Memahami inteligensi ancaman di Microsoft Azure Sentinel
Microsoft Sentinel adalah solusi manajemen peristiwa dan informasi keamanan cloud-native (SIEM) dengan kemampuan untuk menarik inteligensi ancaman dengan cepat dari berbagai sumber.
Penting
Microsoft Sentinel sekarang tersedia secara umum dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Pengantar inteligensi ancaman
Inteligensi ancaman cyber (CTI) adalah informasi yang menjelaskan ancaman yang ada atau potensial bagi sistem dan pengguna. Kecerdasan ini mengambil banyak bentuk seperti laporan tertulis yang merinci motivasi, infrastruktur, dan teknik aktor ancaman tertentu. Ini juga dapat menjadi pengamatan khusus alamat IP, domain, hash file, dan artefak lain yang terkait dengan ancaman cyber yang diketahui.
Organisasi menggunakan CTI untuk memberikan konteks penting terhadap aktivitas yang tidak biasa sehingga personel keamanan dapat dengan cepat mengambil tindakan untuk melindungi orang, informasi, dan aset mereka. Anda dapat sumber CTI dari banyak tempat, seperti:
- Umpan data sumber terbuka.
- Komunitas berbagi inteligensi ancaman.
- Umpan kecerdasan komersial.
- Inteligensi lokal dikumpulkan dalam proses penyelidikan keamanan dalam organisasi.
Untuk solusi SIEM seperti Microsoft Sentinel, bentuk CTI yang paling umum adalah indikator ancaman, yang juga dikenal sebagai indikator kompromi (IOP) atau indikator serangan. Indikator ancaman adalah data yang mengaitkan artefak yang diamati seperti URL, hash file, atau alamat IP dengan aktivitas ancaman yang diketahui seperti phishing, botnet, atau malware. Bentuk inteligensi ancaman ini sering disebut inteligensi ancaman taktis. Ini diterapkan pada produk keamanan dan otomatisasi dalam skala besar untuk mendeteksi potensi ancaman terhadap organisasi dan melindunginya.
Gunakan indikator ancaman di Microsoft Azure Sentinel untuk mendeteksi aktivitas berbahaya yang diamati di lingkungan Anda dan memberikan konteks kepada penyelidik keamanan untuk menginformasikan keputusan respons.
Anda dapat mengintegrasikan inteligensi ancaman ke Microsoft Azure Sentinel melalui aktivitas berikut:
- Impor inteligensi ancaman ke Microsoft Azure Sentinel dengan mengaktifkan konektor data ke berbagai platform dan umpan inteligensi ancaman.
- Lihat dan kelola inteligensi ancaman yang diimpor di Log dan pada panel Inteligensi Ancaman Microsoft Azure Sentinel.
- Deteksi ancaman dan hasilkan pemberitahuan dan insiden keamanan dengan menggunakan templat aturan Analitik bawaan berdasarkan inteligensi ancaman yang Diimpor.
- Gambarkan informasi utama tentang inteligensi ancaman impor Anda di Microsoft Sentinel dengan buku kerja Inteligensi Ancaman.
Microsoft memperkaya semua indikator inteligensi ancaman impor dengan data GeoLocation dan WhoIs, yang ditampilkan bersama dengan informasi indikator lainnya.
Inteligensi ancaman juga menyediakan konteks yang berguna dalam pengalaman Microsoft Azure Sentinel lainnya, seperti berburu dan notebook. Untuk informasi selengkapnya, lihat Notebook Jupyter di Microsoft Azure Sentinel dan Tutorial: Mulai menggunakan notebook Jupyter dan MSTICPy di Microsoft Azure Sentinel.
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Mengimpor inteligensi ancaman dengan konektor data
Indikator ancaman diimpor dengan menggunakan konektor data, sama seperti semua data peristiwa lainnya di Microsoft Azure Sentinel. Berikut adalah konektor data di Microsoft Azure Sentinel yang disediakan khusus untuk indikator ancaman:
- Inteligensi Ancaman Microsoft Defender konektor data: Digunakan untuk menyerap indikator ancaman Microsoft.
