Bukti insiden dan entitas
Microsoft Sentinel menggunakan berbagai sumber informasi keamanan untuk membuat insiden. Anda perlu memahami sumber-sumber ini untuk memanfaatkan manajemen insiden dengan semaksimal mungkin di Microsoft Azure Sentinel.
Bukti insiden
Bukti insiden terdiri dari informasi peristiwa keamanan dan aset Microsoft Sentinel terkait yang mengidentifikasi ancaman di lingkungan Microsoft Azure Sentinel. Bukti menunjukkan bagaimana Microsoft Azure Sentinel telah mengidentifikasi ancaman, dan menautkan kembali ke sumber daya tertentu yang dapat meningkatkan kesadaran Anda tentang detail insiden.
Aktivitas
Peristiwa menautkan Anda kembali ke satu atau beberapa peristiwa tertentu dari ruang kerja Analitik Log yang terkait dengan Microsoft Azure Sentinel. Dengan sendirinya, ruang kerja ini biasanya berisi ribuan peristiwa yang terlalu banyak untuk diurai secara manual.
Jika kueri yang dilampirkan ke aturan analitik Microsoft Azure Sentinel mengembalikan peristiwa, kueri melampirkan peristiwa ke insiden yang dihasilkan untuk potensi tinjauan lebih lanjut. Anda dapat menggunakan peristiwa ini untuk memahami cakupan dan frekuensi insiden sebelum menyelidiki lebih lanjut.
Peringatan
Sebagian besar insiden dihasilkan karena pemberitahuan aturan analitik. Contoh pemberitahuan meliputi:
- Deteksi file mencurigakan.
- Deteksi aktivitas pengguna yang mencurigakan.
- Percobaan elevasi hak istimewa.
Aturan analitik menghasilkan pemberitahuan berdasarkan kueri Bahasa Kueri Kusto (KQL) atau koneksi langsung ke solusi Microsoft Security seperti Microsoft Defender untuk Cloud atau Microsoft Defender XDR. Jika Anda mengaktifkan pengelompokan peringatan, Microsoft Sentinel menyertakan bukti peringatan terkait untuk insiden tersebut.
Penanda
Saat menyelidiki insiden, Anda dapat mengidentifikasi peristiwa yang ingin Anda lacak atau tandai untuk penyelidikan nanti. Anda dapat mempertahankan kueri yang dijalankan di Log Analytics dengan memilih satu atau beberapa peristiwa dan menetapkannya sebagai marka buku. Anda juga dapat merekam catatan dan tag untuk menginformasikan proses perburuan ancaman di masa mendatang dengan lebih baik. Marka buku tersedia untuk Anda dan rekan satu tim Anda.
Entitas insiden
Entitas insiden mengacu pada jaringan atau sumber daya pengguna yang terlibat dengan peristiwa. Anda dapat menggunakan entitas sebagai titik masuk untuk menjelajahi semua peringatan dan korelasi yang terkait dengan entitas tersebut.
Hubungan entitas berguna saat Anda menyelidiki insiden. Sebagai ganti menganalisis pemberitahuan identitas, pemberitahuan jaringan, dan pemberitahuan akses data satu per satu, Anda dapat menggunakan entitas untuk mengamati setiap peringatan yang terkait dengan pengguna, host, atau alamat tertentu di lingkungan Anda.
Beberapa jenis entitas meliputi:
- Rekening
- Host
- IP
- URL
- FileHash
Misalnya, entitas dapat membantu Anda mengidentifikasi semua pemberitahuan yang terkait dengan pengguna tertentu di Contoso, komputer host pengguna, dan host lain yang telah terhubung dengan pengguna. Anda dapat menentukan alamat IP mana yang terkait dengan pengguna tersebut, yang mengekspos peristiwa dan pemberitahuan mana yang dapat menjadi bagian dari serangan yang sama.