Telah disertakan dalam Microsoft Sentinel": YouTube atau presentasi.
Implementasi saat ini didasarkan pada normalisasi waktu kueri yang menggunakan fungsi KQL:
- Skema yang dinormalisasi mencakup kumpulan standar jenis peristiwa yang dapat diprediksi yang mudah digunakan dan membangun kemampuan terpadu. Skema menentukan bidang mana yang harus mewakili suatu peristiwa, konvensi penamaan kolom yang dinormalisasi, dan format standar untuk nilai bidang.
- Tonton seminar web "Memahami normalisasi di Microsoft Sentinel": YouTube atau presentasi.
- Tonton seminar web "Mendalami pengurai normalisasi dan konten yang dinormalisasi Microsoft Sentinel": YouTube, MP3, atau presentasi.
Pengurai memetakan data yang ada ke skema yang dinormalisasi. Anda menerapkan pengurai dengan menggunakan fungsi KQL. Tonton seminar web "Memperluas dan mengelola ASIM: Mengembangkan, menguji, dan menyebarkan pengurai": YouTube atau presentasi.
Konten untuk setiap skema yang dinormalisasi antara lain aturan analitik, buku kerja, kueri berburu. Konten ini berfungsi pada data apa pun yang dinormalisasi tanpa perlu membuat konten khusus sumber.
Menggunakan ASIM memberikan manfaat sebagai berikut:
Deteksi lintas sumber: Aturan analitik yang dinormalisasi berfungsi di seluruh lokal sumber dan di cloud. Aturan tersebut mendeteksi adanya serangan, seperti brute force, atau saat penjelajahan di seluruh sistem tidak bisa dilakukan, termasuk Okta, AWS, dan Azure.
Mengizinkan konten yang bersifat agnostik sumber: Melibatkan konten bawaan dan khusus yang menggunakan ASIM akan secara otomatis memperluas ke sumber apa pun yang mendukung ASIM, bahkan meskipun sumber tersebut ditambahkan setelah konten dibuat. Misalnya, analitik kejadian proses mendukung sumber apa pun yang mungkin digunakan oleh pelanggan untuk memasukkan data, termasuk Pertahanan Microsoft untuk Titik Akhir, Windows Events, dan Sysmon. Kami siap untuk menambahkan Sysmon untuk Linux dan WEF setelah fitur tersebut dirilis.
Dukungan untuk sumber kustom Anda di analitik bawaan
Kemudahan penggunaan: Analis yang mempelajari ASIM merasa jauh lebih mudah dalam menulis kueri karena nama bidangnya selalu sama.
Pelajari ASIM lebih lanjut
Manfaatkan referensi berikut:
Tonton seminar web gambaran umum "Memahami normalisasi di Microsoft Sentinel": YouTube atau presentasi.
Tonton seminar web "Mendalami pengurai normalisasi dan konten yang dinormalisasi Microsoft Sentinel": YouTube, MP3, atau presentasi.
Tonton seminar web "ASIM Turbocharge: Memastikan bahwa normalisasi meningkatkan performa, bukan memengaruhinya": YouTube, MP4, atau presentasi.
Baca dokumentasi ASIM.
Menyebarkan ASIM
Sebarkan pengurai dari folder, dimulai dengan “ASIM*” di folder pengurai di GitHub.
Aktifkan aturan analitik yang menggunakan ASIM. Cari normal di galeri templat untuk menemukan beberapa aturan analitik tersebut. Untuk mendapatkan daftar lengkapnya, gunakan penelusuran GitHub ini.
Gunakan ASIM
Gunakan kueri berburu ASIM dari GitHub.
Gunakan kueri ASIM saat Anda menggunakan KQL di layar log.
Tulis aturan analitik Anda sendiri dengan menggunakan ASIM, atau konversi aturan yang sudah ada.
Tulis pengurai untuk sumber kustom Anda agar kompatibel dengan ASIM, dan ambil bagian dalam analitik bawaan.
Bagian 3: Membuat konten
Apa yang dimaksud dengan konten Microsoft Sentinel?
Nilai keamanan Microsoft Sentinel terletak pada kombinasi dari kemampuan bawaannya dan kemampuan Anda dalam membuat kemampuan yang kustom dan menyesuaikan kemampuan bawaannya. Di antara kemampuan bawaan, ada Analitik Perilaku Pengguna dan Entitas (UEBA), pembelajaran mesin, atau aturan analitik di luar kotak. Kemampuan yang dikustomisasi sering disebut sebagai "konten", dan mencakup aturan analitik, kueri berburu, buku kerja, playbook, dll.
Di bagian ini, kami mengelompokkan modul yang membantu Anda mempelajari cara membuat konten tersebut atau memodifikasi konten bawaan sesuai kebutuhan Anda. Kita akan mulai dengan KQL, yaitu bahasa pengantar dari Azure Microsoft Sentinel. Modul berikut membahas salah satu blok pembangun konten seperti aturan, playbook, dan buku kerja. Modul berikut mengakhiri seri modul ini dengan membahas kasus penggunaan, antara lain elemen dari berbagai jenis kasus untuk mendiskusikan tujuan keamanan tertentu seperti deteksi ancaman, perburuan, atau tata kelola.
Modul 10: Bahasa Kueri Kusto
Sebagian besar kemampuan Microsoft Sentinel menggunakan Bahasa Kueri Kusto (KQL). Saat Anda mencari di log, menulis aturan, membuat kueri berburu, atau mendesain buku kerja, Anda menggunakan KQL.
Bagian selanjutnya tentang aturan penulisan menjelaskan cara menggunakan KQL dalam konteks spesifik aturan SIEM.
Di bawah ini adalah perjalanan yang direkomendasikan dalam mempelajari KQL Microsoft Sentinel
Kursus KQL Pluralsight: Menyediakan pengetahuan dasar
KQL yang Wajib Dipelajari: Seri KQL yang terdiri dari 20 bagian yang berisi dasar-dasar pembuatan aturan analitik pertama Anda (termasuk penilaian dan sertifikat)
Lab KQL Microsoft Sentinel: Lab interaktif yang mengajarkan KQL yang berfokus pada apa yang Anda butuhkan untuk Microsoft Sentinel:
- Modul pembelajaran (SC-200 bagian 4)
- Presentasi atau URL lab
- Versi notebook Jupyter yang membuat agar Anda dapat menguji kueri di dalam notebook
- Seminar web pembelajaran: YouTube atau MP4
- Meninjau seminar web solusi lab: YouTube atau MP4
Seminar web "Mengoptimalkan performa kueri KQL Azure Microsoft Sentinel": YouTube, MP4, atau presentasi
"Menggunakan ASIM dalam kueri KQL Anda": YouTube atau presentasi
Seminar web "Kerangka kerja KQL untuk Microsoft Sentinel: Mendukung agar Anda menjadi ahli dalalm KQL": YouTube atau presentasi
Anda mungkin juga akan merasa bahwa referensi berikut berguna saat mempelajari KQL:
Modul 11: Analitik
Menulis aturan analitik terjadwal
Microsoft Sentinel membuat agar Anda dapat menggunakan templat aturan bawaan, menyesuaikan templat untuk lingkungan Anda, atau membuat aturan kustom. Inti dari aturan adalah kueri KQL; namun, ada lebih dari itu untuk dikonfigurasi dalam aturan.
Untuk mempelajari prosedur dalam pembuatan aturan, lihat Membuat aturan analitik kustom untuk mendeteksi ancaman. Untuk mempelajari cara menulis aturan (apa yang harus dimasukkan ke dalam aturan dengan fokus pada KQL untuk aturan), tonton seminar web: MP4, YouTube, presentasi.
Aturan analitik SIEM memiliki pola spesifik. Pelajari cara menerapkan aturan dan menulis KQL untuk pola tersebut:
Aturan korelasi: Lihat Menggunakan daftar dan operator "in" atau menggunakan operator "join"
Agregasi: Lihat Menggunakan daftar dan operator "in", atau jendela geser penanganan pola tingkat lanjut
Pencarian: Pencarian reguler, atau perkiraan, parsial, dan gabungan
Menangani positif salah
Kejadian yang tertunda: Fakta di SIEM mana pun dan sulit untuk ditangani. Microsoft Sentinel dapat membantu mengurangi penundaan dalam aturan Anda.
Menggunakan fungsi KQL sebagai blok penyusun: Memperkaya Kejadian Keamanan Windows dengan fungsi yang dijadikan parameter.
Posting blog, "Penyelidikan penyimpanan Blob dan File" memberikan contoh langkah demi langkah terkait penulisan aturan analitik yang berguna.
Menggunakan analitik bawaan
Sebelum memulai menulis aturan sendiri, Anda harus memanfaatkan kemampuan analitik bawaan. Mereka tidak membutuhkan banyak dari Anda, tetapi ada baiknya mempelajarinya:
Gunakan template aturan terjadwal bawaan. Anda dapat menyetel templat tersebut dengan memodifikasinya dengan cara yang sama seperti mengedit aturan terjadwal. Pastikan untuk menyebarkan templat konektor data yang Anda sambungkan, yang tercantum di tab Langkah selanjutnya konektor data.
Pelajari lebih lanjut Kemampuan pembelajaran mesin Microsoft Sentinel: MP4, YouTube, atau presentasi.
Temukan daftar Deteksi serangan multi-tahapan tingkat lanjut (Fusion) Microsoft Sentinel yang diaktifkan secara default.
Tonton seminar web "Deteksi pembelajaran mesin Fusion dengan aturan analitik terjadwal": YouTube, MP4, atau presentasi.
Pelajari lebih lanjut Anomali pembelajaran mesin SOC bawaan Microsoft Sentinel.
Tonton seminar web "Anomali pembelajaran mesin SOC yang disesuaikan serta cara menggunakannya": YouTube, MP4, atau presentasi.
Tonton seminar web "Deteksi pembelajaran mesin Fusion untuk ancaman dan konfigurasi antarmuka pengguna yang muncul": YouTube atau presentasi.
Modul 12: Menerapkan SOAR
Dalam SIEM modern seperti Microsoft Sentinel, SOAR meliputi seluruh prosesnya, mulai dari saat insiden dipicu hingga diselesaikan. Proses ini dimulai dengan investigasi insiden dan berlanjut dengan tanggapan otomatis. Posting blog "Cara menggunakan Microsoft Sentinel untuk Respons Insiden, Orkestrasi, dan Automasi" memberikan gambaran umum tentang kasus penggunaan umum untuk SOAR.
Aturan automasi adalah titik awal untuk automasi Microsoft Sentinel. Aturan tersebut menyediakan metode ringan dalam penanganan insiden otomatis terpusat, termasuk penyembunyian, penanganan positif salah, dan penugasan otomatis.
Untuk menyediakan kemampuan otomatisasi berbasis alur kerja yang kuat, aturan automasi menggunakan Playbook Logic Apps. Untuk mempelajari selengkapnya:
Tonton seminar web "Melepaskan trik Jedi automasi dan membangun playbook Logic Apps seperti ahlinya": YouTube, MP4, atau presentasi.
Baca mengenai Logic Apps, yang merupakan teknologi inti yang mendorong playbook Microsoft Sentinel.
Lihat Konektor Logic Apps Microsoft Sentinel, yang menghubungkan antara Logic Apps dan Microsoft Sentinel.
Temukan puluhan playbook yang berguna di folder Playbook di situs GitHub Microsoft Sentinel, atau baca Playbook menggunakan daftar pengawasan untuk memberi tahu pemilik langganan tentang pemberitahuan untuk panduan playbook.
