Deteksi ancaman di Microsoft Azure Sentinel
Setelah menyiapkan Microsoft Azure Sentinel untuk mengumpulkan data dari seluruh organisasi, Anda perlu terus menggali semua data tersebut untuk mendeteksi ancaman keamanan terhadap lingkungan Anda. Untuk menyelesaikan tugas ini, Microsoft Azure Sentinel menyediakan aturan deteksi ancaman yang berjalan secara teratur, mengkueri data yang dikumpulkan dan menganalisisnya untuk menemukan ancaman. Aturan ini hadir dalam beberapa rasa yang berbeda dan secara kolektif dikenal sebagai aturan analitik.
Aturan ini menghasilkan pemberitahuan saat mereka menemukan apa yang mereka cari. Pemberitahuan berisi informasi tentang peristiwa yang terdeteksi, seperti entitas (pengguna, perangkat, alamat, dan item lainnya) yang terlibat. Pemberitahuan dikumpulkan dan dikorelasikan ke dalam insiden—file kasus—yang dapat Anda tetapkan dan selidiki untuk mempelajari sejauh mana ancaman yang terdeteksi dan meresponsnya. Anda juga dapat membangun respons otomatis yang telah ditentukan sebelumnya ke dalam konfigurasi aturan itu sendiri.
Anda dapat membuat aturan ini dari awal, menggunakan wizard aturan analitik bawaan. Namun, Microsoft sangat mendorong Anda untuk menggunakan berbagai templat aturan analitik yang tersedia untuk Anda melalui banyak solusi untuk Microsoft Azure Sentinel yang disediakan di hub konten. Templat ini adalah prototipe aturan bawaan, yang dirancang oleh tim pakar keamanan dan analis berdasarkan pengetahuan mereka tentang ancaman yang diketahui, vektor serangan umum, dan rantai eskalasi aktivitas yang mencurigakan. Anda mengaktifkan aturan dari templat ini untuk mencari secara otomatis di seluruh lingkungan Anda untuk setiap aktivitas yang terlihat mencurigakan. Banyak templat dapat disesuaikan untuk mencari jenis peristiwa tertentu, atau memfilternya, sesuai dengan kebutuhan Anda.
Artikel ini membantu Anda memahami bagaimana Microsoft Azure Sentinel mendeteksi ancaman, dan apa yang terjadi selanjutnya.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Jenis aturan analitik
Anda dapat melihat aturan dan templat analitik yang tersedia untuk Anda gunakan di halaman Analitik menu Konfigurasi di Microsoft Azure Sentinel. Aturan yang saat ini aktif terlihat dalam satu tab, dan templat untuk membuat aturan baru di tab lain. Tab ketiga menampilkan Anomali, jenis aturan khusus yang dijelaskan nanti dalam artikel ini.
Untuk menemukan lebih banyak templat aturan daripada yang ditampilkan saat ini, buka hub Konten di Microsoft Azure Sentinel untuk menginstal solusi produk terkait atau konten mandiri. Templat aturan analitik tersedia dengan hampir setiap solusi produk di hub konten.
Jenis aturan analitik dan templat aturan berikut ini tersedia di Microsoft Azure Sentinel:
Selain jenis aturan sebelumnya, ada beberapa jenis templat khusus lainnya yang masing-masing dapat membuat satu instans aturan, dengan opsi konfigurasi terbatas:
- Inteligensi ancaman
- Deteksi serangan multistage tingkat lanjut ("Fusion")
- Analitik perilaku pembelajaran mesin (ML)
Aturan terjadwal
Sejauh ini jenis aturan analitik yang paling umum, Aturan terjadwal didasarkan pada kueri Kusto yang dikonfigurasi untuk berjalan secara berkala dan memeriksa data mentah dari periode "lookback" yang ditentukan. Jika jumlah hasil yang diambil oleh kueri melewati ambang batas yang dikonfigurasi dalam aturan, aturan akan menghasilkan pemberitahuan.
Kueri dalam templat aturan terjadwal ditulis oleh pakar keamanan dan ilmu data, baik dari Microsoft atau dari vendor solusi yang menyediakan templat. Kueri dapat melakukan operasi statistik yang kompleks pada data targetnya, mengungkapkan garis besar dan outlier dalam grup peristiwa.
Logika kueri ditampilkan dalam konfigurasi aturan. Anda bisa menggunakan logika kueri dan pengaturan penjadwalan dan lookback seperti yang ditentukan dalam templat, atau mengkustomisasinya untuk membuat aturan baru. Atau, Anda dapat membuat aturan yang sama sekali baru dari awal.
Pelajari selengkapnya tentang Aturan analitik terjadwal di Microsoft Azure Sentinel.
Aturan near-real-time (NRT)
Aturan NRT adalah subset terbatas dari aturan terjadwal. Mereka dirancang untuk berjalan sekali setiap menit, untuk memberi Anda informasi yang up-to-the-minute mungkin.
Mereka berfungsi sebagian besar seperti aturan terjadwal dan dikonfigurasi sama, dengan beberapa keterbatasan.
Pelajari selengkapnya tentang Deteksi ancaman cepat dengan aturan analitik mendekati real-time (NRT) di Microsoft Azure Sentinel.
Aturan anomali
Aturan anomali menggunakan pembelajaran mesin untuk mengamati jenis perilaku tertentu selama jangka waktu tertentu untuk menentukan garis besar. Setiap aturan memiliki parameter dan ambang uniknya sendiri, sesuai dengan perilaku yang dianalisis. Setelah periode pengamatan selesai, garis besar diatur. Ketika aturan mengamati perilaku yang melebihi batas yang ditetapkan dalam garis besar, aturan tersebut menandai kemunculan tersebut sebagai anomali.
Meskipun konfigurasi aturan di luar kotak tidak dapat diubah atau disempurnakan, Anda dapat menduplikasi aturan, lalu mengubah dan menyempurnakan duplikat. Dalam kasus seperti itu, jalankan duplikasi dalam mode Flighting dan secara bersamaan dalam mode Produksi. Lalu bandingkan hasil, dan alihkan duplikat ke Produksi jika dan ketika penyetelannya sesuai dengan keinginan Anda.
Anomali tidak selalu menunjukkan perilaku berbahaya atau bahkan mencurigakan sendiri. Oleh karena itu, aturan anomali tidak menghasilkan pemberitahuan mereka sendiri. Sebaliknya, mereka merekam hasil analisis mereka—anomali yang terdeteksi—dalam tabel Anomali . Anda dapat mengkueri tabel ini untuk memberikan konteks yang meningkatkan deteksi, investigasi, dan perburuan ancaman Anda.
Untuk informasi selengkapnya, lihat Gunakan anomali kustom untuk mendeteksi ancaman di Microsoft Azure Sentinel dan Bekerja dengan aturan analitik deteksi anomali di Azure Sentinel.
Aturan keamanan Microsoft
Meskipun aturan terjadwal dan NRT secara otomatis membuat insiden untuk pemberitahuan yang dihasilkan, pemberitahuan yang dihasilkan di layanan eksternal dan diserap ke Microsoft Sentinel tidak membuat insiden mereka sendiri. Aturan keamanan Microsoft secara otomatis membuat insiden Microsoft Azure Sentinel dari pemberitahuan yang dihasilkan di solusi keamanan Microsoft lainnya, secara real time. Anda dapat menggunakan templat keamanan Microsoft untuk membuat aturan baru dengan logika serupa.
Penting
Aturan keamanan Microsoft tidak tersedia jika Anda memiliki:
- Mengaktifkan integrasi insiden Microsoft Defender XDR, atau
- Onboarding Microsoft Sentinel ke platform operasi keamanan terpadu.
Dalam skenario ini, Microsoft Defender XDR membuat insiden sebagai gantinya.
Aturan apa pun yang telah Anda tentukan sebelumnya secara otomatis dinonaktifkan.
Untuk informasi selengkapnya tentang aturan pembuatan insiden keamanan Microsoft, lihat Membuat insiden secara otomatis dari pemberitahuan keamanan Microsoft.
Inteligensi ancaman
Manfaatkan inteligensi ancaman yang dihasilkan oleh Microsoft untuk menghasilkan pemberitahuan dan insiden keakuratan tinggi dengan aturan Microsoft Threat Intelligence Analytics . Aturan unik ini tidak dapat disesuaikan, tetapi saat diaktifkan, secara otomatis cocok dengan log Common Event Format (CEF), data Syslog, atau peristiwa DNS Windows dengan indikator ancaman domain, IP, dan URL dari Microsoft Threat Intelligence. Indikator tertentu berisi lebih banyak informasi konteks melalui MDTI (Inteligensi Ancaman Microsoft Defender).
