Memahami insiden
Ancaman terkait teknologi terhadap organisasi disebut insiden. Manajemen insiden adalah proses lengkap penyelidikan insiden, dari pembuatan insiden hingga penyelidikan dan penyelesaian mendalam. Microsoft Azure Sentinel dapat membantu tim TI Anda mengatur, menyelidiki, dan melacak insiden dari pembuatan melalui resolusi.
Anda dapat menggunakan Microsoft Azure Sentinel untuk meninjau informasi insiden terperinci, menetapkan pemilik insiden, mengatur dan memelihara tingkat keparahan insiden, dan mengelola status insiden. Microsoft Sentinel menyediakan lingkungan manajemen insiden lengkap untuk menangani langkah-langkah ini.
Konsep kunci
Penting untuk memahami konsep manajemen insiden Microsoft Azure Sentinel utama berikut:
- Konektor data. Anda dapat menggunakan konektor data Microsoft Azure Sentinel untuk menyerap dan mengumpulkan data dari layanan terkait keamanan. Konektor data dapat mengumpulkan peristiwa dari komputer Linux atau Windows yang menjalankan agen Analitik Log, dari server syslog Linux untuk perangkat seperti firewall atau proksi, atau langsung dari layanan Microsoft Azure. Peristiwa ini diteruskan ke ruang kerja Analitik Log yang terkait dengan Microsoft Azure Sentinel.
- Peristiwa. Microsoft Sentinel menyimpan peristiwa di ruang kerja Analitik Log. Peristiwa ini berisi detail aktivitas terkait keamanan yang Anda inginkan untuk dipantau Microsoft Azure Sentinel.
- Aturan analitik. Aturan analitik mendeteksi peristiwa keamanan penting dan menghasilkan pemberitahuan. Anda dapat membuat aturan analitik dengan menggunakan templat bawaan atau dengan menggunakan kueri Bahasa Kueri Kusto kustom (KQL) terhadap ruang kerja Analitik Log di Microsoft Azure Sentinel.
- Alerts. Aturan analitik menghasilkan peringatan saat mereka mendeteksi peristiwa keamanan penting. Anda dapat mengonfigurasi pemberitahuan untuk menghasilkan insiden.
- Insiden. Microsoft Sentinel membuat insiden dari peringatan aturan analitik. Insiden dapat berisi beberapa peringatan terkait. Anda menggunakan setiap insiden sebagai titik awal dan mekanisme pelacakan untuk penyelidikan masalah keamanan di lingkungan Anda.
Halaman Gambaran Umum Microsoft Azure Sentinel
Manajemen insiden di Microsoft Azure Sentinel dimulai pada halaman Gambaran Umum , tempat Anda dapat meninjau lingkungan Microsoft Azure Sentinel saat ini. Halaman Gambaran Umum memperlihatkan daftar insiden terbaru, bersama dengan informasi penting Microsoft Azure Sentinel lainnya. Anda dapat menggunakan halaman ini untuk memahami situasi keamanan umum sebelum menyelidiki insiden.