- Konektor data Inteligensi Ancaman Defender Premium: Digunakan untuk menyerap umpan kecerdasan premium Inteligensi Ancaman Defender.
- Inteligensi Ancaman - TAXII: Digunakan untuk umpan STIX/TAXII standar industri.
- API Indikator Pengunggahan Inteligensi Ancaman: Digunakan untuk umpan inteligensi ancaman terintegrasi dan dikumpulkan dengan menggunakan REST API untuk menyambungkan.
- Konektor data Threat Intelligence Platform (TIP): Digunakan untuk menyambungkan umpan inteligensi ancaman dengan menggunakan REST API, tetapi berada di jalur untuk penghentian.
Gunakan salah satu konektor data ini dalam kombinasi apa pun bersama-sama, tergantung di mana organisasi Anda sumber indikator ancaman. Ketiga konektor ini tersedia di hub Konten sebagai bagian dari solusi Inteligensi Ancaman. Untuk informasi selengkapnya tentang solusi ini, lihat entri Marketplace Azure Inteligensi Ancaman.
Selain itu, lihat katalog integrasi inteligensi ancaman ini yang tersedia dengan Microsoft Sentinel.
Menambahkan indikator ancaman ke Microsoft Azure Sentinel dengan konektor data Inteligensi Ancaman Defender
Bawa IOC publik, sumber terbuka, dan keakuratan tinggi yang dihasilkan oleh Inteligensi Ancaman Defender ke ruang kerja Microsoft Azure Sentinel Anda dengan konektor data Inteligensi Ancaman Defender. Dengan penyiapan satu klik sederhana, gunakan inteligensi ancaman dari konektor data Inteligensi Ancaman Defender standar dan premium untuk memantau, memperingatkan, dan berburu.
Aturan analitik ancaman Defender Threat Intelligence yang tersedia secara bebas memberi Anda sampel apa yang disediakan konektor data Inteligensi Ancaman Defender premium. Namun, dengan analitik yang cocok, hanya indikator yang cocok dengan aturan yang diserap ke lingkungan Anda. Konektor data Inteligensi Ancaman Defender premium menghadirkan inteligensi ancaman premium dan memungkinkan analitik untuk lebih banyak sumber data dengan fleksibilitas dan pemahaman yang lebih besar tentang inteligensi ancaman tersebut. Berikut adalah tabel yang menunjukkan apa yang diharapkan saat Anda melisensikan dan mengaktifkan konektor data Inteligensi Ancaman Defender premium.
| Gratis | Premium |
|---|---|
| IOC Publik | |
| Kecerdasan sumber terbuka (OSINT) | |
| Microsoft IOCs | |
| OSINT yang diperkaya Microsoft |
Untuk informasi lebih lanjut, baca artikel berikut:
- Untuk mempelajari cara mendapatkan lisensi premium dan menjelajahi semua perbedaan antara versi standar dan premium, lihat halaman produk Inteligensi Ancaman Microsoft Defender.
- Untuk mempelajari selengkapnya tentang pengalaman Inteligensi Ancaman Defender gratis, lihat Memperkenalkan pengalaman gratis Inteligensi Ancaman Defender untuk Microsoft Defender XDR.
- Untuk mempelajari cara mengaktifkan Inteligensi Ancaman Defender dan konektor data Inteligensi Ancaman Defender premium, lihat Mengaktifkan konektor data Inteligensi Ancaman Defender.
- Untuk mempelajari tentang analitik yang cocok, lihat Menggunakan analitik yang cocok untuk mendeteksi ancaman.