Modul 13: Buku kerja, pelaporan, dan visualisasi
Buku kerja
Sebagai pusat SOC, Anda memerlukan Microsoft Sentinel untuk memvisualisasikan informasi yang dikumpulkan dan dihasilkannya. Gunakan buku kerja untuk memvisualisasikan data di Microsoft Sentinel.
Untuk mempelajari cara membuat buku kerja, baca dokumentasi Azure Workbooks, atau tonton Pelatihan buku kerja Billy York (dan teks pelengkap).
Referensi yang disebutkan di atas tidak hanya ditujukan untuk Microsoft Sentinel. Melainkan berlaku untuk buku kerja secara umum. Untuk mempelajari lebih lanjut buku kerja di Microsoft Sentinel, tonton seminar web: YouTube, MP4, atau presentasi. Baca dokumentasi.
Buku kerja dapat interaktif dan memungkinkan lebih dari sekadar pembuatan bagan. Dengan buku kerja, Anda dapat membuat aplikasi atau modul ekstensi untuk Microsoft Sentinel guna melengkapi fungsionalitas bawaannya. Anda juga dapat menggunakan buku kerja untuk memperluas fitur Microsoft Sentinel. Berikut adalah beberapa contoh aplikasi tersebut:
Buku Kerja Wawasan Penyelidikan memberikan pendekatan alternatif untuk menyelidiki insiden.
Visualisasi grafik kolaborasi tim eksternal membuat agar Anda dapat melakukan perburuan penggunaan Teams yang berisiko.
Buku kerja peta perjalanan pengguna membuat agar Anda dapat melakukan penyelidikan peringatan lokasi geografis.
Panduan implementasi buku kerja protokol tidak aman Microsoft Sentinel, penyempurnaan terbaru, serta video gambaran umum) akan membantu Anda dalam mengidentifikasi penggunaan protokol yang tidak aman di jaringan Anda.
Terakhir, pelajari cara mengintegrasikan informasi dari sumber mana pun menggunakan panggilan API dalam buku kerja.
Anda akan menemukan banyak buku kerja dalam folder Buku Kerja di GitHub Microsoft Sentinel. Beberapa di antaranya juga tersedia di galeri buku kerja Microsoft Sentinel.
Pelaporan dan opsi visualisasi lainnya
Buku kerja dapat berfungsi untuk pelaporan. Untuk kemampuan pelaporan yang lebih canggih seperti penjadwalan dan distribusi laporan atau tabel pivot, Anda mungkin ingin menggunakan:
Power BI, yang terintegrasi secara asli dengan Log Azure Monitor dan Microsoft Sentinel.
Excel, yang dapat menggunakan Log Azure Monitor dan Microsoft Sentinel sebagai sumber data, dan tonton video "Mengintegrasikan Log Azure Monitor dan Excel dengan Azure Monitor".
Notebook Jupyter yang akan dibahas kemudian dalam modul berburu juga merupakan alat visualisasi yang bagus.
Modul 14: Notebooks
Notebook Jupyter terintegrasi penuh dengan Microsoft Sentinel. Meskipun dianggap sebagai alat penting dalam peti alat pemburu dan membahas webinar di bagian perburuan, nilainya jauh lebih luas. Notebooks dapat menyediakan visualisasi tingkat lanjut, panduan penyelidikan, dan untuk automasi canggih.
Untuk memahami Notebooks dengan lebih baik, tonton Video pengantar Notebooks. Mulailah menggunakan seminar web Notebooks (YouTube, MP4, Presentasi), atau baca dokumentasi. Seri Ninja Notebooks Microsoft Sentinel adalah seri pelatihan berkelanjutan untuk meningkatkan kemampuan Anda di Notebooks.
Sebuah bagian yang penting dari integrasinya diimplementasikan oleh MSTICPY, yang merupakan pustaka Python yang dikembangkan oleh tim peneliti kami untuk digunakan dengan notebooks Jupyter. Ini menambahkan antarmuka Microsoft Sentinel dan kemampuan keamanan canggih ke notebook Anda.
Modul 15: Kasus penggunaan dan solusi
Konektor, aturan, playbook, dan buku kerja membuat agar Anda dapat menerapkan kasus penggunaan, yang merupakan istilah SIEM untuk paket konten yang ditujukan untuk mendeteksi dan menanggapi ancaman. Anda dapat menyebarkan kasus penggunaan bawaan Microsoft Sentinel dengan mengaktifkan aturan yang disarankan saat menyambungkan setiap konektor. Solusi adalah sekelompok kasus penggunaan yang menangani domain ancaman tertentu.
Seminar web "Menangani Identitas" (YouTube, MP4, atau presentasi) menjelaskan definisi kasus penggunaan serta cara memperlakukan desainnya, dan seminar web tersebut juga membahas beberapa kasus penggunaan yang mengatasi ancaman identitas secara kolektif.
Area solusi lain yang relevan adalah melindungi pekerjaan jarak jauh. Tonton Sesi Ignite mengenai perlindungan pekerjaan jarak jauh, dan baca lebih lanjut mengenai kasus penggunaan tertentu:
Kasus penggunaan perburuan Microsoft Teams dan Visualisasi grafik kolaborasi tim Microsoft Teams
Memantau Zoom dengan Microsoft Sentinel: konektor kustom, aturan analitik, dan kueri berburu.
Memantau Azure Virtual Desktop dengan Microsoft Azure Sentinel: gunakan Keamanan Windows Events, log masuk Microsoft Entra, Microsoft Defender XDR for Endpoints, dan log diagnostik Azure Virtual Desktop untuk mendeteksi dan berburu ancaman Azure Virtual Desktop.
Pantau Microsoft Intune menggunakan kueri dan buku kerja.
Dan terakhir, dengan berfokus pada serangan terbaru, pelajari cara memantau rantai pasokan perangkat lunak dengan Microsoft Sentinel.
Solusi Microsoft Sentinel memberikan kemampuan untuk ditemukan dalam produk, penyebaran satu langkah, dan pengaktifan produk, domain, dan/atau skenario vertikal ujung-ke-ujung di Microsoft Sentinel. Untuk informasi lebih lanjut, lihat Tentang konten dan solusi Microsoft Sentinel, dan tonton seminar web "Membuat solusi Microsoft Sentinel Anda sendiri": YouTube atau presentasi.
Bagian 4: Pengoperasian
Modul 16: Menangani insiden
Setelah membangun SOC, Anda perlu mulai menggunakannya. Seminar web "kehidupan sehari-hari sebagai analis SOC" (YouTube, MP4, Presentasi) memandu Anda dalam menggunakan Microsoft Sentinel di SOC untuk melakukan triase, menyelidiki, serta menanggapi insiden.
Untuk membantu tim Anda dalam berkolaborasi tanpa hambatan di seluruh organisasi dan dengan pemangku kepentingan eksternal, lihat Mengintegrasikan dengan Microsoft Teams langsung dari Microsoft Sentinel. Selain itu, tonton seminar web "Menurunkan MTTR (Mean Time to Repond) SOC Anda dengan mengintegrasikan Microsoft Sentinel dengan Microsoft Teams".
Anda mungkin juga ingin membaca artikel dokumentasi tentang penyelidikan insiden. Sebagai bagian dari penyelidikan, Anda juga akan menggunakan halaman entitas untuk mendapatkan informasi lebih lanjut tentang entitas yang terkait dengan insiden atau yang diidentifikasi sebagai bagian dari penyelidikan Anda.
Penyelidikan insiden di Microsoft Sentinel melampaui fungsionalitas investigasi insiden inti. Anda dapat membuat lebih banyak alat investigasi dengan menggunakan buku kerja dan buku catatan, Notebook dibahas di bagian berikutnya, Modul 17: Perburuan. Anda juga dapat membangun lebih banyak alat penyelidikan atau memodifikasi alat yang sudah ada untuk kebutuhan khusus Anda. Contohnya meliputi:
Buku Kerja Wawasan Penyelidikan memberikan pendekatan alternatif untuk menyelidiki insiden.
Notebook meningkatkan pengalaman investigasi. Baca Mengapa harus menggunakan Jupyter untuk penyelidikan keamanan?, dan pelajari cara melakukan penyelidikan dengan menggunakan Microsoft Sentinel and notebook Jupyter:
Modul 17: Perburuan
Meskipun sebagian besar pembahasan sejauh ini berfokus pada deteksi dan manajemen insiden, perburuan juga merupakan kasus penggunaan penting untuk Microsoft Sentinel. Perburuan adalah penelusuran proaktif untuk ancaman, bukan respons reaktif terhadap pemberitahuan.
Dasbor perburuan terus diperbarui. Ini menunjukkan semua kueri yang ditulis oleh tim Microsoft analis keamanan dan kueri tambahan apa pun yang Anda buat atau ubah. Setiap kueri menyediakan deskripsi objek yang diburu, serta jenis data yang dijalankan. Templat ini dikelompokkan berdasarkan berbagai taktiknya. Ikon di sebelah kanan merupakan kategorisasi jenis ancaman, seperti akses awal, persistensi, dan eksfiltrasi. Untuk informasi selengkapnya, lihat Berburu ancaman dengan Microsoft Sentinel.
Untuk memahami lebih lanjut mengenai definisi perburuan dan bagaimana Microsoft Sentinel mendukungnya, tonton seminar web pengenalan "Perburuan ancaman": YouTube, MP4, atau presentasi. Seminar web dimulai dengan pembaruan fitur baru. Untuk mempelajari tentang perburuan, mulai dari slide 12. Video YouTube sudah diatur agar memulai dari sana.
Sementara seminar web intro berfokus pada alat, perburuan cenderung lebih fokus pada keamanan. Seminar web tim peneliti keamanan kami (YouTube, MP4, atau presentasi) berfokus pada cara melakukan perburuan.
Seminar web lanjutannya, yaitu "Perburuan ancaman AWS dengan menggunakan Microsoft Sentinel" (YouTube, MP4, atau presentasi) menunjukkan intinya dengan menampilkan skenario perburuan ujung ke ujung pada lingkungan target bernilai tinggi.
Terakhir, Anda dapat mempelajari cara melakukan Perburuan setekah penyusupan SolarWinds dengan Microsoft Sentinel dan Perburuan WebShell, yang diadakan sebagai respons kerentanan terbaru di server Exchange Microsoft lokal.
Modul 18: Analitik Perilaku Pengguna dan Entitas (UEBA)
Modul Microsoft Sentinel Analitik Perilaku Pengguna dan Entitas (UEBA) yang baru diperkenalkan membuat agar Anda dapat mengidentifikasi dan menyelidiki ancaman di dalam organisasi Anda, serta potensi dampaknya, baik entitas yang disusupi atau orang dalam yang berbahaya.
Saat Microsoft Sentinel mengumpulkan log dan peringatan dari semua sumber data yang tersambung, Microsoft Sentinel juga menganalisisnya dan membangun profil perilaku garis besar dari entitas organisasi Anda (seperti pengguna, host, alamat IP, dan aplikasi) di seluruh waktu dan cakupan grup serekan. Melalui berbagai teknik dan kemampuan pembelajaran mesin, Microsoft Sentinel kemudian dapat mengidentifikasi aktivitas anomali dan membantu Anda menentukan apakah aset disusupi. Tidak hanya itu, tetapi juga dapat mengetahui sensitivitas relatif dari aset tertentu, mengidentifikasi aset dari grup serekan, dan mengevaluasi dampak potensial dari setiap aset yang disusupi ("radius ledakannya"). Berbekal informasi ini, Anda dapat secara efektif memangkatkan investigasi dan penanganan insiden Anda.
