Menerapkan Microsoft Azure Sentinel dan Microsoft Defender XDR untuk Zero Trust
Panduan solusi ini memandu proses penyiapan alat deteksi dan respons (XDR) eXtended Microsoft bersama dengan Microsoft Sentinel untuk mempercepat kemampuan organisasi Anda untuk merespons dan memulihkan serangan keamanan cyber.
Microsoft Defender XDR adalah solusi XDR yang secara otomatis mengumpulkan, menghubungkan, dan menganalisis data sinyal, ancaman, dan pemberitahuan dari seluruh lingkungan Microsoft 365 Anda.
Microsoft Sentinel adalah solusi cloud-native yang menyediakan kemampuan manajemen informasi dan peristiwa keamanan (SIEM) dan orkestrasi keamanan, otomatisasi, dan respons (SOAR). Bersama-sama, Microsoft Sentinel dan Microsoft Defender XDR menyediakan solusi komprehensif untuk membantu organisasi bertahan dari serangan modern.
Panduan ini membantu Anda mematangkan arsitektur Zero Trust dengan memetakan prinsip Zero Trust dengan cara berikut.
| Prinsip Zero Trust | Terpenuhi oleh |
|---|---|
| Memverifikasi secara eksplisit | Microsoft Sentinel mengumpulkan data dari seluruh lingkungan, melakukan analisis ancaman dan anomali, dan dapat merespons dengan otomatisasi. Microsoft Defender XDR menyediakan deteksi dan respons yang diperluas di seluruh pengguna, identitas, perangkat, aplikasi, dan email. Sinyal berbasis risiko yang diambil oleh Microsoft Defender XDR dapat digunakan oleh Microsoft Sentinel untuk mengambil tindakan. |
| Gunakan akses yang paling tidak istimewa | Microsoft Azure Sentinel dapat mendeteksi aktivitas anomali melalui mesin Analitik Perilaku Entitas Pengguna (UEBA). Inteligensi Ancaman dengan Microsoft Sentinel dapat mengimpor data inteligensi ancaman dari Microsoft atau penyedia pihak ketiga untuk mendeteksi ancaman baru yang muncul dan memberikan konteks tambahan untuk penyelidikan. Microsoft Defender XDR memiliki Microsoft Entra ID Protection, yang dapat memblokir pengguna berdasarkan tingkat risiko dengan identitas. Data dapat disalurkan ke Microsoft Sentinel untuk analisis dan otomatisasi lebih lanjut. |
| Asumsikan pelanggaran | Microsoft Defender XDR terus memindai lingkungan untuk ancaman dan kerentanan. Microsoft Sentinel menganalisis data yang dikumpulkan, tren perilaku entitas untuk mendeteksi aktivitas yang mencurigakan, anomali, dan ancaman multi-tahap di seluruh perusahaan. Microsoft Sentinel memiliki visualisasi buku kerja yang dapat membantu organisasi mengeraskan lingkungan, seperti buku kerja Zero Trust. Microsoft Defender XDR dan Sentinel dapat menerapkan tugas remediasi otomatis, termasuk investigasi otomatis, isolasi perangkat, dan karantina data. Risiko perangkat dapat digunakan sebagai sinyal untuk masuk ke Akses Bersyarat Microsoft Entra. |
Arsitektur Microsoft Azure Sentinel dan XDR
Ilustrasi berikut menunjukkan bagaimana solusi XDR Microsoft terintegrasi dengan mulus dengan Microsoft Sentinel.
Di dalam diagram ini:
- Wawasan dari sinyal di seluruh umpan organisasi Anda ke Microsoft Defender XDR dan Microsoft Defender untuk Cloud.
- Microsoft Defender XDR dan Microsoft Defender untuk Cloud mengirim data log SIEM melalui konektor Microsoft Azure Sentinel.
- Tim SecOps kemudian dapat menganalisis dan menanggapi ancaman yang diidentifikasi di portal Microsoft Sentinel dan Pertahanan Microsoft.
- Microsoft Sentinel menyediakan dukungan untuk lingkungan multi-cloud dan terintegrasi dengan aplikasi dan mitra pihak ketiga.
Menerapkan Microsoft Sentinel dan Microsoft Defender XDR untuk Zero Trust
Microsoft Defender XDR adalah solusi XDR yang melengkapi Microsoft Azure Sentinel. XDR menarik data telemetri mentah dari berbagai layanan seperti aplikasi cloud, keamanan email, identitas, dan manajemen akses.
Dengan menggunakan kecerdasan buatan (AI) dan pembelajaran mesin, XDR kemudian melakukan analisis otomatis, investigasi, dan respons secara real time. Solusi XDR juga menghubungkan pemberitahuan keamanan menjadi insiden yang lebih besar, memberikan tim keamanan visibilitas yang lebih besar ke dalam serangan, dan memberikan prioritas insiden, membantu analis memahami tingkat risiko ancaman.
Dengan Microsoft Azure Sentinel, Anda dapat terhubung ke banyak sumber keamanan menggunakan konektor bawaan dan standar industri. Dengan AI-nya, Anda dapat menghubungkan beberapa sinyal keakuratan rendah yang mencakup beberapa sumber untuk membuat tampilan lengkap rantai pembunuhan ransomware dan pemberitahuan yang diprioritaskan.
Memanfaatkan kemampuan SIEM dan XDR
Di bagian ini, kita akan melihat skenario serangan umum yang melibatkan serangan phishing lalu melanjutkan dengan cara menanggapi insiden dengan Microsoft Sentinel dan Microsoft Defender XDR.
Urutan serangan umum
Diagram berikut menunjukkan urutan serangan umum dari skenario pengelabuan.
Diagram ini juga menunjukkan produk keamanan Microsoft untuk mendeteksi setiap langkah serangan dan bagaimana sinyal serangan dan aliran data SIEM ke Microsoft Defender XDR dan Microsoft Sentinel.
Berikut adalah ringkasan serangan.
| Langkah serangan | Layanan deteksi dan sumber sinyal | Pertahanan di tempat |
|---|---|---|
| 1. Penyerang mengirim email pengelabuan | Microsoft Defender for Office 365 | Melindungi kotak surat dengan fitur anti-phishing tingkat lanjut yang dapat melindungi dari serangan phishing berbasis peniruan berbahaya. |
| 2. Pengguna membuka lampiran | Microsoft Defender for Office 365 | Fitur lampiran Microsoft Defender untuk Office 365 Brankas membuka lampiran di lingkungan terisolasi untuk pemindaian ancaman tambahan (ledakan). |
| 3. Lampiran menginstal malware | Pertahanan Microsoft untuk Titik Akhir | Melindungi titik akhir dari malware dengan fitur perlindungan generasi berikutnya, seperti perlindungan yang dikirim cloud dan perlindungan antivirus berbasis perilaku/heuristik/real time. |
| 4. Malware mencuri kredensial pengguna | ID Microsoft Entra dan Perlindungan ID Microsoft Entra | Melindungi identitas dengan memantau perilaku dan aktivitas pengguna, mendeteksi gerakan lateral, dan memperingatkan aktivitas anomali. |
| 5. Penyerang bergerak secara lateral di seluruh aplikasi dan data Microsoft 365 | Microsoft Defender for Cloud Apps | Dapat mendeteksi aktivitas anomali pengguna yang mengakses aplikasi cloud. |
| 6. Penyerang mengunduh file sensitif dari folder SharePoint | Microsoft Defender for Cloud Apps | Dapat mendeteksi dan merespons peristiwa pengunduhan massal file dari SharePoint. |
Respons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR
Sekarang setelah kita melihat bagaimana serangan umum terjadi, mari kita lihat memanfaatkan integrasi Microsoft Sentinel dan Microsoft Defender XDR untuk respons insiden.
Berikut adalah proses menanggapi insiden dengan Microsoft Defender XDR dan Microsoft Sentinel:
- Triase insiden di portal Microsoft Azure Sentinel.
- Pindah ke portal Pertahanan Microsoft untuk memulai penyelidikan Anda.
- Jika diperlukan, lanjutkan investigasi di portal Microsoft Azure Sentinel.
- Atasi insiden di portal Microsoft Azure Sentinel.
Diagram berikut menunjukkan proses, dimulai dengan penemuan dan triase di Microsoft Azure Sentinel.
Untuk informasi selengkapnya, lihat Merespons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR.
Kemampuan utama
Untuk menerapkan pendekatan Zero trust dalam mengelola insiden, gunakan fitur Microsoft Sentinel dan XDR ini.
| Kemampuan atau fitur | Deskripsi | Produk |
|---|---|---|
| Investigasi & Respons Otomatis (AIR) | Kemampuan AIR dirancang untuk memeriksa pemberitahuan dan mengambil tindakan segera untuk menyelesaikan pelanggaran keamanan. Kemampuan AIR secara signifikan mengurangi volume pemberitahuan, memungkinkan operasi keamanan untuk fokus pada ancaman yang lebih canggih dan inisiatif bernilai tinggi lainnya. | Microsoft Defender XDR |
| Perburuan tingkat lanjut | Perburuan tingkat lanjut adalah alat pemburu ancaman berbasis kueri yang dapat Anda gunakan untuk menjelajahi data mentah hingga 30 hari. Anda dapat secara proaktif memeriksa peristiwa di jaringan Anda untuk menemukan indikator dan entitas ancaman. Akses fleksibel ke data memungkinkan perburuan yang tanpa batas untuk ancaman yang diketahui dan potensial. | Microsoft Defender XDR |
| Indikator file kustom | Cegah penyebaran serangan lebih lanjut di organisasi Anda dengan melarang file yang berpotensi berbahaya atau malware yang dicurigai. | Microsoft Defender XDR |
| Penemuan cloud | Cloud Discovery menganalisis log lalu lintas yang dikumpulkan oleh Defender for Endpoint dan menilai aplikasi yang diidentifikasi terhadap katalog aplikasi cloud untuk memberikan informasi kepatuhan dan keamanan. | Microsoft Defender for Cloud Apps |
| Indikator jaringan kustom | Dengan membuat indikator untuk IP dan URL atau domain, Anda sekarang dapat mengizinkan atau memblokir IP, URL, atau domain berdasarkan inteligensi ancaman Anda sendiri. | Microsoft Defender XDR |
| Blok deteksi dan respons titik akhir (EDR) | Memberikan perlindungan tambahan dari artefak berbahaya ketika Antivirus Microsoft Defender (MDAV) bukan produk antivirus utama dan berjalan dalam mode pasif. EDR dalam mode blok bekerja di belakang layar untuk memulihkan artefak berbahaya yang terdeteksi oleh kemampuan EDR. | Microsoft Defender XDR |
| Kemampuan respons perangkat | Merespons serangan yang terdeteksi dengan cepat dengan mengisolasi perangkat atau mengumpulkan paket investigasi | Microsoft Defender XDR |
| Respons langsung | Respons langsung memberi tim operasi keamanan akses seketika ke perangkat (juga disebut sebagai komputer) menggunakan koneksi shell jarak jauh. Dengan respons langsung, Anda dapat melakukan investigasi mendalam dan mengambil tindakan respons segera untuk segera membatasi ancaman yang diidentifikasi secara real-time. | Microsoft Defender XDR |
| Mengamankan aplikasi cloud | Solusi operasi keamanan pengembangan (DevSecOps) yang menggabungkan manajemen keamanan pada tingkat kode di seluruh lingkungan multicloud dan beberapa alur. | Microsoft Defender for Cloud |
| Meningkatkan postur keamanan Anda | Solusi manajemen postur keamanan cloud (CSPM) yang menampilkan tindakan yang dapat Anda ambil untuk mencegah pelanggaran. | Microsoft Defender for Cloud |
| Melindungi beban kerja cloud | Platform perlindungan beban kerja cloud (CWPP) dengan perlindungan khusus untuk server, kontainer, penyimpanan, database, dan beban kerja lainnya. | Microsoft Defender for Cloud |
| Analitik Perilaku Pengguna dan Entitas (UEBA) | Menganalisis perilaku entitas organisasi seperti pengguna, host, alamat IP, dan aplikasi) | Microsoft Sentinel |
| Fusion | Mesin korelasi berdasarkan algoritma pembelajaran mesin yang dapat diskalakan. Secara otomatis mendeteksi serangan multitahap yang juga dikenal sebagai ancaman persisten tingkat lanjut (APT) dengan mengidentifikasi kombinasi perilaku anomali dan aktivitas mencurigakan yang diamati pada berbagai tahap rantai pembunuhan. | Microsoft Sentinel |
| Inteligensi Ancaman | Gunakan penyedia pihak ketiga Microsoft untuk memperkaya data guna memberikan konteks ekstra sekeliling aktivitas, pemberitahuan, dan log di lingkungan Anda. | Microsoft Sentinel |
| Automation | Aturan otomatisasi adalah cara untuk mengelola otomatisasi secara terpusat di Microsoft Azure Sentinel, dengan memungkinkan Anda menentukan dan mengoordinasikan sekumpulan kecil aturan yang dapat diterapkan di berbagai skenario. | Microsoft Sentinel |
| Aturan anomali | Templat aturan anomali menggunakan pembelajaran mesin untuk mendeteksi jenis perilaku anomali tertentu. | Microsoft Sentinel |
| Kueri terjadwal | Aturan bawaan yang ditulis oleh pakar keamanan Microsoft yang mencari log yang dikumpulkan oleh Sentinel untuk rantai aktivitas yang mencurigakan, ancaman yang diketahui. | Microsoft Sentinel |
| Aturan near-real-time (NRT) | Aturan NRT adalah seperangkat aturan terjadwal terbatas, yang dirancang untuk berjalan sekali setiap menit, untuk memberi Anda informasi se-mutakhir mungkin. | Microsoft Sentinel |
| Berburu | Untuk membantu analis keamanan mencari anomali baru yang tidak terdeteksi secara proaktif oleh aplikasi keamanan Anda atau bahkan oleh aturan analitik terjadwal Anda, kueri berburu bawaan Microsoft Azure Sentinel memandu Anda dalam mengajukan pertanyaan yang tepat untuk menemukan masalah dalam data yang sudah Anda miliki di jaringan Anda. | Microsoft Sentinel |
| Microsoft Defender XDR Koneksi or | Microsoft Defender XDR Koneksi or menyinkronkan log dan insiden ke Microsoft Azure Sentinel. | Microsoft Defender XDR dan Microsoft Sentinel |
| Konektor data | Memungkinkan penyerapan data untuk analisis di Microsoft Azure Sentinel. | Microsoft Sentinel |
| Solusi hub konten -Zero Trust (TIC 3.0) | Zero Trust (TIC 3.0) mencakup buku kerja, aturan analitik, dan playbook, yang menyediakan visualisasi otomatis prinsip Zero Trust, yang berjalan silang ke kerangka kerja Trust Internet Koneksi ions, membantu organisasi memantau konfigurasi dari waktu ke waktu. | Microsoft Sentinel |
| Orkestrasi, Otomatisasi, dan Respons Keamanan (SOAR) | Memanfaatkan aturan otomatisasi dan playbook sebagai respons terhadap ancaman keamanan meningkatkan efektivitas SOC Anda dan menghemat waktu dan sumber daya Anda. | Microsoft Sentinel |
Apa yang ada dalam solusi ini
Solusi ini memandu Anda melalui implementasi Microsoft Sentinel dan XDR sehingga tim operasi keamanan Anda dapat secara efektif memulihkan insiden menggunakan pendekatan Zero Trust.
Pelatihan yang direkomendasikan
| Pelatihan | Koneksi Microsoft Defender XDR ke Microsoft Sentinel |
|---|---|
|
Pelajari tentang opsi konfigurasi dan data yang disediakan oleh konektor Microsoft Sentinel untuk Microsoft Defender XDR. |
Langkah berikutnya
Gunakan langkah-langkah ini untuk mengimplementasikan Microsoft Sentinel dan XDR untuk pendekatan Zero Trust:
- Menyiapkan alat XDR Anda
- Merancang ruang kerja Microsoft Azure Sentinel Anda
- Menyerap sumber data
- Menanggapi insiden
Lihat juga artikel tambahan ini untuk menerapkan prinsip Zero Trust ke Azure: