Bagikan melalui

Menggunakan analitik yang cocok untuk mendeteksi ancaman

  • Artikel
  • Berlaku untuk:
    Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Manfaatkan inteligensi ancaman yang dihasilkan oleh Microsoft untuk menghasilkan pemberitahuan dan insiden dengan keakuratan tinggi dengan aturan analitik Inteligensi Ancaman Microsoft Defender. Aturan bawaan di Microsoft Azure Sentinel ini cocok dengan indikator dengan log Common Event Format (CEF), peristiwa DNS Windows dengan indikator ancaman domain dan IPv4, data syslog, dan banyak lagi.

Penting

Analitik yang cocok saat ini dalam pratinjau. Lihat Ketentuan Penggunaan Tambahan untuk Pratinjau Microsoft Azure untuk persyaratan hukum lainnya yang berlaku untuk fitur Azure yang dalam versi beta, pratinjau, atau belum dirilis ke ketersediaan umum.

Prasyarat

Anda harus menginstal satu atau beberapa konektor data yang didukung untuk menghasilkan pemberitahuan dan insiden dengan keakuratan tinggi. Lisensi Inteligensi Ancaman Microsoft Defender premium tidak diperlukan. Instal solusi yang sesuai dari hub Konten untuk menyambungkan sumber data ini:

  • Format Peristiwa Umum
  • DNS (pratinjau)
  • Syslog
  • Log aktivitas Office
  • Log aktivitas Azure
  • Log DNS ASIM
  • Sesi Jaringan ASIM

Cuplikan layar yang memperlihatkan koneksi sumber data aturan analitik Inteligensi Ancaman Microsoft Defender.

Misalnya, bergantung pada sumber data, Anda mungkin menggunakan solusi dan konektor data berikut:

Solusi Konektor data
Solusi Format Peristiwa Umum untuk Sentinel Konektor Format Peristiwa Umum untuk Microsoft Azure Sentinel
Windows Server DNS Konektor DNS untuk Microsoft Azure Sentinel
Solusi Syslog untuk Sentinel Konektor Syslog untuk Microsoft Azure Sentinel
Solusi Microsoft 365 untuk Sentinel Konektor Office 365 untuk Microsoft Azure Sentinel
Solusi Aktivitas Azure untuk Sentinel Konektor Aktivitas Azure untuk Microsoft Azure Sentinel

Mengonfigurasi aturan analitik yang cocok

Analitik yang cocok dikonfigurasi saat Anda mengaktifkan aturan analitik Inteligensi Ancaman Microsoft Defender.

  1. Di bawah bagian Konfigurasi, pilih menu Analitik.

  2. Pilih tab Templat aturan .

  3. Di jendela pencarian, masukkan inteligensi ancaman.

  4. Pilih templat aturan analitik Inteligensi Ancaman Microsoft Defender.

  5. Pilih Buat aturan. Detail aturan hanya dibaca, dan status default aturan diaktifkan.

  6. Pilih Tinjau>Buat.

Cuplikan layar yang memperlihatkan aturan analitik Inteligensi Ancaman Microsoft Defender diaktifkan pada tab Aturan aktif.

Sumber dan indikator data

Inteligensi Ancaman Microsoft Defender Analytics cocok dengan log Anda dengan indikator domain, IP, dan URL dengan cara berikut:

  • Log CEF yang diserap ke dalam tabel Log Analytics CommonSecurityLog cocok dengan URL dan indikator domain jika diisi di RequestURL bidang , dan indikator IPv4 di DestinationIP bidang .
  • Log DNS Windows, di mana SubType == "LookupQuery" diserap ke dalam DnsEvents tabel cocok dengan indikator domain yang diisi di Name bidang , dan indikator IPv4 di IPAddresses bidang .
  • Peristiwa Syslog, di mana Facility == "cron" diserap ke dalam tabel cocok dengan Syslog domain dan indikator IPv4 langsung dari SyslogMessage bidang .
  • Log aktivitas Office yang diserap ke OfficeActivity dalam tabel cocok dengan indikator IPv4 langsung dari ClientIP bidang .
  • Log aktivitas Azure yang diserap ke AzureActivity dalam tabel cocok dengan indikator IPv4 langsung dari CallerIpAddress bidang .
  • Log DNS ASIM yang diserap ke dalam ASimDnsActivityLogs tabel cocok dengan indikator domain jika diisi di DnsQuery bidang , dan indikator IPv4 di DnsResponseName bidang .
  • Sesi Jaringan ASIM yang diserap ke dalam ASimNetworkSessionLogs tabel cocok dengan indikator IPv4 jika diisi dalam satu atau beberapa bidang berikut: DstIpAddr, , SrcNatIpAddrDstNatIpAddr, , SrcIpAddrDvcIpAddr.

Triase insiden yang dihasilkan oleh analitik yang cocok

Jika analitik Microsoft menemukan kecocokan, pemberitahuan apa pun yang dihasilkan dikelompokkan ke dalam insiden.

Gunakan langkah-langkah berikut untuk melakukan triase melalui insiden yang dihasilkan oleh aturan analitik Inteligensi Ancaman Microsoft Defender:

  1. Di ruang kerja Microsoft Azure Sentinel tempat Anda mengaktifkan aturan analitik Inteligensi Ancaman Microsoft Defender, pilih Insiden, dan cari analitik Inteligensi Ancaman Microsoft Defender.

    Setiap insiden yang ditemukan muncul di kisi.

  2. Pilih Lihat detail untuk melihat entitas dan detail lain tentang insiden, seperti pemberitahuan.

    Berikut adalah contoh.

    Cuplikan layar insiden yang dihasilkan oleh analitik yang cocok dengan panel detail.

  3. Amati tingkat keparahan yang ditetapkan ke pemberitahuan dan insiden. Bergantung pada bagaimana indikator dicocokkan, tingkat keparahan yang sesuai ditetapkan ke pemberitahuan dari Informational ke High. Misalnya, jika indikator dicocokkan dengan log firewall yang memungkinkan lalu lintas, pemberitahuan tingkat keparahan tinggi dihasilkan. Jika indikator yang sama dicocokkan dengan log firewall yang memblokir lalu lintas, pemberitahuan yang dihasilkan rendah atau sedang.

    Pemberitahuan kemudian dikelompokkan berdasarkan indikator yang dapat diamati. Misalnya, semua pemberitahuan yang dihasilkan dalam periode waktu 24 jam yang cocok contoso.com dengan domain dikelompokkan ke dalam satu insiden dengan tingkat keparahan yang ditetapkan berdasarkan tingkat keparahan pemberitahuan tertinggi.

  4. Amati informasi indikator. Saat kecocokan ditemukan, indikator diterbitkan ke tabel Analitik ThreatIntelligenceIndicators Log, dan muncul di halaman Inteligensi Ancaman. Untuk indikator apa pun yang diterbitkan dari aturan ini, sumber didefinisikan sebagai Inteligensi Ancaman Microsoft Defender Analytics.

Berikut adalah contoh ThreatIntelligenceIndicators tabel.

Cuplikan layar yang memperlihatkan tabel ThreatIntelligenceIndicator memperlihatkan indikator dengan SourceSystem dari Microsoft Threat Intelligence Analytics.

Berikut adalah contoh halaman Inteligensi Ancaman.

Cuplikan layar yang memperlihatkan gambaran umum Inteligensi Ancaman dengan indikator yang dipilih memperlihatkan sumber sebagai Microsoft Threat Intelligence Analytics.

Dapatkan konteks lainnya dari Inteligensi Ancaman Microsoft Defender

Bersama dengan pemberitahuan dan insiden dengan keakuratan tinggi, beberapa indikator Inteligensi Ancaman Microsoft Defender menyertakan tautan ke artikel referensi di portal komunitas Inteligensi Ancaman Microsoft Defender.

Cuplikan layar yang memperlihatkan insiden dengan tautan ke artikel referensi Inteligensi Ancaman Microsoft Defender.

Untuk informasi selengkapnya, lihat Apa itu Inteligensi Ancaman Microsoft Defender?.

Konten terkait

Dalam artikel ini, Anda mempelajari cara menyambungkan inteligensi ancaman yang dihasilkan oleh Microsoft untuk menghasilkan pemberitahuan dan insiden. Untuk informasi selengkapnya tentang inteligensi ancaman di Microsoft Azure Sentinel, lihat artikel berikut ini: