Apa yang dimaksud dengan playbook Microsoft Sentinel?
Selain menilai dan mengatasi masalah dengan konfigurasi keamanannya, Contoso juga harus memantau masalah dan ancaman baru, lalu merespons dengan tepat.
Microsoft Sentinel sebagai solusi SIEM dan SOAR
Microsoft Sentinel adalah solusi Security Information and Event Management (SIEM) dan Security Orchestration, Automation and Response (SOAR) yang didesain untuk lingkungan hibrida.
Catatan
Solusi SIEM menyediakan penyimpanan dan analisis log, peristiwa, dan peringatan yang dihasilkan oleh sistem lainnya. Anda dapat mengonfigurasi solusi ini untuk meningkatkan peringatannya sendiri. Solusi SOAR mendukung remediasi kerentanan dan otomasi keseluruhan dari proses keamanan.
Microsoft Sentinel menggunakan deteksi bawaan dan kustom untuk memperingatkan Anda tentang potensi ancaman keamanan seperti upaya mengakses sumber daya Contoso dari luar infrastrukturnya atau ketika data dari Contoso tampaknya dikirim ke alamat IP berbahaya yang diketahui. Anda juga dapat membuat insiden berdasarkan peringatan ini.
Playbook Microsoft Sentinel
Anda dapat membuat playbook keamanan di Microsoft Sentinel untuk merespons peringatan. Playbook keamanan adalah kumpulan prosedur berdasarkan Azure Logic Apps yang berjalan sebagai respons terhadap peringatan. Anda dapat menjalankan playbook keamanan ini secara manual sebagai respons terhadap penyelidikan Anda atas suatu insiden atau Anda dapat mengonfigurasi peringatan untuk menjalankan playbook secara otomatis.
Dengan kemampuan untuk merespons insiden secara otomatis, Anda dapat mengotomatiskan beberapa operasi keamanan Anda dan membuat Pusat Operasi Keamanan (SOC) Anda lebih produktif.
Misalnya, untuk mengatasi masalah Contoso, Anda dapat mengembangkan alur kerja dengan langkah-langkah yang ditentukan yang dapat memblokir nama pengguna yang mencurigakan agar tidak mengakses sumber daya dari alamat IP yang tidak aman. Atau, Anda dapat mengonfigurasi playbook untuk melakukan operasi seperti memberi tahu tim SecOps tentang pemberitahuan keamanan tingkat tinggi.
Azure Logic Apps
Azure Logic Apps adalah layanan cloud yang mengotomatiskan pengoperasian proses bisnis Anda. Anda menggunakan alat desain grafis disebut Perancang Logic Apps untuk mengatur komponen bawaan ke dalam urutan yang Anda perlukan. Anda juga dapat menggunakan tampilan kode dan menulis proses otomatis Anda dalam file JSON.
Konektor Logic Apps
Aplikasi logika menggunakan konektor untuk menyambungkan ratusan layanan. Konektor adalah komponen yang menyediakan antarmuka ke layanan eksternal.
Catatan
Konektor data Microsoft Sentinel dan konektor Logic Apps tidaklah sama. Konektor data Microsoft Sentinel menyambungkan Microsoft Sentinel dengan produk keamanan Microsoft dan ekosistem keamanan untuk solusi non-Microsoft. Konektor Logic Apps adalah komponen yang menyediakan koneksi API untuk layanan eksternal dan memungkinkan integrasi peristiwa, data, tindakan di seluruh aplikasi, layanan, sistem, protokol, dan platform lainnya.
Apa itu pemicu dan tindakan
Azure Logic Apps menggunakan pemicu dan tindakan, yang didefinisikan sebagai berikut:
Pemicu adalah peristiwa yang terjadi ketika serangkaian kondisi tertentu terpenuhi. Pemicu diaktifkan secara otomatis ketika kondisi terpenuhi. Misalnya, insiden keamanan terjadi di Microsoft Sentinel, yang merupakan pemicu tindakan otomatis.
Tindakan adalah operasi yang melakukan tugas dalam alur kerja Logic Apps. Tindakan berjalan ketika pemicu diaktifkan, tindakan lain selesai, atau kondisi terpenuhi.
Konektor Azure Sentinel Logic Apps
Playbook Microsoft Sentinel menggunakan konektor Logic Apps Microsoft Sentinel. Konektor ini menyediakan pemicu dan tindakan yang dapat memulai playbook dan melakukan tindakan yang ditentukan.
Saat ini, ada dua pemicu dari konektor Logic Apps Microsoft Sentinel:
Saat respons terhadap peringatan Microsoft Sentinel dipicu
Saat aturan pembuatan insiden Microsoft Sentinel dipicu
Catatan
Karena konektor Logic Apps Microsoft Sentinel dalam mode pratinjau, fitur yang dijelaskan dalam modul ini mungkin berubah di masa mendatang.
Tabel berikut mencantumkan semua tindakan saat ini untuk konektor Microsoft Sentinel.
| Nama | Deskripsi |
|---|---|
| Tambahkan komentar untuk insiden | Menambahkan komentar ke insiden yang dipilih. |
| Tambahkan label untuk insiden | Menambahkan label ke insiden yang dipilih. |
| Peringatan - Dapatkan insiden | Mengembalikan insiden yang terkait dengan peringatan yang dipilih. |
| Ubah deskripsi insiden | Mengubah deskripsi untuk insiden yang dipilih. |
| Ubah tingkat keparahan insiden | Mengubah tingkat keparahan untuk insiden yang dipilih. |
| Ubah status insiden | Mengubah status untuk insiden yang dipilih. |
| Ubah judul insiden (V2) | Mengubah judul untuk insiden yang dipilih. |
| Entitas - Dapatkan Akun | Mengembalikan daftar akun yang terkait dengan peringatan. |
| Entitas - Dapatkan FileHashes | Mengembalikan daftar FileHahes yang terkait dengan peringatan. |
| Entitas - Dapatkan Host | Mengembalikan daftar host yang terkait dengan peringatan. |
| Entitas - Dapatkan IP | Mengembalikan daftar IP yang terkait dengan peringatan. |
| Entitas - Dapatkan URL | Mengembalikan daftar URL yang terkait dengan peringatan. |
| Hapus label dari insiden | Menghapus label untuk insiden yang dipilih. |
Catatan
Tindakan yang memiliki {V2} atau angka yang lebih tinggi menyediakan versi tindakan baru dan mungkin berbeda dari fungsionalitas lama tindakan.
Beberapa tindakan memerlukan integrasi dengan tindakan dari konektor lainnya. Misalnya, jika Contoso ingin mengidentifikasi semua akun mencurigakan yang dikembalikan dalam peringatan dari entitas yang ditentukan, Anda harus menggabungkan tindakan Entitas - Dapatkan Akun dengan tindakan Untuk Setiap. Demikian pula, untuk mendapatkan semua host individu dalam insiden yang mendeteksi host mencurigakan, Anda harus menggabungkan tindakan Entitas - Dapatkan Host dengan tindakan Untuk Setiap.