Untuk informasi selengkapnya tentang cara mengaktifkan aturan ini, lihat Menggunakan analitik yang cocok untuk mendeteksi ancaman.
Untuk informasi selengkapnya tentang MDTI, lihat Apa itu Inteligensi Ancaman Microsoft Defender.
Deteksi serangan multistage tingkat lanjut (Fusion)
Microsoft Sentinel menggunakan mesin korelasi Fusion, dengan algoritma pembelajaran mesin yang dapat diskalakan, untuk mendeteksi serangan multistage tingkat lanjut dengan menghubungkan banyak peringatan dan peristiwa keakuratan rendah di beberapa produk menjadi insiden dengan keakuratan tinggi dan dapat ditindaklanjuti. Aturan deteksi serangan multitahakan tingkat lanjut diaktifkan secara default. Karena logika disembunyikan dan oleh karena itu tidak dapat disesuaikan, hanya ada satu aturan dengan templat ini.
Mesin Fusion juga dapat menghubungkan pemberitahuan yang dihasilkan oleh aturan analitik terjadwal dengan pemberitahuan dari sistem lain, yang menghasilkan insiden keakuratan tinggi sebagai hasilnya.
Penting
Jenis aturan deteksi serangan multitahakan tingkat lanjut tidak tersedia jika Anda memiliki:
- Mengaktifkan integrasi insiden Microsoft Defender XDR, atau
- Onboarding Microsoft Sentinel ke platform operasi keamanan terpadu.
Dalam skenario ini, Microsoft Defender XDR membuat insiden sebagai gantinya.
Selain itu , beberapa templat deteksi Fusion saat ini dalam PRATINJAU (lihat Deteksi serangan multistage tingkat lanjut di Microsoft Azure Sentinel untuk melihat templat mana). Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk ketentuan hukum tambahan yang berlaku untuk fitur Azure dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.
Analitik perilaku pembelajaran mesin (ML)
Manfaatkan algoritma pembelajaran mesin milik Microsoft untuk menghasilkan pemberitahuan dan insiden keakuratan tinggi dengan aturan Analitik Perilaku ML. Aturan unik ini (saat ini dalam Pratinjau) tidak dapat disesuaikan, tetapi ketika diaktifkan, mendeteksi perilaku masuk SSH dan RDP anomali tertentu berdasarkan IP dan geolokasi dan informasi riwayat pengguna.
Izin akses untuk aturan analitik
Saat Anda membuat aturan analitik, token izin akses diterapkan ke aturan dan disimpan bersama dengannya. Token ini memastikan bahwa aturan dapat mengakses ruang kerja yang berisi data yang dikueri oleh aturan, dan bahwa akses ini dipertahankan meskipun pembuat aturan kehilangan akses ke ruang kerja tersebut.
Namun, ada satu pengecualian untuk akses ini: ketika aturan dibuat untuk mengakses ruang kerja di langganan atau penyewa lain, seperti apa yang terjadi dalam kasus MSSP, Microsoft Sentinel mengambil langkah-langkah keamanan ekstra untuk mencegah akses tidak sah ke data pelanggan. Untuk jenis aturan ini, kredensial pengguna yang membuat aturan diterapkan ke aturan alih-alih token akses independen, sehingga ketika pengguna tidak lagi memiliki akses ke langganan atau penyewa lain, aturan berhenti berfungsi.
Jika Anda mengoperasikan Microsoft Sentinel dalam skenario lintas langganan atau lintas penyewa, saat salah satu analis atau insinyur Anda kehilangan akses ke ruang kerja tertentu, aturan apa pun yang dibuat oleh pengguna tersebut berhenti berfungsi. Dalam situasi ini, Anda mendapatkan pesan pemantauan kesehatan mengenai "akses ke sumber daya yang tidak memadai", dan aturan dinonaktifkan secara otomatis setelah gagal beberapa kali.
Mengekspor aturan ke templat ARM
Anda dapat dengan mudah mengekspor aturan Anda ke templat Azure Resource Manager (ARM) jika Anda ingin mengelola dan menyebar aturan Anda sebagai kode. Anda juga bisa mengimpor aturan dari file templat untuk menampilkan dan mengeditnya di antarmuka pengguna.
Langkah berikutnya
Pelajari selengkapnya tentang Aturan analitik terjadwal di Microsoft Azure Sentinel dan Deteksi ancaman cepat dengan aturan analitik mendekati real-time (NRT) di Microsoft Azure Sentinel.
Untuk menemukan templat aturan lainnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.