Membuat insiden secara otomatis dari peringatan keamanan Microsoft
Pemberitahuan yang dipicu dalam solusi keamanan Microsoft yang terhubung ke Microsoft Azure Sentinel, seperti Microsoft Defender untuk Cloud Apps dan Microsoft Defender untuk Identitas, tidak secara otomatis membuat insiden di Microsoft Azure Sentinel. Secara default, saat Anda menyambungkan solusi Microsoft ke Microsoft Azure Sentinel, pemberitahuan apa pun yang dihasilkan dalam layanan tersebut akan diserap dan disimpan dalam tabel SecurityAlert di ruang kerja Microsoft Azure Sentinel Anda. Anda kemudian dapat menggunakan data tersebut seperti data mentah lainnya yang Anda serap ke Microsoft Azure Sentinel.
Anda dapat dengan mudah mengonfigurasi Microsoft Azure Sentinel untuk secara otomatis membuat insiden setiap kali pemberitahuan dipicu dalam solusi keamanan Microsoft yang terhubung, dengan mengikuti petunjuk dalam artikel ini.
Penting
Artikel ini tidak berlaku jika Anda memiliki:
- Mengaktifkan integrasi insiden Microsoft Defender XDR, atau
- Microsoft Sentinel yang di-onboard ke portal Pertahanan Microsoft.
Dalam skenario ini, Microsoft Defender XDR membuat insiden dari pemberitahuan yang dihasilkan dalam layanan Microsoft.
Jika Anda menggunakan aturan pembuatan insiden untuk solusi atau produk keamanan Microsoft lainnya yang tidak diintegrasikan ke dalam Defender XDR, seperti Manajemen Risiko Orang Dalam Microsoft Purview, dan Anda berencana untuk onboarding ke portal Defender, ganti aturan pembuatan insiden Anda dengan aturan analitik terjadwal.
Prasyarat
Sambungkan solusi keamanan Anda dengan menginstal solusi yang sesuai dari Content Hub di Microsoft Azure Sentinel dan menyiapkan konektor data. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten siap pakai Microsoft Azure Sentinel dan konektor data Microsoft Azure Sentinel.
Mengaktifkan pembuatan insiden otomatis dalam konektor data
Cara paling langsung untuk membuat insiden secara otomatis dari pemberitahuan yang dihasilkan dari solusi keamanan Microsoft adalah dengan mengonfigurasi konektor data solusi untuk membuat insiden:
Menyambungkan sumber data solusi keamanan Microsoft.
Di bawah Buat insiden – Disarankan, pilih Aktifkan untuk mengaktifkan aturan analitik default yang membuat insiden secara otomatis dari pemberitahuan yang dihasilkan di layanan keamanan yang terhubung. Anda kemudian dapat mengedit aturan ini di bawah Analitik lalu Aturan aktif.
Penting
Jika Anda tidak melihat bagian ini seperti yang ditunjukkan, kemungkinan besar Anda telah mengaktifkan integrasi insiden di konektor Microsoft Defender XDR Anda, atau Anda telah melakukan onboard microsoft Sentinel ke portal Pertahanan.
Dalam kedua kasus, artikel ini tidak berlaku untuk lingkungan Anda, karena insiden Anda dibuat oleh mesin korelasi Pertahanan Microsoft alih-alih oleh Microsoft Sentinel.
Membuat aturan pembuatan insiden dari templat Microsoft Security
Microsoft Sentinel menyediakan templat aturan siap pakai untuk membuat aturan Microsoft Security. Setiap solusi sumber Microsoft memiliki templatnya sendiri. Misalnya, ada satu untuk Microsoft Defender untuk Titik Akhir, satu untuk Microsoft Defender untuk Cloud, dan sebagainya. Buat aturan dari setiap templat yang sesuai dengan solusi di lingkungan Anda, yang ingin Anda buat insidennya secara otomatis. Ubah aturan untuk menentukan opsi yang lebih spesifik untuk memfilter pemberitahuan mana yang akan mengakibatkan insiden. Misalnya, Anda dapat memilih untuk membuat insiden Microsoft Azure Sentinel secara otomatis hanya dari pemberitahuan tingkat keparahan tinggi dari Microsoft Defender untuk Identitas.
Dari menu navigasi Microsoft Azure Sentinel, di bawah Konfigurasi, pilih Analitik.
Pilih tab Templat aturan untuk melihat semua templat aturan analitik. Untuk menemukan templat aturan lainnya, buka Hub konten di Microsoft Azure Sentinel.
Filter daftar untuk jenis aturan keamanan Microsoft untuk melihat templat aturan analitik untuk membuat insiden dari pemberitahuan Microsoft.
Pilih templat aturan untuk sumber pemberitahuan yang ingin Anda buat insidennya. Lalu, di panel detail, pilih Buat aturan.
Ubah detail aturan, memfilter pemberitahuan yang akan membuat insiden berdasarkan tingkat keparahan pemberitahuan atau menurut teks yang terkandung dalam nama pemberitahuan.
Misalnya, jika Anda memilih Microsoft Defender untuk Identitas di bidang layanan keamanan Microsoft dan memilih Tinggi di bidang Filter menurut tingkat keparahan, hanya pemberitahuan keamanan tingkat keparahan tinggi yang akan secara otomatis membuat insiden di Microsoft Azure Sentinel.
Seperti jenis aturan analitik lainnya, pilih tab Respons otomatis untuk menentukan aturan otomatisasi yang berjalan saat insiden dibuat oleh aturan ini.
Membuat aturan pembuatan insiden dari awal
Anda juga dapat membuat aturan keamanan Microsoft baru yang memfilter pemberitahuan dari berbagai layanan keamanan Microsoft. Pada halaman Analitik , pilih Buat > aturan pembuatan insiden Microsoft.
Anda dapat membuat lebih dari satu aturan analitik Keamanan Microsoft per jenis layanan keamanan Microsoft. Ini tidak membuat insiden duplikat jika Anda menerapkan filter pada setiap aturan yang mengecualikan satu sama lain.
Langkah berikutnya
- Untuk memulai dengan Microsoft Azure Sentinel, Anda memerlukan langganan Microsoft Azure Sentinel. Jika tidak memiliki langganan, Anda dapat mendaftar untuk opsi coba gratis.
- Pelajari cara mengorientasikan data Anda ke Microsoft Azure Sentinel dan mendapatkan visibilitas ke dalam data Anda dan ke potensi ancaman.