Manajemen insiden
Setelah Anda mulai menggunakan Microsoft Sentinel untuk menghasilkan insiden, Anda dan tim IT Contoso dapat menyelidiki insiden tersebut. Microsoft Sentinel memiliki alat investigasi dan analisis lanjutan yang dapat Anda gunakan untuk mengumpulkan informasi dan menentukan langkah-langkah remediasi.
Meninjau insiden
Untuk mengidentifikasi dan menyelesaikan masalah keamanan, pertama-tama selidiki insiden apa pun. Halaman Gambaran Umum Microsoft Azure Sentinel menyediakan daftar insiden terbaru untuk referensi cepat. Untuk detail selengkapnya dan gambaran umum lengkap insiden, gunakan halaman Insiden , yang menampilkan semua insiden di ruang kerja saat ini dan detail tentang insiden tersebut.
Halaman Insiden memberikan daftar lengkap insiden di Microsoft Sentinel. Halaman ini juga menyediakan informasi insiden dasar. Informasi mencakup tingkat keparahan, ID, judul, pemberitahuan, nama produk, waktu yang dibuat, waktu pembaruan terakhir, pemilik, dan status. Anda dapat mengurutkan menurut kolom insiden apa pun dan memfilter daftar insiden berdasarkan nama, tingkat keparahan, status, nama produk, atau pemilik.
Dari halaman ini, Anda dapat melakukan berbagai langkah untuk menyelidiki insiden.
Penting
Pengguna Microsoft Entra yang menyelidiki insiden harus menjadi anggota peran Pembaca Direktori.
Memeriksa detail insiden
Pilih insiden apa pun di halaman Insiden untuk menampilkan informasi selengkapnya tentang insiden di panel kanan. Panel ini memberikan deskripsi insiden dan mencantumkan bukti, entitas, dan taktik terkait. Panel juga berisi tautan ke buku kerja terkait dan aturan analitik yang menghasilkan insiden. Informasi ini dapat membantu Anda mengklarifikasi sifat, konteks, dan tindakan untuk insiden tersebut.
Di panel detail insiden, pilih Tampilkan detail lengkap untuk membuka halaman Insiden dan lihat detail selengkapnya tentang insiden tersebut. Anda dapat menggunakan detail ini untuk lebih memahami konteks insiden. Misalnya, dalam insiden serangan brute force, Anda mungkin masuk ke kueri Analitik Log untuk pemberitahuan guna menentukan jumlah serangan.
Mengelola kepemilikan, status, dan tingkat keparahan insiden
Setiap insiden yang dibuat Microsoft Sentinel telah melampirkan metadata yang dapat Anda lihat dan kelola. Informasi ini memungkinkan Anda:
- Menetapkan dan melacak kepemilikan insiden.
- Mengatur dan melacak status insiden dari pembuatan ke resolusi.
- Mengatur dan meninjau tingkat keparahannya.
Kepemilikan
Di lingkungan yang khas, setiap insiden harus ditetapkan pemilik dari tim keamanan. Pemilik insiden bertanggung jawab atas manajemen insiden secara keseluruhan, termasuk pembaruan investigasi dan status. Anda dapat mengubah kepemilikan kapan saja untuk menetapkan insiden tersebut kepada anggota tim keamanan lain untuk penyelidikan atau eskalasi lebih lanjut.
Keadaan
Setiap insiden baru yang dibuat di Microsoft Sentinel diberi status Baru. Saat Anda meninjau dan menanggapi insiden, ubah status secara manual untuk mencerminkan status insiden saat ini. Untuk insiden yang sedang diselidiki, tetapkan status ke Aktif. Ketika insiden diselesaikan sepenuhnya, atur status ke Ditutup.
Saat Anda mengatur status ke Tertutup, Anda diminta untuk memilih salah satu resolusi berikut:
- True Positive - Aktivitas mencurigakan
- Positif Jinak - Mencurigakan tetapi diharapkan
- Positif Palsu - Logika pemberitahuan salah
- Positif Palsu - Data yang tidak akurat
- Belum ditentukan
Tingkat keparahan
Aturan atau sumber keamanan Microsoft yang menghasilkan insiden awalnya menetapkan tingkat keparahan. Dalam kebanyakan kasus, tingkat keparahan insiden tetap tidak berubah, tetapi Anda mungkin mengubah tingkat keparahan jika Anda memutuskan bahwa insiden tersebut kurang lebih parah daripada yang diklasifikasikan pada awalnya. Opsi tingkat keparahan adalah Informasi, Rendah, Sedang, dan Tinggi.
Menggunakan grafik investigasi
Anda dapat menyelidiki insiden lebih lanjut dengan memilih Selidiki di halaman Insiden . Tindakan ini membuka grafik investigasi, alat visual yang membantu mengidentifikasi entitas yang terlibat dalam serangan dan hubungan antara entitas tersebut. Jika insiden melibatkan beberapa pemberitahuan dari waktu ke waktu, Anda juga dapat meninjau garis waktu peringatan dan korelasi antar peringatan.
Meninjau detail entitas
Anda dapat memilih setiap entitas pada grafik untuk mengamati informasi lebih lanjut tentang entitas. Informasi ini mencakup hubungan dengan entitas lain, penggunaan akun, dan informasi aliran data. Untuk setiap area informasi, Anda dapat masuk ke peristiwa terkait di Log Analytics dan menambahkan data pemberitahuan terkait ke dalam grafik.
Meninjau detail insiden
Anda dapat memilih item insiden pada grafik untuk mengamati metadata insiden yang terkait dengan konteks keamanan dan lingkungan insiden.