Menambahkan indikator ancaman ke Microsoft Azure Sentinel dengan konektor data THREAT Intelligence Upload Indicators API
Banyak organisasi menggunakan solusi platform inteligensi ancaman (TIP) untuk menggabungkan umpan indikator ancaman dari berbagai sumber. Dari umpan agregat, data dikumpulkan untuk diterapkan ke solusi keamanan seperti perangkat jaringan, solusi EDR/XDR, atau SIEM seperti Microsoft Sentinel. Dengan menggunakan konektor data THREAT Intelligence Upload Indicators API, Anda dapat menggunakan solusi ini untuk mengimpor indikator ancaman ke Microsoft Sentinel.
Konektor data ini menggunakan API baru dan menawarkan peningkatan berikut:
- Bidang indikator ancaman didasarkan pada format standar STIX.
- Aplikasi Microsoft Entra hanya memerlukan peran Kontributor Microsoft Sentinel.
- Titik akhir permintaan API dilingkupkan di tingkat ruang kerja. Izin aplikasi Microsoft Entra yang diperlukan memungkinkan penugasan terperinci di tingkat ruang kerja.
Untuk informasi selengkapnya, lihat Menyambungkan platform inteligensi ancaman Anda menggunakan API Unggah Indikator.
Menambahkan indikator ancaman ke Microsoft Azure Sentinel dengan konektor data Platform Inteligensi Ancaman
Sama seperti konektor data API Indikator Unggah yang ada, konektor data Platform Inteligensi Ancaman menggunakan API yang memungkinkan TIP atau solusi kustom Anda untuk mengirim indikator ke Microsoft Azure Sentinel. Namun, konektor data ini sekarang berada di jalur untuk penghentian. Kami menyarankan agar Anda memanfaatkan pengoptimalan yang ditawarkan API Indikator Unggah.
Konektor data TIP berfungsi dengan Microsoft Graph Security tiIndicators API. Anda juga dapat menggunakannya dengan TIP kustom apa pun yang berkomunikasi dengan API tiIndicators untuk mengirim indikator ke Microsoft Sentinel (dan ke solusi keamanan Microsoft lainnya seperti Defender XDR).
Untuk mengetahui informasi lebih lanjut tentang solusi TIP yang terintegrasi dengan Microsoft Sentinel, lihat Produk platform inteligensi ancaman terintegrasi. Untuk mengetahui informasi selengkapnya, lihat Menghubungkan platform inteligensi ancaman Anda ke Microsoft Sentinel.
Menambahkan indikator ancaman ke Microsoft Sentinel dengan konektor data Inteligensi Ancaman - TAXII
Standar industri yang paling banyak diadopsi untuk transmisi inteligensi ancaman adalah kombinasi format data STIX dan protokol TAXII. Jika organisasi Anda mendapatkan indikator ancaman dari solusi yang mendukung versi STIX/TAXII saat ini (2.0 atau 2.1), gunakan konektor data Inteligensi Ancaman - TAXII untuk membawa indikator ancaman Anda ke Microsoft Azure Sentinel. Konektor data Inteligensi Ancaman - TAXII memungkinkan klien TAXII bawaan di Microsoft Sentinel mengimpor inteligensi ancaman dari server TAXII 2.x.
Ikuti langkah-langkah ini untuk mengimpor indikator ancaman berformat STIX ke Microsoft Sentinel dari server TAXII:
- Dapatkan akar API server TAXII dan ID pengumpulan.
- Aktifkan konektor data Inteligensi Ancaman - TAXII di Microsoft Azure Sentinel.
Untuk mengetahui informasi selengkapnya, lihat Menghubungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII.
Melihat dan mengelola indikator ancaman Anda
Lihat dan kelola indikator Anda di halaman Inteligensi Ancaman. Mengurutkan, memfilter, dan mencari indikator ancaman impor Anda tanpa menulis kueri Analitik Log.
Dua tugas inteligensi ancaman yang paling umum adalah pemberian tag indikator dan pembuatan indikator baru yang terkait dengan penyelidikan keamanan. Buat atau edit indikator ancaman langsung di halaman Inteligensi Ancaman saat Anda hanya perlu mengelola beberapa dengan cepat.
Menandai indikator ancaman adalah cara mudah untuk mengelompokkannya bersama-sama untuk membuatnya lebih mudah ditemukan. Biasanya, Anda mungkin menerapkan tag ke indikator yang terkait dengan insiden tertentu, atau jika indikator mewakili ancaman dari aktor tertentu yang dikenal atau kampanye serangan terkenal. Setelah Anda mencari indikator yang ingin Anda kerjakan, Anda dapat menandainya satu per satu. Indikator multipilih dan tandai semuanya sekaligus dengan satu atau beberapa tag. Karena pemberian tag adalah bentuk bebas, kami sarankan Anda membuat konvensi penamaan standar untuk tag indikator ancaman.
Validasi indikator Anda dan lihat indikator ancaman yang berhasil diimpor dari ruang kerja Analitik Log dengan dukungan Microsoft Sentinel. Tabel ThreatIntelligenceIndicator di bawah skema Microsoft Azure Sentinel adalah tempat semua indikator ancaman Microsoft Azure Sentinel Anda disimpan. Tabel ini adalah dasar untuk kueri inteligensi ancaman yang dilakukan oleh fitur Microsoft Azure Sentinel lainnya, seperti analitik dan buku kerja.
Berikut adalah contoh tampilan kueri dasar untuk indikator ancaman.
Indikator inteligensi ancaman diserap ke dalam ThreatIntelligenceIndicator tabel ruang kerja Analitik Log Anda sebagai baca-saja. Setiap kali indikator diperbarui, entri baru dalam ThreatIntelligenceIndicator tabel dibuat. Hanya indikator terbaru yang muncul di halaman Inteligensi Ancaman. Microsoft Sentinel mendeduplikasi indikator berdasarkan IndicatorId properti dan SourceSystem dan memilih indikator dengan yang terbaru TimeGenerated[UTC].
Properti IndicatorId dihasilkan dengan menggunakan ID indikator STIX. Ketika indikator diimpor atau dibuat dari sumber non-STIX, IndicatorId dihasilkan oleh sumber dan pola indikator.
Untuk informasi selengkapnya tentang melihat dan mengelola indikator ancaman Anda, lihat Bekerja dengan indikator ancaman di Microsoft Azure Sentinel.
Melihat pengayaan data GeoLocation dan WhoIs Anda (pratinjau publik)
Microsoft memperkaya INDIKATOR IP dan domain dengan tambahan GeoLocation dan WhoIs data untuk memberikan konteks lebih lanjut untuk penyelidikan tempat IOC yang dipilih ditemukan.
Tampilkan GeoLocation dan WhoIs data di panel Inteligensi Ancaman untuk jenis indikator ancaman yang diimpor ke Microsoft Azure Sentinel.
Misalnya, gunakan GeoLocation data untuk menemukan informasi seperti organisasi atau negara untuk indikator IP. Gunakan WhoIs data untuk menemukan data seperti pencatat dan merekam data pembuatan dari indikator domain.
Mendeteksi ancaman dengan analitik indikator ancaman
Kasus penggunaan paling penting untuk indikator ancaman dalam solusi SIEM seperti Microsoft Sentinel adalah untuk memberi daya aturan analitik deteksi ancaman. Aturan berbasis indikator ini membandingkan peristiwa mentah dari sumber data Anda dengan indikator ancaman Anda untuk mendeteksi ancaman keamanan di organisasi Anda. Di Analytics Microsoft Sentinel, Anda membuat aturan analitik yang berjalan secara terjadwal dan membuat pemberitahuan keamanan. Aturan didorong oleh kueri. Seiring dengan konfigurasi, mereka menentukan seberapa sering aturan harus berjalan, jenis hasil kueri apa yang harus menghasilkan pemberitahuan dan insiden keamanan, dan, secara opsional, kapan harus memicu respons otomatis.
Meskipun Anda selalu dapat membuat aturan analitik baru dari awal, Microsoft Sentinel menyediakan serangkaian templat aturan bawaan, yang dibuat oleh teknisi keamanan Microsoft, untuk memanfaatkan indikator ancaman Anda. Templat ini didasarkan pada jenis indikator ancaman (domain, email, hash file, alamat IP, atau URL) dan peristiwa sumber data yang ingin Anda cocokkan. Setiap templat mencantumkan sumber yang diperlukan agar aturan berfungsi. Informasi ini memudahkan untuk menentukan apakah peristiwa yang diperlukan sudah diimpor di Microsoft Azure Sentinel.
Secara default, ketika aturan bawaan ini dipicu, pemberitahuan dibuat. Di Microsoft Azure Sentinel, pemberitahuan yang dihasilkan dari aturan analitik juga menghasilkan insiden keamanan. Pada menu Microsoft Azure Sentinel, di bawah Manajemen ancaman, pilih Insiden. Insiden adalah triase dan penyelidikan tim operasi keamanan Anda untuk menentukan tindakan respons yang sesuai. Untuk informasi selengkapnya, lihat Tutorial: Menyelidiki insiden dengan Microsoft Azure Sentinel.
Untuk informasi selengkapnya tentang menggunakan indikator ancaman dalam aturan analitik Anda, lihat Menggunakan inteligensi ancaman untuk mendeteksi ancaman.
Microsoft menyediakan akses ke inteligensi ancamannya melalui aturan analitik Inteligensi Ancaman Defender. Untuk informasi selengkapnya tentang cara memanfaatkan aturan ini, yang menghasilkan peringatan dan insiden dengan keakuratan tinggi, lihat Menggunakan analitik yang cocok untuk mendeteksi ancaman.
Buku kerja menyediakan wawasan tentang inteligensi ancaman Anda
Buku kerja menyediakan dasbor interaktif canggih yang memberi Anda wawasan tentang semua aspek Microsoft Sentinel, dan tanpa terkecuali, inteligensi ancaman. Gunakan buku kerja Inteligensi Ancaman bawaan untuk memvisualisasikan informasi utama tentang inteligensi ancaman Anda. Anda dapat dengan mudah mengkustomisasi buku kerja sesuai dengan kebutuhan bisnis Anda. Buat dasbor baru dengan menggabungkan banyak sumber data untuk membantu Anda memvisualisasikan data anda dengan cara yang unik.
Karena buku kerja Microsoft Azure Sentinel didasarkan pada buku kerja Azure Monitor, dokumentasi ekstensif dan banyak lagi templat sudah tersedia. Untuk informasi selengkapnya, lihat Membuat laporan interaktif dengan buku kerja Azure Monitor.
Ada juga sumber daya yang kaya untuk buku kerja Azure Monitor di GitHub, di mana Anda dapat mengunduh lebih banyak templat dan berkontribusi templat Anda sendiri.
Untuk informasi selengkapnya tentang menggunakan dan mengkustomisasi buku kerja Inteligensi Ancaman, lihat Bekerja dengan indikator ancaman di Microsoft Azure Sentinel.
Konten terkait
Dalam artikel ini, Anda mempelajari tentang kemampuan inteligensi ancaman Microsoft Azure Sentinel, termasuk panel Inteligensi Ancaman. Untuk panduan praktis tentang menggunakan kemampuan inteligensi ancaman Microsoft Azure Sentinel, lihat artikel berikut ini:
- Sambungkan Microsoft Sentinel ke umpan inteligensi ancaman STIX/TAXII.
- Menghubungkan platform intelijen ancaman ke Microsoft Sentinel.
- Lihat platform TIP, umpan TAXII, dan pengayaan mana yang mudah diintegrasikan dengan Microsoft Azure Sentinel.
- Bekerja dengan indikator ancaman sepanjang pengalaman Microsoft Sentinel.
- Mendeteksi ancaman dengan aturan analitik bawaan atau kustom di Microsoft Azure Sentinel.
- Selidiki insiden di Microsoft Sentinel.