Menggunakan playbook Microsoft Azure Sentinel untuk menghentikan pengguna yang berpotensi disusupi
Artikel ini menjelaskan skenario sampel tentang bagaimana Anda dapat menggunakan playbook dan aturan otomatisasi untuk mengotomatiskan respons insiden dan memulihkan ancaman keamanan. Aturan otomatisasi membantu Anda melakukan triase insiden di Microsoft Azure Sentinel, dan juga digunakan untuk menjalankan playbook sebagai respons terhadap insiden atau pemberitahuan. Untuk informasi selengkapnya, lihat Otomatisasi di Microsoft Azure Sentinel: Orkestrasi keamanan, otomatisasi, dan respons (SOAR).
Skenario sampel yang dijelaskan dalam artikel ini menjelaskan cara menggunakan aturan otomatisasi dan playbook untuk menghentikan pengguna yang berpotensi disusupi saat insiden dibuat.
Catatan
Karena playbook menggunakan Azure Logic Apps, biaya tambahan mungkin berlaku. Buka halaman harga Azure Logic Apps untuk mengetahui detail selengkapnya.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Prasyarat
Peran berikut diperlukan untuk menggunakan Azure Logic Apps untuk membuat dan menjalankan playbook di Microsoft Azure Sentinel.
| Peran | Deskripsi |
|---|---|
| Pemilik | Memungkinkan Anda memberikan akses ke playbook di grup sumber daya. |
| Kontributor Aplikasi Logika | Memungkinkan Anda mengelola aplikasi logika dan menjalankan playbook. Tidak memungkinkan Anda untuk memberikan akses ke playbook. |
| Operator Aplikasi Logika | Memungkinkan Anda membaca, mengaktifkan, dan menonaktifkan aplikasi logika. Tidak memungkinkan Anda mengedit atau memperbarui aplikasi logika. |
| Kontributor Microsoft Azure Sentinel | Memungkinkan Anda melampirkan playbook ke analitik atau aturan otomatisasi. |
| Penanggap Microsoft Azure Sentinel | Memungkinkan Anda mengakses insiden untuk menjalankan playbook secara manual, tetapi tidak memungkinkan Anda untuk menjalankan playbook. |
| Microsoft Sentinel Playbook Operator | Memungkinkan Anda menjalankan playbook secara manual. |
| Kontributor Automasi Microsoft Azure Sentinel | Memungkinkan aturan otomatisasi untuk menjalankan playbook. Peran ini tidak digunakan untuk tujuan lain. |
Tab Playbook aktif di halaman Automation menampilkan semua playbook aktif yang tersedia di semua langganan yang dipilih. Secara default, playbook hanya dapat digunakan dalam langganan tempat playbook berada, kecuali Anda secara khusus memberikan izin Microsoft Azure Sentinel ke grup sumber daya playbook.
Izin tambahan yang diperlukan untuk menjalankan playbook pada insiden
Microsoft Sentinel menggunakan akun layanan untuk menjalankan playbook pada insiden, untuk menambahkan keamanan dan mengaktifkan API aturan otomatisasi untuk mendukung kasus penggunaan CI/CD. Akun layanan ini digunakan untuk playbook yang dipicu insiden, atau saat Anda menjalankan playbook secara manual pada insiden tertentu.
Selain peran dan izin Anda sendiri, akun layanan Microsoft Azure Sentinel ini harus memiliki serangkaian izin sendiri pada grup sumber daya tempat playbook berada, dalam bentuk peran Kontributor Otomatisasi Microsoft Sentinel. Setelah Microsoft Sentinel memiliki peran ini, Microsoft Azure Sentinel dapat menjalankan playbook apa pun di grup sumber daya yang relevan, secara manual atau dari aturan otomatisasi.
Untuk memberi Microsoft Azure Sentinel izin yang diperlukan, Anda harus memiliki peran administrator akses Pemilik atau Pengguna. Untuk menjalankan playbook, Anda juga memerlukan peran Kontributor Aplikasi Logika pada grup sumber daya yang berisi playbook yang ingin Anda jalankan.
Menghentikan pengguna yang berpotensi disusupi
Tim SOC ingin memastikan bahwa pengguna yang berpotensi disusupi tidak dapat bergerak di sekitar jaringan mereka dan mencuri informasi. Kami menyarankan agar Anda membuat respons otomatis dan multifaktor terhadap insiden yang dihasilkan oleh aturan yang mendeteksi pengguna yang disusupi untuk menangani skenario tersebut.
Konfigurasikan aturan otomatisasi dan playbook Anda untuk menggunakan alur berikut:
Insiden dibuat untuk pengguna yang berpotensi disusupi dan aturan otomatisasi dipicu untuk memanggil playbook Anda.
Playbook membuka tiket di sistem tiket TI Anda, seperti ServiceNow.
Playbook juga mengirim pesan ke saluran operasi keamanan Anda di Microsoft Teams atau Slack untuk memastikan analis keamanan Anda mengetahui insiden tersebut.
Playbook juga mengirimkan semua informasi dalam insiden dalam pesan email ke admin jaringan senior dan admin keamanan Anda. Pesan email menyertakan tombol opsi Blokir dan Abaikan pengguna.
Playbook menunggu sampai respons diterima dari admin, lalu melanjutkan dengan langkah-langkah berikutnya.
Jika admin memilih Blokir, playbook mengirimkan perintah ke ID Microsoft Entra untuk menonaktifkan pengguna, dan satu ke firewall untuk memblokir alamat IP.
Jika admin memilih Abaikan, playbook menutup insiden di Microsoft Azure Sentinel, dan tiket di ServiceNow.
Cuplikan layar berikut menunjukkan tindakan dan kondisi yang akan Anda tambahkan dalam membuat playbook sampel ini:
