Menghasilkan laporan inteligensi ancaman

  • 6 menit

Triaging dan menyelidiki peringatan keamanan dapat memakan waktu bahkan untuk analis keamanan yang paling terampil sekalipun. Bagi banyak orang, sulit untuk mengetahui harus memulai dari mana.

Defender untuk Cloud menggunakan analitik untuk menghubungkan informasi antara peringatan keamanan yang berbeda. Dengan menggunakan koneksi ini, Defender untuk Cloud dapat memberikan satu tampilan kampanye serangan dan peringatan terkait untuk membantu Anda memahami tindakan penyerang dan sumber daya yang terpengaruh.

Insiden muncul di halaman Pemberitahuan keamanan. Pilih insiden untuk melihat pemberitahuan terkait dan mendapatkan informasi selengkapnya.

Pada halaman gambaran umum Defender untuk Cloud, pilih petak peta peringatan Keamanan. Insiden dan peringatan dicantumkan. Perhatikan bahwa insiden keamanan memiliki ikon yang berbeda dengan peringatan keamanan.

Screenshot of Defender for Cloud Incidents in the Alerts page.

Untuk melihat detailnya, pilih insiden. Halaman Insiden keamanan memperlihatkan detail selengkapnya.

Screenshot of Defender for Cloud Security Alert Incident details.

Panel kiri halaman insiden keamanan memperlihatkan informasi tingkat tinggi tentang insiden keamanan: judul, tingkat keparahan, status, waktu aktivitas, deskripsi, dan sumber daya yang terpengaruh. Di samping sumber daya yang terpengaruh, Anda dapat melihat tag Azure yang relevan. Gunakan tag ini untuk menyimpulkan konteks organisasi sumber daya saat menyelidiki peringatan.

Panel kanan menyertakan tab Pemberitahuan dengan pemberitahuan keamanan yang berkorelasi sebagai bagian dari insiden ini.

Untuk beralih ke tab Ambil tindakan, pilih tab atau tombol di bagian bawah panel kanan. Gunakan tab ini untuk melakukan tindakan lebih lanjut seperti:

  • Memitigasi ancaman - memberikan langkah-langkah perbaikan manual untuk insiden keamanan ini

  • Mencegah serangan di masa depan - berikan rekomendasi keamanan untuk membantu mengurangi permukaan serangan, meningkatkan postur keamanan, dan mencegah serangan di masa depan

  • Memicu respons otomatis - menyediakan opsi untuk memicu Aplikasi Logika sebagai respons terhadap insiden keamanan ini

  • Menekan peringatan serupa - menyediakan opsi untuk menekan peringatan di masa mendatang dengan karakteristik serupa jika peringatan tidak relevan untuk organisasi Anda

Untuk mengatasi ancaman dalam insiden tersebut, ikuti langkah-langkah perbaikan yang diberikan setiap peringatan.

Menghasilkan laporan inteligensi ancaman

Perlindungan ancaman Defender untuk Cloud bekerja dengan memantau informasi keamanan dari sumber daya Azure Anda, jaringan, dan solusi mitra yang terhubung. Security Center menganalisis informasi ini, sering kali menghubungkan informasi dari berbagai sumber, untuk mengidentifikasi ancaman.

Saat Defender untuk Cloud mengidentifikasi ancaman, Defender untuk Cloud memicu peringatan keamanan yang berisi informasi mendetail mengenai peristiwa, termasuk saran untuk remediasi. Defender untuk Cloud memberikan laporan inteligensi ancaman yang berisi informasi tentang ancaman yang terdeteksi untuk membantu tim respons insiden menyelidiki dan mengatasi ancaman. Laporan ini mencakup informasi seperti:

  • Identitas atau asosiasi penyerang (jika informasi ini tersedia)

  • Tujuan penyerang

  • Kampanye serangan saat ini dan dulu (jika informasi ini tersedia)

  • Taktik, alat, dan prosedur penyerang

  • Indikator penyusupan terkait (IoC) seperti URL dan hash file

  • Victimology, yang merupakan industri dan prevalensi geografis untuk membantu Anda menentukan apakah sumber daya Azure Anda dalam bahaya

  • Informasi mitigasi dan remediasi

Defender untuk Cloud memiliki tiga jenis laporan ancaman, yang dapat bervariasi sesuai dengan serangan. Laporan yang tersedia adalah:

  • Laporan Grup Aktivitas: memberikan penjelasan mendalam tentang penyerang, tujuan, dan taktik mereka.

  • Laporan Kampanye: berfokus pada detail kampanye serangan tertentu.

  • Laporan Ringkasan Ancaman: mencakup semua item dalam dua laporan sebelumnya.

Jenis informasi ini berguna selama proses respons insiden, di mana ada penyelidikan yang sedang berlangsung untuk memahami sumber serangan, motivasi penyerang, dan apa yang harus dilakukan untuk mengurangi masalah ini di masa mendatang.

Untuk mengakses laporan inteligensi ancaman

Untuk membuat laporan:

Dari bilah sisi Defender untuk Cloud, buka halaman peringatan Keamanan.

Pilih pemberitahuan. Halaman detail pemberitahuan terbuka dengan detail selengkapnya tentang pemberitahuan tersebut. Di bawah ini adalah halaman detail pemberitahuan Indikator ransomware yang terdeteksi.

Screenshot of Defender for Cloud ransomware indicators detected link to threat intel report.

Pilih tautan ke laporan, dan PDF akan terbuka di browser default Anda.