Pelajari UEBA lebih lanjut dengan menonton seminar web (YouTube, MP4, atau presentasi), dan baca terkait penggunaan UEBA untuk penyelidikan di SOC Anda.
Untuk mempelajari pembaruan terbaru, tonton seminar web "Masa Depan Analitik Perilaku Entitas Pengguna di Microsoft Sentinel".
Modul 19: Memantau kesehatan Microsoft Sentinel
Salah satu bagian dari pengoperasian SIEM adalah memastikan bahwa SIEM bekerja dengan lancar dan merupakan area yang berkembang di Azure Sentinel. Gunakan yang berikut ini untuk memantau kesehatan Microsoft Sentinel:
Tinjau tingkat efisiensi Operasi keamanan Anda (video).
Tabel data Kesehatan Microsoft Sentinel menyediakan wawasan terkait penyimpangan kesehatan, seperti kejadian kegagalan terbaru dari setiap konektor, atau konektor dengan perubahan dari kondisi berhasil ke kondisi gagal, yang dapat Anda gunakan untuk membuat peringatan dan tindakan otomatis lainnya. Untuk info selengkapnya, lihat Memantau kesehatan konektor data Anda. Tonton video "Buku Kerja Pemantauan Kesehatan Konektor Data". Selain itu, dapatkan pemberitahuan terkait anomali.
Pantau agen dengan menggunakan solusi kesehatan agen (khusus Windows) dan tabel Heartbeat(Linux dan Windows).
Pantau ruang kerja Log Analytics Anda: YouTube, MP4, atau presentasi, termasuk eksekusi kueri dan kesehatan penyerapan.
Manajemen biaya juga merupakan prosedur operasional penting di SOC. Gunakan Playbook Peringatan Biaya Penyerapan untuk memastikan bahwa Anda mengetahui adanya kenaikan biaya.
Bagian 5: Tingkat Lanjut
Modul 20: Memperluas dan mengintegrasikan dengan menggunakan API Microsoft Sentinel
Sebagai SIEM asli cloud, Microsoft Sentinel adalah sistem API pertama. Setiap fitur dapat dikonfigurasi dan digunakan melalui API, sehingga integrasi dengan sistem lain menjadi mudah, dan Microsoft Sentinel dapat diperluas dengan menggunakan kode Anda sendiri. Jika API terdengar menakutkan bagi Anda, jangan khawatir. Fitur pun yang tersedia dengan menggunakan API juga tersedia dengan menggunakan PowerShell.
Untuk mempelajari API Microsoft Sentinel lebih lanjut, tonton video pengantar singkat dan baca posting blog. Untuk mendalami materi ini, lihat seminar web "Memperluas dan mengintegrasikan Sentinel (API)" (YouTube, MP4, atau presentasi), dan baca posting blog Memperluas Microsoft Sentinel: API, integrasi, dan otomatisasi manajemen.
Modul 21: Membangun pembelajaran mesin Anda sendiri
Microsoft Sentinel menyediakan platform yang cocok untuk menerapkan algoritma pembelajaran mesin Anda sendiri. Kami menyebutnya Model pembelajaran mesin Build-your-own, atau BYO ML. BYO ML ditujukan bagi pengguna tingkat lanjut. Jika Anda mencari analitik perilaku bawaan, gunakan aturan analitik pembelajaran mesin kami atau modul UEBA, atau tulis aturan analitik berbasis KQL analitik perilaku Anda sendiri.
Untuk memulai dengan membawa pembelajaran mesin Anda sendiri ke Microsoft Sentinel, tonton video "Membangun model pembelajaran mesin Anda sendiri", dan baca Membangun deteksi model pembelajaran mesin Anda sendiri di posting blog SIEM Azure Sentinel yang sarat akan AI. Anda mungkin juga ingin menjadikan Dokumentasi BYO ML sebagai referensi.
Langkah berikutnya
- Panduan penyebaran untuk Microsoft Azure Sentinel
- Mulai Cepat: Onboard Microsoft Sentinel
- Apa yang baru di Microsoft Sentinel