Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Panduan solusi ini menunjukkan kepada Anda cara menyiapkan alat deteksi dan respons yang diperluas Microsoft (XDR) dan cara mengintegrasikannya dengan Microsoft Azure Sentinel sehingga organisasi Anda dapat merespons dan memulihkan serangan keamanan cyber lebih cepat.
Microsoft Defender XDR adalah solusi XDR yang secara otomatis mengumpulkan, menghubungkan, dan menganalisis data sinyal, ancaman, dan pemberitahuan dari seluruh lingkungan Microsoft 365 Anda.
Microsoft Sentinel adalah solusi cloud-native yang menyediakan kemampuan manajemen informasi dan peristiwa keamanan (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Bersama-sama, Microsoft Sentinel dan Microsoft Defender XDR menyediakan solusi komprehensif untuk membantu organisasi bertahan dari serangan modern.
Panduan ini membantu Anda meningkatkan arsitektur Zero Trust dengan memetakan prinsip Zero Trust dengan cara berikut:
| Prinsip Zero Trust | Terpenuhi oleh |
|---|---|
| Verifikasi secara eksplisit | Microsoft Sentinel mengumpulkan data dari seluruh lingkungan dan menganalisis ancaman dan anomali sehingga organisasi Anda dan otomatisasi apa pun dapat bertindak berdasarkan data terverifikasi. Microsoft Defender XDR menyediakan deteksi dan respons yang diperluas di seluruh pengguna, identitas, perangkat, aplikasi, dan email. Konfigurasikan otomatisasi Microsoft Azure Sentinel untuk menggunakan sinyal berbasis risiko yang diambil oleh Microsoft Defender XDR untuk mengambil tindakan, seperti memblokir atau mengotorisasi lalu lintas berdasarkan risiko. |
| Gunakan akses dengan hak istimewa paling sedikit | Microsoft Sentinel mendeteksi aktivitas anomali melalui mesin UEBA-nya. Saat skenario keamanan berubah dengan cepat, inteligensi ancamannya mengimpor data dari Microsoft dan penyedia pihak ketiga untuk mendeteksi dan mengonteksualisasi ancaman yang muncul. Microsoft Defender XDR menyertakan Microsoft Entra ID Protection untuk memblokir pengguna berdasarkan risiko identitas. Umpan data terkait ke Microsoft Azure Sentinel untuk analisis dan otomatisasi lebih lanjut. |
| Asumsikan pelanggaran | Microsoft Defender XDR terus memindai lingkungan untuk ancaman dan kerentanan. Microsoft Azure Sentinel menganalisis data yang dikumpulkan dan tren perilaku untuk mendeteksi aktivitas, anomali, dan ancaman multitahap yang mencurigakan di seluruh perusahaan. Microsoft Defender XDR dan Microsoft Sentinel menerapkan tugas remediasi otomatis, termasuk investigasi, isolasi perangkat, dan karantina data. Gunakan risiko perangkat sebagai sinyal untuk Akses Bersyarat Microsoft Entra. |
Mulai menggunakan Microsoft Defender XDR
Menyebarkan Microsoft Defender XDR adalah titik awal yang bagus untuk membangun deteksi insiden dan kemampuan respons dalam organisasi Anda. Defender XDR disertakan dengan Microsoft 365 E5 dan Anda bahkan dapat memulai dengan menggunakan lisensi uji coba Microsoft 365 E5. Defender XDR dapat diintegrasikan dengan Microsoft Azure Sentinel atau dengan alat SIEM generik.
Untuk informasi selengkapnya, lihat Menguji coba dan menyebarkan Microsoft Defender XDR.
Arsitektur Microsoft Sentinel dan XDR
Pelanggan Microsoft Azure Sentinel dapat menggunakan salah satu metode ini untuk mengintegrasikan Microsoft Sentinel dengan layanan Microsoft Defender XDR:
Onboard Microsoft Sentinel ke portal Microsoft Defender untuk digunakan bersama Microsoft Defender XDR dalam operasi keamanan yang terpadu. Lihat data Microsoft Sentinel langsung di portal Defender bersama insiden, peringatan, kerentanan, dan data keamanan Defender Anda.
Gunakan konektor data Microsoft Azure Sentinel untuk menyerap data layanan Microsoft Defender XDR ke Microsoft Azure Sentinel. Lihat data Microsoft Azure Sentinel di portal Microsoft Azure.
Pusat panduan ini menyediakan informasi untuk kedua metode. Jika Anda telah melakukan onboarding ruang kerja ke portal Defender, gunakan ruang kerja tersebut; jika tidak, gunakan portal Microsoft Azure kecuali dinyatakan lain.
Ilustrasi berikut menunjukkan bagaimana solusi XDR Microsoft terintegrasi dengan Microsoft Sentinel di portal Pertahanan.
Di dalam diagram ini:
- Wawasan dari sinyal di seluruh organisasi Anda diumpankan ke Microsoft Defender XDR dan Microsoft Defender for Cloud.
- Microsoft Sentinel menyediakan dukungan untuk lingkungan multicloud dan terintegrasi dengan aplikasi dan mitra pihak ketiga.
- Data Microsoft Azure Sentinel diserap bersama dengan data organisasi Anda ke portal Pertahanan Microsoft.
- Tim SecOps dapat menganalisis dan menanggapi ancaman yang diidentifikasi oleh Microsoft Sentinel dan Microsoft Defender XDR di portal Pertahanan Microsoft.
Kemampuan utama
Terapkan pendekatan Zero Trust untuk mengelola insiden menggunakan fitur Microsoft Sentinel dan Defender XDR. Untuk ruang kerja yang di-onboarding ke portal Defender, gunakan Microsoft Sentinel di portal Defender.
| Kemampuan atau fitur | Deskripsi | Produk |
|---|---|---|
| Investigasi & Respons Otomatis (AIR) | Kemampuan AIR dirancang untuk memeriksa pemberitahuan dan mengambil tindakan segera untuk menyelesaikan pelanggaran keamanan. Kemampuan AIR secara signifikan mengurangi volume pemberitahuan, memungkinkan operasi keamanan untuk fokus pada ancaman yang lebih canggih dan inisiatif bernilai tinggi lainnya. | Pertahanan Microsoft XDR |
| Perburuan tingkat lanjut | Perburuan tingkat lanjut adalah alat pemburu ancaman berbasis kueri yang dapat Anda gunakan untuk menjelajahi data mentah hingga 30 hari. Anda dapat secara proaktif memeriksa peristiwa di jaringan Anda untuk menemukan indikator dan entitas ancaman. Akses fleksibel ke data memungkinkan perburuan yang tanpa batas untuk ancaman yang diketahui dan potensial. | Pertahanan Microsoft XDR |
| Indikator file khusus | Cegah penyebaran serangan lebih lanjut di organisasi Anda dengan melarang file yang berpotensi berbahaya atau malware yang dicurigai. | Pertahanan Microsoft XDR |
| Penemuan awan | Cloud Discovery menganalisis log lalu lintas yang dikumpulkan oleh Defender for Endpoint dan menilai aplikasi yang diidentifikasi terhadap katalog aplikasi cloud untuk memberikan informasi kepatuhan dan keamanan. | Microsoft Defender untuk Aplikasi Cloud |
| Indikator jaringan kustom | Dengan membuat indikator untuk IP dan URL atau domain, Anda sekarang dapat mengizinkan atau memblokir IP, URL, atau domain berdasarkan inteligensi ancaman Anda sendiri. | Pertahanan Microsoft XDR |
| Blok deteksi dan respons titik akhir (EDR) | Memberikan perlindungan tambahan dari artefak berbahaya saat Antivirus Pertahanan Microsoft (MDAV) bukan produk antivirus utama dan berjalan dalam mode pasif. EDR dalam mode blok bekerja di belakang layar untuk memulihkan artefak berbahaya yang terdeteksi oleh kemampuan EDR. | Pertahanan Microsoft XDR |
| Kemampuan respons perangkat | Merespons serangan yang terdeteksi dengan cepat dengan mengisolasi perangkat atau mengumpulkan paket investigasi | Pertahanan Microsoft XDR |
| Respons langsung | Respons langsung memberi tim operasi keamanan akses instan ke perangkat (juga disebut sebagai komputer) menggunakan koneksi shell jarak jauh. Ini memberi Anda kekuatan untuk melakukan pekerjaan investigasi mendalam dan mengambil tindakan respons segera untuk menanggulangi ancaman yang diidentifikasi secara langsung. | Pertahanan Microsoft XDR |
| Mengamankan aplikasi cloud | Solusi operasi keamanan pengembangan (DevSecOps) yang menggabungkan manajemen keamanan pada tingkat kode di seluruh lingkungan multicloud dan beberapa alur. | Microsoft Defender untuk Awan |
| Meningkatkan postur keamanan Anda | Solusi manajemen postur keamanan cloud (CSPM) yang menampilkan tindakan yang dapat Anda ambil untuk mencegah pelanggaran. | Microsoft Defender untuk Awan |
| Melindungi beban kerja cloud | Platform perlindungan beban kerja cloud (CWPP) dengan perlindungan khusus untuk server, kontainer, penyimpanan, database, dan beban kerja lainnya. | Microsoft Defender untuk Awan |
| Analitik Perilaku Pengguna dan Entitas (UEBA) | Menganalisis perilaku entitas organisasi seperti pengguna, host, alamat IP, dan aplikasi | Microsoft Sentinel |
| Fusi | Mesin korelasi berdasarkan algoritma pembelajaran mesin yang dapat diskalakan. Secara otomatis mendeteksi serangan multitahap yang juga dikenal sebagai ancaman persisten tingkat lanjut (APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai pembunuhan. | Microsoft Sentinel |
| Inteligensi Ancaman | Gunakan penyedia pihak ketiga Microsoft untuk memperkaya data guna memberikan konteks ekstra sekeliling aktivitas, pemberitahuan, dan log di lingkungan Anda. | Microsoft Sentinel |
| Otomatisasi | Aturan otomatisasi adalah cara untuk mengelola otomatisasi secara terpusat dengan Microsoft Sentinel, dengan memungkinkan Anda menentukan dan mengoordinasikan sekumpulan kecil aturan yang dapat diterapkan di berbagai skenario. | Microsoft Sentinel |
| Aturan anomali | Templat aturan anomali menggunakan pembelajaran mesin untuk mendeteksi jenis perilaku anomali tertentu. | Microsoft Sentinel |
| Kueri terjadwal | Aturan bawaan yang ditulis oleh pakar keamanan Microsoft yang mencari melalui log yang dikumpulkan oleh Microsoft Sentinel untuk rantai aktivitas mencurigakan dan ancaman yang sudah diketahui. | Microsoft Sentinel |
| Aturan waktu nyaris nyata (NRT) | Aturan NRT adalah seperangkat aturan terjadwal terbatas, yang dirancang untuk berjalan sekali setiap menit, untuk memberi Anda informasi up-to-the-minute mungkin. | Microsoft Sentinel |
| Perburuan | Untuk membantu analis keamanan secara proaktif mencari anomali baru yang tidak terdeteksi oleh aplikasi keamanan Anda atau bahkan oleh aturan analitik terjadwal Anda, kueri pencarian bawaan Microsoft Sentinel memandu Anda mengajukan pertanyaan yang benar untuk menemukan masalah dalam data yang sudah Anda miliki di jaringan Anda. | Microsoft Sentinel Untuk ruang kerja yang telah diintegrasikan ke portal Microsoft Defender, gunakan fungsi pencarian lanjutan dari portal Microsoft Defender. |
| Konektor Microsoft Defender XDR | Konektor Microsoft Defender XDR menyinkronkan log dan insiden ke Microsoft Azure Sentinel. | Microsoft Defender XDR dan Microsoft Sentinel |
| Konektor data | Memungkinkan penyerapan data untuk analisis di Microsoft Azure Sentinel. | Microsoft Sentinel |
| Solusi pusat konten -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) mencakup buku kerja, aturan analitik, dan panduan, yang menyediakan visualisasi otomatis prinsip Zero Trust, diselaraskan dengan kerangka Trust Internet Connections, membantu organisasi memantau konfigurasi seiring waktu. | Microsoft Sentinel |
| Orkestrasi keamanan, otomatisasi, dan respons (SOAR) | Menggunakan aturan otomatisasi dan playbook sebagai respons terhadap ancaman keamanan meningkatkan efektivitas SOC Anda dan menghemat waktu dan sumber daya Anda. | Microsoft Sentinel |
| Pengoptimalan SOC | Tutup kesenjangan cakupan terhadap ancaman tertentu dan perketat tingkat penyerapan Anda terhadap data yang tidak memberikan nilai keamanan. | Microsoft Sentinel Untuk ruang kerja yang di-onboarding ke portal Defender, gunakan pengoptimalan SOC di portal Microsoft Defender. |
Apa yang ada dalam solusi ini
Solusi ini membantu tim operasi keamanan Anda memulihkan insiden menggunakan pendekatan Zero Trust dengan memandu Anda melalui implementasi Microsoft Sentinel dan Microsoft Defender XDR. Implementasi mencakup fase-fase ini:
| Fase | Deskripsi |
|---|---|
| 1. Uji coba dan sebarkan layanan Microsoft Defender XDR | Mulailah dengan menguji coba layanan Microsoft Defender XDR sehingga Anda dapat mengevaluasi fitur dan kemampuannya sebelum menyelesaikan penyebaran di seluruh organisasi Anda. |
| 2. Rencanakan penyebaran Anda | Kemudian, rencanakan penyebaran SIEM dan XDR lengkap Anda, termasuk layanan XDR dan ruang kerja untuk Microsoft Sentinel. |
| 3. Siapkan alat XDR dan arsitek ruang kerja Anda | Dalam fase ini, sebarkan layanan XDR yang Anda putuskan untuk digunakan di seluruh lingkungan Anda, sebarkan Microsoft Sentinel dan layanan lain untuk mendukung solusi SIEM dan XDR Anda. Jika Anda berencana untuk bekerja dari portal Microsoft Azure, lewati langkah untuk menyambungkan Microsoft Sentinel ke portal Pertahanan Microsoft. Langkah ini hanya relevan jika Anda ingin menggunakan portal Pertahanan Microsoft Sentinel, dan tidak relevan jika Anda ingin menanggapi insiden di portal Microsoft Azure. |
| 4. Menanggapi insiden | Terakhir, tanggapi insiden berdasarkan apakah Anda telah mendaftarkan ke portal Defender. - Menanggapi insiden dari portal Defender - Menanggapi insiden dari portal Microsoft Azure |
Konten terkait
Untuk informasi selengkapnya, lihat Keamanan Zero Trust dengan Microsoft Azure Sentinel dan Defender XDR dan konten terkait untuk portal Anda:
Untuk informasi selengkapnya tentang menerapkan prinsip Zero Trust di Microsoft 365, lihat:
- rencana penerapan Zero Trust dengan Microsoft 365
- Menyebarkan infrastruktur identitas Anda untuk Microsoft 365
- Identitas Zero Trust dan konfigurasi akses perangkat
- Mengelola perangkat dengan Microsoft Intune
- Mengelola privasi data dan perlindungan data dengan Microsoft Priva dan Microsoft Purview
- Mengintegrasikan aplikasi SaaS untuk Zero Trust dengan Microsoft 365