Langkah 3. Menyerap sumber data dan mengonfigurasi deteksi insiden di Microsoft Azure Sentinel
Setelah Anda selesai merancang dan mengimplementasikan ruang kerja Microsoft Azure Sentinel, lanjutkan untuk menyerap sumber data dan mengonfigurasi deteksi insiden.
Solusi di Microsoft Azure Sentinel menyediakan cara terkonsolidasi untuk memperoleh konten Microsoft Azure Sentinel, seperti konektor data, buku kerja, analitik, dan otomatisasi, di ruang kerja Anda dengan satu langkah penyebaran.
Konektor data dikonfigurasi untuk mengaktifkan penyerapan data ke ruang kerja. Setelah mengaktifkan poin data utama untuk diserap ke Microsoft Sentinel, analitik perilaku pengguna dan entitas (UEBA) dan aturan analitik juga harus diaktifkan untuk menangkap aktivitas anomali dan berbahaya. Aturan analitik menentukan bagaimana pemberitahuan dan insiden dihasilkan dalam instans Microsoft Azure Sentinel Anda. Menyesuaikan aturan analitik dengan lingkungan dan kebutuhan organisasi Anda melalui pemetaan entitas memungkinkan Anda menghasilkan insiden dengan keakuratan tinggi dan mengurangi kelelahan pemberitahuan.
Jika Anda telah melakukan onboarding ruang kerja ke platform operasi keamanan terpadu, prosedur dalam langkah ini tersedia di portal Azure dan Defender.
Sebelum Anda mulai
Konfirmasikan metode penginstalan, peran yang diperlukan, dan lisensi yang diperlukan untuk mengaktifkan konektor data. Untuk informasi selengkapnya, lihat Menemukan konektor data Microsoft Azure Sentinel Anda.
Tabel berikut adalah ringkasan prasyarat yang diperlukan untuk menyerap konektor data Microsoft Azure Sentinel kunci untuk Azure dan layanan Microsoft:
| Jenis Sumber Daya | Metode Penginstalan | Peran/Izin/Lisensi yang Diperlukan |
|---|---|---|
| Microsoft Entra ID | Konektor Data Asli | Administrator Keamanan Log Masuk memerlukan lisensi Microsoft Entra ID P1 atau P2 Log lain tidak memerlukan P1 atau P2 |
| Perlindungan ID Microsoft Entra | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft Entra ID P2 |
| Aktivitas Azure | Kebijakan Azure | Peran pemilik diperlukan pada langganan |
| Pertahanan Microsoft XDR | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft 365 E5, Microsoft 365 A5, atau lisensi microsoft Defender XDR lainnya yang memenuhi syarat |
| Microsoft Defender untuk Cloud | Konektor Data Asli | Pembaca Keamanan Untuk mengaktifkan sinkronisasi dua arah, peran Kontributor/Admin Keamanan diperlukan pada langganan. |
| Pertahanan Microsoft untuk Identitas | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft Defender untuk Identitas |
| Microsoft Defender untuk Office 365 | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft Defender untuk Office 365 Paket 2 |
| Microsoft 365 | Konektor Data Asli | Administrator Keamanan |
| Pertahanan Microsoft untuk IoT | Kontributor langganan dengan hub IoT | |
| Aplikasi Microsoft Defender untuk Cloud | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft Defender untuk Cloud Apps |
| Microsoft Defender untuk Titik Akhir | Konektor Data Asli | Administrator Keamanan Lisensi: Microsoft Defender untuk Titik Akhir |
| Peristiwa Keamanan Windows melalui Agen Azure Monitor (AMA) |
Konektor Data Asli dengan Agen | Baca/Tulis di Ruang Kerja Analitik Log |
| Syslog | Konektor Data Asli dengan Agen | Membaca/Menulis Ruang Kerja Analitik Log |
Langkah 1: Instal solusi dan aktifkan konektor data
Gunakan rekomendasi berikut untuk mulai menginstal solusi dan mengonfigurasi konektor data. Untuk informasi selengkapnya, lihat:
- Katalog hub konten Microsoft Azure Sentinel
- Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel
Menyiapkan sumber data gratis
Mulailah dengan fokus menyiapkan sumber data gratis untuk menyerap, termasuk:
Log aktivitas Azure: Menyerap Log aktivitas Azure sangat penting dalam mengaktifkan Microsoft Azure Sentinel untuk menyediakan satu panel tampilan kaca di seluruh lingkungan.
Log audit Office 365, termasuk semua aktivitas SharePoint, aktivitas admin Exchange, dan Teams.
Pemberitahuan keamanan, termasuk pemberitahuan dari Microsoft Defender untuk Cloud, Microsoft Defender XDR, Microsoft Defender untuk Office 365, Microsoft Defender untuk Identitas, dan Microsoft Defender untuk Titik Akhir.
Jika Anda belum melakukan onboarding ruang kerja ke platform operasi keamanan terpadu dan bekerja di portal Azure, menyerap pemberitahuan keamanan ke Microsoft Azure Sentinel memungkinkan portal Azure menjadi panel pusat manajemen insiden di seluruh lingkungan. Dalam kasus seperti itu, penyelidikan insiden dimulai di Microsoft Azure Sentinel dan harus berlanjut di portal Microsoft Defender atau Defender untuk Cloud, jika analisis yang lebih mendalam diperlukan.
Untuk informasi selengkapnya, lihat Insiden Microsoft Defender XDR dan aturan pembuatan insiden Microsoft.
Microsoft Defender untuk Cloud Pemberitahuan aplikasi.
Untuk informasi selengkapnya, lihat Harga Microsoft Azure Sentinel dan Sumber data Gratis.
Menyiapkan sumber data berbayar
Untuk memberikan cakupan pemantauan dan pemberitahuan yang lebih luas, fokus pada penambahan konektor data MICROSOFT Entra ID dan Microsoft Defender XDR . Ada biaya untuk menyerap data dari sumber ini.
Pastikan untuk mengirim log Microsoft Defender XDR ke Microsoft Sentinel jika salah satu hal berikut ini diperlukan:
- Onboarding ke platform operasi keamanan terpadu, yang menyediakan satu portal untuk manajemen insiden di Pertahanan Microsoft.
- Pemberitahuan fusi Microsoft Azure Sentinel, yang menghubungkan sumber data dari beberapa produk untuk mendeteksi serangan multi-tahap di seluruh lingkungan.
- Retensi yang lebih lama daripada yang ditawarkan di Microsoft Defender XDR.
- Otomatisasi tidak dicakup oleh remediasi bawaan yang ditawarkan oleh Microsoft Defender untuk Titik Akhir.
Untuk informasi selengkapnya, lihat:
- Mengintegrasikan Pertahanan Microsoft 365
- Menyambungkan data dari Microsoft Defender XDR ke Microsoft Azure Sentinel
- Menyambungkan data Microsoft Entra ke Microsoft Azure Sentinel
Menyiapkan sumber data per lingkungan Anda
Bagian ini menjelaskan sumber data yang mungkin ingin Anda gunakan, tergantung pada layanan dan metode penyebaran yang digunakan di lingkungan Anda.
| Skenario | Sumber data |
|---|---|
| Layanan Azure | Jika salah satu layanan berikut disebarkan di Azure, gunakan konektor berikut untuk mengirim Log Diagnostik sumber daya ini ke Microsoft Azure Sentinel: - Azure Firewall - Azure Application Gateway - Keyvault - Azure Kubernetes Service - Azure SQL - Kelompok Keamanan Jaringan - Server Azure-Arc Kami menyarankan agar Anda menyiapkan Azure Policy untuk mengharuskan log mereka diteruskan ke ruang kerja Analitik Log yang mendasar. Untuk informasi selengkapnya, lihat Membuat pengaturan diagnostik dalam skala besar menggunakan Azure Policy. |
| Mesin virtual | Untuk komputer virtual yang dihosting di lokal atau di cloud lain yang mengharuskan log mereka dikumpulkan, gunakan konektor data berikut: - Keamanan Windows Peristiwa menggunakan AMA - Peristiwa melalui Defender for Endpoint (untuk server) - Syslog |
| Appliance virtual jaringan / sumber lokal | Untuk appliance virtual jaringan atau sumber lokal lainnya yang menghasilkan log Common Event Format (CEF) atau SYSLOG, gunakan konektor data berikut: - Syslog melalui AMA - Common Event Format (CEF) melalui AMA Untuk informasi selengkapnya, lihat Menyerap pesan Syslog dan CEF ke Microsoft Sentinel dengan Agen Azure Monitor. |
Setelah selesai, cari di hub Konten Microsoft Sentinel untuk perangkat dan aplikasi perangkat lunak sebagai layanan (SaaS) lain yang mengharuskan log dikirim ke Microsoft Sentinel.
Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel .
Langkah 2: Mengaktifkan analitik perilaku entitas pengguna
Setelah menyiapkan konektor data di Microsoft Azure Sentinel, pastikan untuk mengaktifkan analitik perilaku entitas pengguna untuk mengidentifikasi perilaku mencurigakan yang dapat menyebabkan eksploitasi pengelabuan dan akhirnya menyerang seperti ransomware. Seringkali, deteksi anomali melalui UEBA adalah metode terbaik untuk mendeteksi eksploitasi Zero-day sejak dini.
Menggunakan UEBA memungkinkan Microsoft Azure Sentinel untuk membangun profil perilaku entitas organisasi Anda di seluruh waktu dan grup serekan untuk mengidentifikasi aktivitas anomali. Ini menambahkan bantuan utilitas dalam ekspedisi untuk menentukan apakah aset telah disusupi. Karena mengidentifikasi asosiasi grup serekan, ini juga dapat membantu menentukan radius ledakan kompromi tersebut.
Untuk informasi selengkapnya, lihat Mengidentifikasi ancaman dengan analitik perilaku entitas
Langkah 3: Aktifkan aturan analitik
Otak Microsoft Azure Sentinel berasal dari aturan analitik. Ini adalah aturan yang Anda tetapkan untuk memberi tahu Microsoft Azure Sentinel untuk memberi tahu Anda peristiwa dengan serangkaian kondisi yang Anda anggap penting. Keputusan siap pakai yang diambil Microsoft Azure Sentinel didasarkan pada analitik perilaku entitas pengguna (UEBA) dan korelasi data di beberapa sumber data.
Saat mengaktifkan aturan analitik untuk Microsoft Azure Sentinel, prioritaskan pengaktifan oleh sumber data yang terhubung, risiko organisasi, dan taktik MITRE.
Hindari insiden duplikat
Jika Anda mengaktifkan konektor Microsoft Defender XDR, sinkronisasi dua arah antara insiden 365 Defender dan Microsoft Sentinel dibuat secara otomatis.
Untuk menghindari pembuatan insiden duplikat untuk pemberitahuan yang sama, sebaiknya nonaktifkan semua aturan pembuatan insiden Microsoft untuk produk terintegrasi Microsoft Defender XDR, termasuk Pertahanan untuk Titik Akhir, Pertahanan untuk Identitas, Defender untuk Office 365, aplikasi Defender untuk Cloud, dan Perlindungan ID Microsoft Entra.
Untuk informasi selengkapnya, lihat Insiden Microsoft Defender XDR dan aturan pembuatan insiden Microsoft.
Menggunakan pemberitahuan fusi
Secara default, Microsoft Sentinel memungkinkan aturan analitik deteksi serangan multitahap tingkat lanjut Fusion untuk mengidentifikasi serangan multitahap secara otomatis.
Menggunakan perilaku anomali dan peristiwa aktivitas mencurigakan yang diamati di seluruh rantai pembunuhan cyber, Microsoft Sentinel menghasilkan insiden yang memungkinkan Anda melihat insiden kompromi dengan dua atau beberapa aktivitas peringatan di dalamnya dengan tingkat keyakinan yang tinggi.
Teknologi pemberitahuan Fusion menghubungkan titik sinyal data yang luas dengan analisis pembelajaran mesin (ML) yang diperluas untuk membantu menentukan ancaman yang diketahui, tidak diketahui, dan muncul. Misalnya, deteksi fusi dapat mengambil templat aturan anomali dan kueri terjadwal yang dibuat untuk skenario Ransomware dan memasangkannya dengan pemberitahuan dari layanan Microsoft Security Suite, seperti:
- Microsoft Entra ID Protection
- Microsoft Defender for Cloud
- Microsoft Defender for IoT
- Microsoft Defender XDR
- Microsoft Defender for Cloud Apps
- Pertahanan Microsoft untuk Titik Akhir
- Microsoft Defender for Identity
- Microsoft Defender for Office 365
Menggunakan aturan anomali
Aturan anomali Microsoft Azure Sentinel tersedia di luar kotak dan diaktifkan secara default. Aturan anomali didasarkan pada model pembelajaran mesin dan UEBA yang melatih data di ruang kerja Anda untuk menandai perilaku anomali di seluruh pengguna, host, dan lainnya.
Seringkali, serangan pengelabuan mengarah pada langkah eksekusi seperti manipulasi/kontrol akun lokal atau cloud atau eksekusi skrip berbahaya. Aturan anomali mencari persis untuk jenis aktivitas tersebut, seperti:
- Penghapusan Akses Akun Anomali
- Pembuatan Akun Anomali
- Penghapusan Akun Anomali
- Manipulasi Akun Anomali
- Eksekusi Kode Anomali (UEBA)
- Penghancuran Data Anomali
- Modifikasi Mekanisme Defensif Anomali
- Kredensial Masuk Gagal Anomali
- Pengaturan Ulang Kata Sandi Anomali
- Hak Istimewa Anomali Diberikan
- Kredensial Masuk Anomali
Tinjau aturan anomali dan ambang skor anomali untuk masing-masing aturan. Jika Anda mengamati positif palsu misalnya, pertimbangkan untuk menduplikasi aturan dan memodifikasi ambang dengan mengikuti langkah-langkah yang diuraikan dalam Menyetel aturan anomali.
Menggunakan aturan analitik Inteligensi Ancaman Microsoft
Setelah meninjau dan memodifikasi aturan fusi dan anomali, aktifkan aturan analitik Inteligensi Ancaman Microsoft yang siap pakai. Verifikasi bahwa aturan ini cocok dengan data log Anda dengan inteligensi ancaman yang dihasilkan Microsoft. Microsoft memiliki repositori data inteligensi ancaman yang luas, dan aturan analitik ini menggunakan subsetnya untuk menghasilkan pemberitahuan dan insiden keakuratan tinggi bagi tim SOC (pusat operasi keamanan) untuk triase.
Melakukan penyeberangan MITRE Att&ck
Dengan aturan analitik fusi, anomali, dan inteligensi ancaman diaktifkan, lakukan penyeberangan MITRE Att&ck untuk membantu Anda memutuskan aturan analitik yang tersisa untuk diaktifkan dan selesai menerapkan proses XDR (deteksi dan respons yang diperluas) yang matang. Ini memberdayakan Anda untuk mendeteksi dan merespons sepanjang siklus hidup serangan.
Departemen penelitian MITRE Att&ck membuat metode MITRE, dan disediakan sebagai bagian dari Microsoft Azure Sentinel untuk memudahkan implementasi Anda. Pastikan Anda memiliki aturan analitik yang membentangkan panjang dan luasnya pendekatan vektor serangan.
Tinjau teknik MITRE yang dicakup oleh aturan analitik aktif Anda yang ada.
Pilih 'Templat aturan analitik' dan 'Aturan Anomali' di dropdown Simulasi . Ini menunjukkan di mana Anda memiliki taktik dan/atau teknik lawan yang tercakup dan di mana ada aturan analitik yang tersedia, Anda harus mempertimbangkan untuk meningkatkan cakupan Anda.
Misalnya, untuk mendeteksi potensi serangan phishing, tinjau templat aturan Analitik untuk teknik Phishing , dan prioritaskan mengaktifkan aturan yang secara khusus mengkueri sumber data yang telah Anda onboarding ke Microsoft Sentinel.
Secara umum, ada lima fase untuk serangan Ransomware yang dioperasikan manusia, dan Phishing berada di bawah Akses Awal, seperti yang ditunjukkan pada gambar berikut:
Lanjutkan melalui langkah-langkah yang tersisa untuk mencakup seluruh rantai pembunuhan dengan aturan analitik yang sesuai:
- Akses awal
- Pencurian kredensial
- Gerakan lateral
- Persistensi
- Penghancutan pertahanan
- Eksfiltrasi (di sinilah ransomware itu sendiri terdeteksi)
Pelatihan yang direkomendasikan
Konten pelatihan saat ini tidak mencakup platform operasi keamanan terpadu.
Menghubungkan data ke Microsoft Azure Sentinel menggunakan konektor data
| Pelatihan | Menyambungkan data ke Microsoft Azure Sentinel menggunakan konektor data |
|---|---|
|
Pendekatan utama untuk menghubungkan data log adalah menggunakan konektor data yang disediakan oleh Microsoft Azure Sentinel. Modul ini memberikan gambaran umum konektor data yang tersedia. |
Menghubungkan log ke Microsoft Sentinel
| Pelatihan | Menghubungkan log ke Microsoft Sentinel |
|---|---|
|
Hubungkan data pada skala cloud di semua pengguna, perangkat, aplikasi, dan infrastruktur, baik di lokal maupun di beberapa cloud ke Microsoft Azure Sentinel. |
Mengidentifikasi ancaman dengan Analitik Perilaku
| Pelatihan | Mengidentifikasi ancaman dengan Analitik Perilaku |
|---|---|
|
Pendekatan utama untuk menghubungkan data log adalah menggunakan konektor data yang disediakan oleh Microsoft Azure Sentinel. Modul ini memberikan gambaran umum konektor data yang tersedia. |
Langkah berikutnya
Lanjutkan ke Langkah 4 untuk menanggapi insiden.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk