Menerapkan Microsoft Azure Sentinel dan Microsoft Defender XDR untuk Zero Trust
Panduan solusi ini memandu proses penyiapan alat deteksi dan respons yang diperluas Microsoft (XDR) bersama dengan Microsoft Sentinel untuk mempercepat kemampuan organisasi Anda untuk merespons dan memulihkan serangan keamanan cyber.
Microsoft Defender XDR adalah solusi XDR yang secara otomatis mengumpulkan, menghubungkan, dan menganalisis data sinyal, ancaman, dan pemberitahuan dari seluruh lingkungan Microsoft 365 Anda.
Microsoft Sentinel adalah solusi cloud-native yang menyediakan kemampuan manajemen informasi dan peristiwa keamanan (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Bersama-sama, Microsoft Sentinel dan Microsoft Defender XDR menyediakan solusi komprehensif untuk membantu organisasi bertahan dari serangan modern.
Panduan ini membantu Anda mematangkan arsitektur Zero Trust dengan memetakan prinsip Zero Trust dengan cara berikut.
| Prinsip Zero Trust | Terpenuhi oleh |
|---|---|
| Memverifikasi secara eksplisit | Microsoft Sentinel mengumpulkan data dari seluruh lingkungan dan menganalisis ancaman dan anomali sehingga organisasi Anda, dan otomatisasi apa pun yang diterapkan, dapat bertindak berdasarkan semua titik data yang tersedia dan terverifikasi. Microsoft Defender XDR menyediakan deteksi dan respons yang diperluas di seluruh pengguna, identitas, perangkat, aplikasi, dan email. Konfigurasikan otomatisasi Microsoft Sentinel untuk menggunakan sinyal berbasis risiko yang diambil oleh Microsoft Defender XDR untuk mengambil tindakan, seperti memblokir atau mengotorisasi lalu lintas berdasarkan tingkat risiko. |
| Gunakan akses yang paling tidak istimewa | Microsoft Sentinel mendeteksi aktivitas anomali melalui mesin Analitik Perilaku Entitas Pengguna (UEBA). Karena skenario keamanan dapat berubah dari waktu ke waktu, dan seringkali sangat cepat, inteligensi ancaman Microsoft Sentinel juga mengimpor data Microsoft atau penyedia pihak ketiga untuk mendeteksi ancaman baru yang muncul dan memberikan konteks tambahan untuk penyelidikan. Microsoft Defender XDR memiliki Microsoft Entra ID Protection, yang dapat memblokir pengguna berdasarkan tingkat risiko dengan identitas. Umpan data terkait ke Microsoft Azure Sentinel untuk analisis dan otomatisasi lebih lanjut. |
| Asumsikan pelanggaran | Microsoft Defender XDR terus memindai lingkungan untuk ancaman dan kerentanan. Microsoft Sentinel menganalisis data yang dikumpulkan dan tren perilaku setiap entitas untuk mendeteksi aktivitas, anomali, dan ancaman multi-tahap yang mencurigakan di seluruh perusahaan. Microsoft Defender XDR dan Microsoft Sentinel dapat menerapkan tugas remediasi otomatis, termasuk investigasi otomatis, isolasi perangkat, dan karantina data. Risiko perangkat dapat digunakan sebagai sinyal untuk masuk ke Akses Bersyarat Microsoft Entra. |
Arsitektur Microsoft Azure Sentinel dan XDR
Pelanggan Microsoft Azure Sentinel dapat menggunakan salah satu metode berikut untuk mengintegrasikan Microsoft Sentinel dengan layanan Microsoft Defender XDR:
Gunakan konektor data Microsoft Azure Sentinel untuk menyerap data layanan Microsoft Defender XDR ke Microsoft Azure Sentinel. Dalam hal ini, lihat data Microsoft Azure Sentinel di portal Azure.
Integrasikan Microsoft Sentinel dan Microsoft Defender XDR ke dalam satu platform operasi keamanan terpadu di portal Pertahanan Microsoft. Dalam hal ini, lihat data Microsoft Azure Sentinel langsung di portal Microsoft Defender dengan insiden Pertahanan, pemberitahuan, kerentanan, dan data keamanan lainnya.
Panduan solusi ini menyediakan informasi untuk kedua metode. Di seluruh panduan solusi ini, pilih tab yang relevan untuk ruang kerja Anda. Jika Anda telah melakukan onboarding ruang kerja anda ke platform operasi keamanan terpadu, bekerja di portal Defender. Jika Anda belum melakukan onboarding ruang kerja, bekerja di portal Azure kecuali dinyatakan lain.
Ilustrasi berikut menunjukkan bagaimana solusi XDR Microsoft terintegrasi dengan Microsoft Sentinel dengan platform operasi keamanan terpadu.
Di dalam diagram ini:
- Wawasan dari sinyal di seluruh umpan organisasi Anda ke Microsoft Defender XDR dan Microsoft Defender untuk Cloud.
- Microsoft Sentinel menyediakan dukungan untuk lingkungan multicloud dan terintegrasi dengan aplikasi dan mitra pihak ketiga.
- Data Microsoft Azure Sentinel diserap bersama dengan data organisasi Anda ke portal Pertahanan Microsoft.
- Tim SecOps kemudian dapat menganalisis dan merespons ancaman yang diidentifikasi oleh Microsoft Sentinel dan Microsoft Defender XDR di portal Pertahanan Microsoft.
Menerapkan Microsoft Sentinel dan Microsoft Defender XDR untuk Zero Trust
Microsoft Defender XDR adalah solusi XDR yang melengkapi Microsoft Azure Sentinel. XDR menarik data telemetri mentah dari berbagai layanan seperti aplikasi cloud, keamanan email, identitas, dan manajemen akses.
Dengan menggunakan kecerdasan buatan (AI) dan pembelajaran mesin, XDR kemudian melakukan analisis otomatis, investigasi, dan respons secara real time. Solusi XDR juga menghubungkan pemberitahuan keamanan menjadi insiden yang lebih besar, memberikan tim keamanan visibilitas yang lebih besar ke dalam serangan, dan memberikan prioritas insiden, membantu analis memahami tingkat risiko ancaman.
Dengan Microsoft Azure Sentinel, Anda dapat terhubung ke banyak sumber keamanan menggunakan konektor bawaan dan standar industri. Dengan AI-nya, Anda dapat menghubungkan beberapa sinyal keakuratan rendah yang mencakup beberapa sumber untuk membuat tampilan lengkap rantai pembunuhan ransomware dan pemberitahuan yang diprioritaskan.
Menerapkan kemampuan SIEM dan XDR
Di bagian ini, kita melihat skenario serangan umum yang melibatkan serangan phishing kemudian melanjutkan dengan cara merespons insiden dengan Microsoft Sentinel dan Microsoft Defender XDR.
Urutan serangan umum
Diagram berikut menunjukkan urutan serangan umum dari skenario pengelabuan.
Diagram ini juga menunjukkan produk keamanan Microsoft untuk mendeteksi setiap langkah serangan dan bagaimana sinyal serangan dan aliran data SIEM ke Microsoft Defender XDR dan Microsoft Sentinel.
Berikut ringkasan serangannya.
| Langkah serangan | Layanan deteksi dan sumber sinyal | Pertahanan di tempat |
|---|---|---|
| 1. Penyerang mengirim email pengelabuan | Microsoft Defender for Office 365 | Melindungi kotak surat dengan fitur anti-phishing tingkat lanjut yang dapat melindungi dari serangan phishing berbasis peniruan berbahaya. |
| 2. Pengguna membuka lampiran | Microsoft Defender for Office 365 | Fitur Microsoft Defender untuk Office 365 Lampiran Aman membuka lampiran di lingkungan terisolasi untuk pemindaian ancaman (ledakan) yang lebih banyak. |
| 3. Lampiran menginstal malware | Pertahanan Microsoft untuk Titik Akhir | Melindungi titik akhir dari malware dengan fitur perlindungan generasi berikutnya, seperti perlindungan yang dikirim cloud dan perlindungan antivirus berbasis perilaku/heuristik/real time. |
| 4. Malware mencuri kredensial pengguna | ID Microsoft Entra dan Perlindungan ID Microsoft Entra | Melindungi identitas dengan memantau perilaku dan aktivitas pengguna, mendeteksi gerakan lateral, dan memperingatkan aktivitas anomali. |
| 5. Penyerang bergerak secara lateral di seluruh aplikasi dan data Microsoft 365 | Microsoft Defender for Cloud Apps | Dapat mendeteksi aktivitas anomali pengguna yang mengakses aplikasi cloud. |
| 6. Penyerang mengunduh file sensitif dari folder SharePoint | Microsoft Defender for Cloud Apps | Dapat mendeteksi dan merespons peristiwa pengunduhan massal file dari SharePoint. |
Jika Anda melakukan onboarding ruang kerja Microsoft Azure Sentinel ke platform operasi keamanan terpadu, data SIEM tersedia dengan Microsoft Azure Sentinel langsung di portal Pertahanan Microsoft.
Respons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR
Sekarang setelah kita melihat bagaimana serangan umum terjadi, mari kita lihat menggunakan integrasi Microsoft Sentinel dan Microsoft Defender XDR untuk respons insiden.
Pilih tab yang relevan untuk ruang kerja Anda tergantung pada apakah Anda melakukan onboarding ruang kerja ke platform operasi keamanan terpadu.
Setelah mengintegrasikan Microsoft Sentinel dan Microsoft Defender XDR dengan melakukan onboarding ruang kerja Anda ke platform operasi keamanan terpadu, selesaikan semua langkah respons insiden langsung di portal Pertahanan Microsoft, seperti yang Anda lakukan untuk insiden XDR Pertahanan Microsoft lainnya. Langkah-langkah yang didukung mencakup semuanya mulai dari triase hingga penyelidikan dan penyelesaian.
Gunakan area Microsoft Sentinel di portal Pertahanan Microsoft untuk fitur yang tidak tersedia dengan portal Defender saja.
Untuk informasi selengkapnya, lihat Merespons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR.
Kemampuan utama
Untuk menerapkan pendekatan Zero trust dalam mengelola insiden, gunakan fitur Microsoft Sentinel dan XDR ini.
| Kemampuan atau fitur | Deskripsi | Produk |
|---|---|---|
| Investigasi & Respons Otomatis (AIR) | Kemampuan AIR dirancang untuk memeriksa pemberitahuan dan mengambil tindakan segera untuk menyelesaikan pelanggaran keamanan. Kemampuan AIR secara signifikan mengurangi volume pemberitahuan, memungkinkan operasi keamanan untuk fokus pada ancaman yang lebih canggih dan inisiatif bernilai tinggi lainnya. | Microsoft Defender XDR |
| Perburuan tingkat lanjut | Perburuan tingkat lanjut adalah alat pemburu ancaman berbasis kueri yang dapat Anda gunakan untuk menjelajahi data mentah hingga 30 hari. Anda dapat secara proaktif memeriksa peristiwa di jaringan Anda untuk menemukan indikator dan entitas ancaman. Akses fleksibel ke data memungkinkan perburuan yang tanpa batas untuk ancaman yang diketahui dan potensial. | Microsoft Defender XDR |
| Indikator file kustom | Cegah penyebaran serangan lebih lanjut di organisasi Anda dengan melarang file yang berpotensi berbahaya atau malware yang dicurigai. | Microsoft Defender XDR |
| Penemuan cloud | Cloud Discovery menganalisis log lalu lintas yang dikumpulkan oleh Defender for Endpoint dan menilai aplikasi yang diidentifikasi terhadap katalog aplikasi cloud untuk memberikan informasi kepatuhan dan keamanan. | Microsoft Defender for Cloud Apps |
| Indikator jaringan kustom | Dengan membuat indikator untuk IP dan URL atau domain, Anda sekarang dapat mengizinkan atau memblokir IP, URL, atau domain berdasarkan inteligensi ancaman Anda sendiri. | Microsoft Defender XDR |
| Blok deteksi dan respons titik akhir (EDR) | Memberikan perlindungan tambahan dari artefak berbahaya ketika Antivirus Microsoft Defender (MDAV) bukan produk antivirus utama dan berjalan dalam mode pasif. EDR dalam mode blok bekerja di belakang layar untuk memulihkan artefak berbahaya yang terdeteksi oleh kemampuan EDR. | Microsoft Defender XDR |
| Kemampuan respons perangkat | Merespons serangan yang terdeteksi dengan cepat dengan mengisolasi perangkat atau mengumpulkan paket investigasi | Microsoft Defender XDR |
| Respons langsung | Respons langsung memberi tim operasi keamanan akses seketika ke perangkat (juga disebut sebagai komputer) menggunakan koneksi shell jarak jauh. Dengan respons langsung, Anda dapat melakukan investigasi mendalam dan mengambil tindakan respons segera untuk segera membatasi ancaman yang diidentifikasi secara real-time. | Microsoft Defender XDR |
| Mengamankan aplikasi cloud | Solusi operasi keamanan pengembangan (DevSecOps) yang menggabungkan manajemen keamanan pada tingkat kode di seluruh lingkungan multicloud dan beberapa alur. | Microsoft Defender for Cloud |
| Meningkatkan postur keamanan Anda | Solusi manajemen postur keamanan cloud (CSPM) yang menampilkan tindakan yang dapat Anda ambil untuk mencegah pelanggaran. | Microsoft Defender for Cloud |
| Melindungi beban kerja cloud | Platform perlindungan beban kerja cloud (CWPP) dengan perlindungan khusus untuk server, kontainer, penyimpanan, database, dan beban kerja lainnya. | Microsoft Defender for Cloud |
| Analitik Perilaku Pengguna dan Entitas (UEBA) | Menganalisis perilaku entitas organisasi seperti pengguna, host, alamat IP, dan aplikasi) | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Fusion | Mesin korelasi berdasarkan algoritma pembelajaran mesin yang dapat diskalakan. Secara otomatis mendeteksi serangan multitahap yang juga dikenal sebagai ancaman persisten tingkat lanjut (APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai pembunuhan. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Inteligensi Ancaman | Gunakan penyedia pihak ketiga Microsoft untuk memperkaya data guna memberikan konteks ekstra sekeliling aktivitas, pemberitahuan, dan log di lingkungan Anda. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Automation | Aturan otomatisasi adalah cara untuk mengelola otomatisasi secara terpusat dengan Microsoft Sentinel, dengan memungkinkan Anda menentukan dan mengoordinasikan sekumpulan kecil aturan yang dapat diterapkan di berbagai skenario. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Aturan anomali | Templat aturan anomali menggunakan pembelajaran mesin untuk mendeteksi jenis perilaku anomali tertentu. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Kueri terjadwal | Aturan bawaan yang ditulis oleh pakar keamanan Microsoft yang mencari log yang dikumpulkan oleh Sentinel untuk rantai aktivitas yang mencurigakan, ancaman yang diketahui. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Aturan near-real-time (NRT) | Aturan NRT adalah seperangkat aturan terjadwal terbatas, yang dirancang untuk berjalan sekali setiap menit, untuk memberi Anda informasi se-mutakhir mungkin. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Berburu | Untuk membantu analis keamanan mencari anomali baru yang tidak terdeteksi secara proaktif oleh aplikasi keamanan Anda atau bahkan oleh aturan analitik terjadwal Anda, kueri berburu bawaan Microsoft Azure Sentinel memandu Anda dalam mengajukan pertanyaan yang tepat untuk menemukan masalah dalam data yang sudah Anda miliki di jaringan Anda. | Microsoft Sentinel Untuk ruang kerja onboarding, gunakan fungsionalitas berburu lanjutan portal Pertahanan Microsoft. |
| Konektor XDR Pertahanan Microsoft | Konektor Microsoft Defender XDR menyinkronkan log dan insiden ke Microsoft Azure Sentinel. | Microsoft Defender XDR dan Microsoft Sentinel br> Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Konektor data | Memungkinkan penyerapan data untuk analisis di Microsoft Azure Sentinel. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Solusi hub konten -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) mencakup buku kerja, aturan analitik, dan playbook, yang menyediakan visualisasi otomatis prinsip Zero Trust, yang berjalan silang ke kerangka kerja Koneksi Internet Kepercayaan, membantu organisasi memantau konfigurasi dari waktu ke waktu. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Orkestrasi keamanan, otomatisasi, dan respons (SOAR) | Menggunakan aturan otomatisasi dan playbook sebagai respons terhadap ancaman keamanan meningkatkan efektivitas SOC Anda dan menghemat waktu dan sumber daya Anda. | Microsoft Sentinel Untuk ruang kerja onboarding, Microsoft Sentinel di platform operasi keamanan terpadu |
| Pengoptimalan SOC | Tutup kesenjangan cakupan terhadap ancaman tertentu dan perketat tingkat penyerapan Anda terhadap data yang tidak memberikan nilai keamanan. |
Apa yang ada dalam solusi ini
Solusi ini memandu Anda melalui implementasi Microsoft Sentinel dan XDR sehingga tim operasi keamanan Anda dapat secara efektif memulihkan insiden menggunakan pendekatan Zero Trust.
Pelatihan yang direkomendasikan
Konten pelatihan saat ini tidak mencakup platform operasi keamanan terpadu.
| Pelatihan | Menyambungkan Microsoft Defender XDR ke Microsoft Azure Sentinel |
|---|---|
|
Pelajari tentang opsi konfigurasi dan data yang disediakan oleh konektor Microsoft Sentinel untuk Microsoft Defender XDR. |
Langkah berikutnya
Gunakan langkah-langkah ini untuk mengimplementasikan Microsoft Sentinel dan XDR untuk pendekatan Zero Trust:
- Menyiapkan alat XDR Anda
- Merancang ruang kerja Microsoft Azure Sentinel Anda
- Menyerap sumber data
- Menanggapi insiden
Lihat juga artikel ini untuk menerapkan prinsip Zero Trust ke Azure:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk