Keamanan Zero Trust dengan Microsoft Sentinel dan Defender XDR

• Berlaku untuk:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Microsoft Defender XDR adalah solusi XDR yang melengkapi Microsoft Azure Sentinel. XDR menarik data telemetri mentah dari beberapa layanan seperti aplikasi cloud, keamanan email, identitas, dan manajemen akses.

Menggunakan kecerdasan buatan (AI) dan pembelajaran mesin, XDR melakukan analisis otomatis, investigasi, dan respons real time. Ini juga menghubungkan pemberitahuan keamanan menjadi insiden yang lebih besar, memberikan tim keamanan visibilitas yang lebih besar ke dalam serangan dan memprioritaskan insiden untuk membantu analis mengukur tingkat risiko ancaman.

Dengan Microsoft Azure Sentinel, Anda dapat terhubung ke banyak sumber keamanan menggunakan konektor bawaan dan standar industri. Dengan AI-nya, Anda dapat menghubungkan beberapa sinyal berfidelitas rendah yang mencakup berbagai sumber untuk membuat gambaran lengkap rantai aktivitas ransomware dan peringatan yang diprioritaskan.

Urutan serangan umum

Bagian ini mencakup skenario serangan umum yang melibatkan serangan phishing dan cara menanggapi insiden dengan Microsoft Sentinel dan Microsoft Defender XDR.

Diagram menunjukkan produk keamanan Microsoft yang mendeteksi setiap langkah serangan dan bagaimana sinyal serangan dan aliran data SIEM ke Microsoft Defender XDR dan Microsoft Sentinel.

Berikut ringkasan serangannya.

Langkah serangan	Layanan deteksi dan sumber sinyal	Pertahanan siaga
1. Penyerang mengirim email pengelabuan	Pertahanan Microsoft untuk Office 365	Melindungi kotak surat dengan fitur anti-phishing tingkat lanjut yang dapat melindungi dari serangan phishing berbasis peniruan berbahaya.
2. Pengguna membuka lampiran	Pertahanan Microsoft untuk Office 365	Fitur Pertahanan Microsoft untuk Lampiran Aman Office 365 membuka lampiran di lingkungan terisolasi untuk pemindaian ancaman (detonasi) lainnya.
3. Lampiran memasang perangkat lunak berbahaya	Microsoft Defender untuk Endpoint	Melindungi endpoint dari malware dengan fitur perlindungan generasi terbaru, seperti perlindungan berbasis cloud dan perlindungan antivirus real-time berbasis perilaku dan heuristik.
4. Malware mencuri kredensial pengguna	ID Microsoft Entra dan Perlindungan ID Microsoft Entra	Melindungi identitas dengan memantau perilaku dan aktivitas pengguna, mendeteksi gerakan lateral, dan memperingatkan aktivitas anomali.
5. Penyerang bergerak secara lateral di seluruh aplikasi dan data Microsoft 365	Microsoft Defender untuk Aplikasi Cloud	Dapat mendeteksi aktivitas anomali pengguna yang mengakses aplikasi cloud.
6. Penyerang mengunduh file sensitif dari folder SharePoint	Microsoft Defender untuk Aplikasi Cloud	Dapat mendeteksi dan merespons peristiwa pengunduhan massal file dari SharePoint.

Jika Anda melakukan onboarding ruang kerja Microsoft Sentinel ke portal Microsoft Defender, data SIEM tersedia langsung di Microsoft Sentinel di portal Microsoft Defender.

Respons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR

Setelah mengamati serangan umum, gunakan Microsoft Sentinel dan Microsoft Defender XDR untuk respons insiden.

Pilih tab yang relevan untuk ruang kerja Anda tergantung pada apakah Anda menghubungkan ke portal Defender.

portal Pertahanan

Setelah onboarding Microsoft Sentinel ke portal Microsoft Defender, selesaikan semua langkah respons insiden langsung di portal Microsoft Defender seperti yang Anda lakukan untuk insiden Defender Microsoft XDR lainnya. Langkah-langkah yang didukung mencakup semuanya mulai dari triase hingga penyelidikan dan penyelesaian.

Gunakan area Microsoft Sentinel di portal Pertahanan Microsoft untuk fitur yang tidak tersedia dengan portal Defender saja.

Untuk informasi selengkapnya, lihat Merespons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR.

Portal Azure

Gunakan proses tingkat tinggi berikut untuk menanggapi insiden dengan Microsoft Sentinel di portal Microsoft Azure bersama dengan Microsoft Defender XDR:

1. Prioritaskan insiden di portal Microsoft Sentinel.
2. Pindah ke portal Microsoft Defender untuk memulai penyelidikan Anda.
3. Jika diperlukan, lanjutkan investigasi di portal Microsoft Azure Sentinel.
4. Atasi insiden di portal Microsoft Azure Sentinel.

Diagram berikut menunjukkan proses, dimulai dengan penemuan dan triase di Microsoft Sentinel.

Untuk informasi selengkapnya, lihat Merespons insiden menggunakan Microsoft Sentinel dan Microsoft Defender XDR.

Konten terkait

Untuk informasi selengkapnya, lihat respons insiden dengan SIEM terintegrasi dan XDR.

portal Pertahanan

Untuk informasi selengkapnya tentang menerapkan prinsip Zero Trust di Microsoft 365, lihat:

• paket penyebaran Zero Trust dengan Microsoft 365
• Menyebarkan infrastruktur identitas Anda untuk Microsoft 365
• Konfigurasi identitas dan akses perangkat Zero Trust
• Mengelola perangkat dengan Microsoft Intune
• Uji Coba dan Sebarkan Microsoft Defender XDR
• Mengelola privasi data dan perlindungan data dengan Microsoft Priva dan Microsoft Purview
• Mengintegrasikan aplikasi SaaS untuk Zero Trust dengan Microsoft 365

portal Microsoft Azure

Untuk informasi selengkapnya, lihat Pelatihan yang Direkomendasikan untuk SIEM dan XDR.

Untuk informasi selengkapnya tentang menerapkan prinsip Zero Trust ke Azure, lihat:

• gambaran umum Azure IaaS
• penyimpanan Azure
• Komputer virtual
• Spoke jaringan virtual
• jaringan virtual Hub
• Jaringan virtual spoke dengan Layanan PaaS Azure
• Azure Virtual Desktop
• Azure Virtual WAN
• aplikasi IaaS di Amazon Web Services