Jenis aturan analitik
Dengan menggunakan aturan Analitik Microsoft Sentinel, Anda dapat mengonfigurasi notifikasi dan peringatan berdasarkan data yang berasal dari sumber yang tersambung ke Microsoft Sentinel. Pemberitahuan ini membantu memastikan bahwa tim SOC Contoso tahu kapan ancaman terjadi, dan tim kemudian dapat bereaksi dengan tepat untuk mencegah ancaman mencapai aset perusahaan Anda.
Jenis aturan analitik
Anda dapat mencari potensi ancaman dengan menggunakan aturan analitik bawaan yang disediakan Microsoft Sentinel Analytics, termasuk jenis berikut:
Anomali
Fusion
Keamanan Microsoft
Analitik perilaku pembelajaran mesin (ML)
Pemberitahuan terjadwal
Aturan NRT (Dekat Real Time)
Inteligensi Ancaman
Anomali
Peringatan anomali berdasarkan informasi dan mengidentifikasi perilaku ganjil.
Fusion
Microsoft Sentinel menggunakan mesin korelasi Fusion, dengan algoritma pembelajaran mesin yang dapat diskalakan, untuk mendeteksi serangan multistage tingkat lanjut. Mesin ini menghubungkan banyak peringatan dan peristiwa keakuratan rendah di beberapa produk menjadi insiden dengan keakuratan tinggi dan dapat ditindaklanjuti. Fusion diaktifkan secara default. Karena logika disembunyikan dan karena itu tidak dapat disesuaikan, Anda hanya dapat membuat satu aturan dengan templat ini.
Mesin Fusion juga dapat menghubungkan pemberitahuan dari aturan analitik terjadwal dengan pemberitahuan dari sistem lain, yang menghasilkan insiden keakuratan tinggi sebagai hasilnya.
Secara default, deteksi Fusion diaktifkan di Microsoft Sentinel. Microsoft terus memperbarui skenario deteksi Fusion untuk deteksi ancaman. Pada waktu penulisan artikel ini, untuk deteksi Anomali dan Fusion, Anda harus mengonfigurasi konektor data berikut:
Deteksi anomali siap pakai
Pemberitahuan dari Produk Microsoft
Perlindungan ID Microsoft Entra
Microsoft Defender for Cloud
Microsoft Defender for IoT
- Microsoft Defender XDR
Microsoft Defender for Cloud Apps
Pertahanan Microsoft untuk Titik Akhir
Microsoft Defender for Identity
Microsoft Defender for Office 365
Pemberitahuan dari aturan analitik terjadwal, baik bawaan maupun yang dibuat oleh analis keamanan Anda. Aturan analitik harus berisi informasi kill-chain (taktik) dan pemetaan entitas agar dapat digunakan oleh Fusion
Beberapa skenario deteksi serangan umum yang diidentifikasi oleh pemberitahuan Fusion meliputi:
Eksfiltrasi data. Aktivitas mencurigakan terdeteksi, seperti aturan penerusan mencurigakan di kotak surat Microsoft 365, setelah masuk yang mencurigakan ke akun Microsoft Entra dapat menunjukkan akun pengguna yang disusupi.
Penghancuran data. Jumlah anomali file unik yang dihapus setelah masuk yang mencurigakan ke akun Microsoft Entra dapat memberi sinyal bahwa akun pengguna yang disusupi digunakan untuk menghancurkan data.
Penolakan layanan. Sejumlah besar komputer virtual (VM) Azure yang dihapus setelah masuk yang mencurigakan ke akun Microsoft Entra dapat menandakan akun pengguna yang disusupi yang dapat digunakan untuk menghancurkan aset organisasi.
Gerakan lateral. Sejumlah besar tindakan peniruan yang terjadi setelah masuk yang mencurigakan ke akun Microsoft Entra dapat menunjukkan akun pengguna yang disusupi yang digunakan untuk tujuan berbahaya.
Ransomware. Setelah masuk yang mencurigakan ke akun Microsoft Entra, perilaku pengguna yang tidak biasa yang digunakan untuk mengenkripsi data dapat memicu pemberitahuan eksekusi ransomware.
Catatan
Untuk informasi selengkapnya tentang teknologi Fusion di Microsoft Sentinel, lihat Deteksi serangan multistage tingkat lanjut di Microsoft Sentinel
Keamanan Microsoft
Anda dapat mengonfigurasi solusi keamanan Microsoft yang tersambung ke Microsoft Sentinel untuk otomatis membuat insiden dari semua peringatan yang dihasilkan pada layanan yang tersambung.
Misalnya, Anda dapat mengonfigurasi contoso untuk diberi tahu ketika pengguna yang dikategorikan sebagai ancaman berisiko tinggi mencoba masuk dan mengakses sumber daya perusahaan.
Anda dapat mengonfigurasikan solusi keamanan berikut untuk meneruskan peringatannya ke Microsoft Sentinel:
Microsoft Defender for Cloud Apps
Pertahanan Microsoft untuk Server
Microsoft Defender for IoT
Microsoft Defender for Identity
Microsoft Defender for Office 365
Perlindungan ID Microsoft Entra
Pertahanan Microsoft untuk Titik Akhir
Catatan
Microsoft menyatukan informasi keamanan dan manajemen peristiwa (SIEM) dan terminologi deteksi dan respons (XDR) yang diperpanjang di seluruh produk keamanan mereka.
Anda dapat memfilter pemberitahuan ini berdasarkan tingkat keparahan dan teks tertentu yang terdapat dalam nama pemberitahuan.
Analitik perilaku ML
Analitik Microsoft Sentinel menyertakan aturan analitik perilaku pembelajaran mesin bawaan. Anda tidak bisa mengedit aturan bawaan ini atau meninjau pengaturan aturan. Aturan ini menggunakan algoritme pembelajaran mesin Microsoft untuk mendeteksi aktivitas yang mencurigakan. Algoritma Pembelajaran Mesin menghubungkan beberapa insiden kesetiaan rendah ke dalam insiden keamanan dengan kesetiaan tinggi. Korelasi ini menghemat jam yang mungkin Anda habiskan secara manual menganalisis banyak peringatan dari berbagai produk dan menghubungkannya. Algoritme pembelajaran mesin yang digunakan aturan analitik juga membantu mengurangi kebisingan di sekitar pemberitahuan dengan cepat menelan dan menghubungkan data penting.
Misalnya, dengan menggunakan aturan analitik perilaku pembelajaran mesin, Anda dapat mendeteksi aktivitas masuk protokol shell aman (SSH) anomali atau aktivitas masuk protokol desktop jarak jauh (RDP).
Pemberitahuan terjadwal
Aturan analitik pemberitahuan terjadwal memberi Anda tingkat penyesuaian tertinggi. Anda dapat menentukan ekspresi Anda sendiri menggunakan Kusto Query Language (KQL) untuk memfilter peristiwa keamanan, dan Anda bisa menyiapkan jadwal agar aturan dapat berjalan.