Investigasi insiden Microsoft Azure Sentinel di portal Azure
Microsoft Sentinel memberi Anda platform manajemen kasus berformat lengkap untuk menyelidiki dan mengelola insiden keamanan. Insiden adalah nama Microsoft Sentinel untuk file yang berisi kronologi lengkap dan terus diperbarui dari ancaman keamanan, baik itu potongan bukti individu (pemberitahuan), tersangka dan pihak yang menarik (entitas), wawasan yang dikumpulkan dan dikumpulkan oleh pakar keamanan dan model pembelajaran AI/mesin, atau komentar dan log dari semua tindakan yang diambil selama penyelidikan.
Pengalaman investigasi insiden di Microsoft Azure Sentinel dimulai dengan halaman Insiden —pengalaman yang dirancang untuk memberi Anda semua yang Anda butuhkan untuk penyelidikan Anda di satu tempat. Tujuan utama dari pengalaman ini adalah untuk meningkatkan efisiensi dan efektivitas SOC Anda, mengurangi waktu rata-rata untuk menyelesaikan (MTTR).
Artikel ini menjelaskan kemampuan dan fitur investigasi insiden dan manajemen kasus Microsoft Sentinel dalam portal Azure, membawa Anda melalui fase penyelidikan insiden umum sambil menyajikan semua tampilan dan alat yang tersedia untuk membantu Anda.
Prasyarat
Penetapan peran Penanggap Microsoft Sentinel diperlukan untuk menyelidiki insiden.
Pelajari selengkapnya tentang peran di Microsoft Azure Sentinel.
Jika Anda memiliki pengguna tamu yang perlu menetapkan insiden, pengguna harus diberi peran Pembaca Direktori di penyewa Microsoft Entra Anda. Pengguna reguler (nonguest) memiliki peran ini yang ditetapkan secara default.
Tingkatkan kematangan SOC Anda
Insiden Microsoft Azure Sentinel memberi Anda alat untuk membantu tingkat kematangan Operasi Keamanan (SecOps) Anda dengan menstandarkan proses dan mengaudit manajemen insiden Anda.
Menstandarkan proses Anda
Tugas insiden adalah daftar alur kerja tugas yang harus diikuti analis untuk memastikan standar perawatan yang seragam dan untuk mencegah langkah-langkah penting terlewatkan:
Manajer dan insinyur SOC dapat mengembangkan daftar tugas ini dan memintanya secara otomatis berlaku untuk berbagai kelompok insiden yang sesuai, atau di seluruh papan.
Analis SOC kemudian dapat mengakses tugas yang ditetapkan dalam setiap insiden, menandainya saat selesai.
Analis juga dapat menambahkan tugas secara manual ke insiden terbuka mereka, baik sebagai pengingat diri atau untuk kepentingan analis lain yang dapat berkolaborasi pada insiden (misalnya, karena perubahan atau eskalasi pergeseran).
Untuk informasi selengkapnya, lihat Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel di portal Azure.
Mengaudit manajemen insiden Anda
Log aktivitas insiden melacak tindakan yang diambil pada insiden, baik yang dimulai oleh manusia atau proses otomatis, dan menampilkannya bersama dengan semua komentar tentang insiden tersebut.
Anda juga dapat menambahkan komentar Anda sendiri di sini. Untuk informasi selengkapnya, lihat Menyelidiki insiden Microsoft Azure Sentinel secara mendalam di portal Azure.
Menyelidiki secara efektif dan efisien
Hal pertama yang pertama: Sebagai analis, pertanyaan paling mendasar yang ingin Anda jawab adalah, mengapa insiden ini menjadi perhatian saya? Memasukkan halaman detail insiden akan menjawab pertanyaan tersebut: tepat di tengah layar, Anda akan melihat widget garis waktu Insiden.
Gunakan insiden Microsoft Azure Sentinel untuk menyelidiki insiden keamanan secara efektif dan efisien menggunakan garis waktu insiden, belajar dari insiden serupa, memeriksa wawasan teratas, melihat entitas, dan menjelajahi log.
Garis waktu insiden
Garis waktu insiden adalah buku harian dari semua pemberitahuan yang mewakili semua peristiwa yang dicatat yang relevan dengan penyelidikan, dalam urutan terjadinya. Garis waktu juga menunjukkan marka buku, rekam jepret bukti yang dikumpulkan saat berburu dan ditambahkan ke insiden tersebut.
Cari daftar pemberitahuan dan marka buku, atau filter daftar berdasarkan tingkat keparahan, taktik, atau tipe konten (pemberitahuan atau marka buku), untuk membantu Anda menemukan item yang ingin Anda kejar. Tampilan awal garis waktu segera memberi tahu Anda beberapa hal penting tentang setiap item di dalamnya, baik pemberitahuan atau marka buku:
- Tanggal dan waktu pembuatan pemberitahuan atau marka buku.
- Jenis item, pemberitahuan, atau marka buku, yang ditunjukkan oleh ikon dan TipsAlat saat mengarahkan mouse ke ikon.
- Nama pemberitahuan atau marka buku, dalam jenis tebal pada baris pertama item.
- Tingkat keparahan pemberitahuan, ditunjukkan oleh pita warna di sepanjang tepi kiri, dan dalam bentuk kata di awal "subtitel" tiga bagian pemberitahuan.
- Penyedia pemberitahuan, di bagian kedua subtitel. Untuk marka buku, pembuat marka buku.
- Taktik MITRE ATT&CK yang terkait dengan pemberitahuan, ditunjukkan oleh ikon dan TipsAlat, di bagian ketiga subtitel.
Untuk informasi selengkapnya, lihat Rekonstruksi garis waktu cerita serangan.
Daftar insiden serupa
Jika sesuatu yang telah Anda lihat sejauh ini dalam insiden Anda terlihat akrab, mungkin ada alasan yang baik. Microsoft Sentinel tetap selangkah lebih maju dari Anda dengan menunjukkan insiden yang paling mirip dengan yang terbuka.
Widget Insiden serupa menunjukkan kepada Anda informasi yang paling relevan tentang insiden yang dianggap serupa, termasuk tanggal dan waktu terakhir yang diperbarui, pemilik terakhir, status terakhir (termasuk, jika ditutup, alasan mereka ditutup), dan alasan kesamaan.
Ini dapat menguntungkan penyelidikan Anda dengan beberapa cara:
- Spot insiden bersamaan yang mungkin merupakan bagian dari strategi serangan yang lebih besar.
- Gunakan insiden serupa sebagai poin referensi untuk penyelidikan Anda saat ini—lihat bagaimana insiden tersebut ditangani.
- Identifikasi pemilik insiden serupa di masa lalu untuk mendapatkan manfaat dari pengetahuan mereka.
Misalnya, Anda ingin melihat apakah insiden lain seperti ini telah terjadi sebelumnya atau sedang terjadi sekarang.
- Anda mungkin ingin mengidentifikasi insiden bersamaan yang mungkin menjadi bagian dari strategi serangan yang lebih besar yang sama.
- Anda mungkin ingin mengidentifikasi insiden serupa di masa lalu, untuk menggunakannya sebagai titik referensi untuk investigasi Anda saat ini.
- Anda mungkin ingin mengidentifikasi pemilik insiden serupa di masa lalu, untuk menemukan orang-orang di SOC Anda yang dapat memberikan lebih banyak konteks, atau kepada siapa Anda dapat meningkatkan investigasi.
Widget menunjukkan kepada Anda 20 insiden paling mirip. Microsoft Azure Sentinel memutuskan insiden mana yang serupa berdasarkan elemen umum termasuk entitas, aturan analitik sumber, dan detail pemberitahuan. Dari widget ini Anda dapat melompat langsung ke salah satu halaman detail lengkap insiden ini, sambil menjaga koneksi ke insiden saat ini tetap utuh.
Kesamaan ditentukan berdasarkan kriteria berikut:
| Kriteria | Deskripsi |
|---|---|
| Entitas serupa | Insiden dianggap mirip dengan insiden lain jika keduanya menyertakan entitas yang sama. Semakin banyak entitas dua insiden memiliki kesamaan, semakin mirip mereka dianggap. |
| Aturan serupa | Insiden dianggap mirip dengan insiden lain jika keduanya dibuat oleh aturan analitik yang sama. |
| Detail pemberitahuan serupa | Insiden dianggap mirip dengan insiden lain jika mereka memiliki judul, nama produk, dan/atau [detail kustom (surface-custom-details-in-alerts.md) yang sama. |
Kemiripan insiden dihitung berdasarkan data dari 14 hari sebelum aktivitas terakhir dalam insiden tersebut, yang menjadi waktu berakhirnya peringatan terbaru dalam insiden tersebut. Kesamaan insiden juga dihitung ulang setiap kali Anda memasukkan halaman detail insiden, sehingga hasilnya mungkin bervariasi di antara sesi jika insiden baru dibuat atau diperbarui.
Untuk informasi selengkapnya, lihat Memeriksa insiden serupa di lingkungan Anda.
Wawasan insiden teratas
Selanjutnya, memiliki kerangka luas tentang apa yang terjadi (atau masih terjadi), dan memiliki pemahaman yang lebih baik tentang konteks, Anda akan penasaran tentang informasi menarik apa yang telah ditemukan Microsoft Sentinel untuk Anda.
Microsoft Sentinel secara otomatis mengajukan pertanyaan besar tentang entitas dalam insiden Anda dan menunjukkan jawaban teratas di widget Wawasan teratas, terlihat di sisi kanan halaman detail insiden. Widget ini menunjukkan kumpulan wawasan berdasarkan analisis pembelajaran mesin dan kurasi tim ahli keamanan teratas.
Ini adalah subset wawasan yang dipilih secara khusus yang muncul di halaman entitas, tetapi dalam konteks ini, wawasan untuk semua entitas dalam insiden disajikan bersama-sama, memberi Anda gambaran yang lebih lengkap tentang apa yang terjadi. Kumpulan wawasan lengkap muncul di tab Entitas, untuk setiap entitas secara terpisah—lihat di bawah ini.
Widget Wawasan teratas menjawab pertanyaan tentang entitas yang berkaitan dengan perilakunya dibandingkan dengan rekan-rekannya dan riwayatnya sendiri, kehadirannya pada daftar pengawasan atau dalam inteligensi ancaman, atau semacam kejadian tidak biasa lainnya yang berkaitan dengannya.
Sebagian besar wawasan ini berisi tautan ke informasi lebih lanjut. Tautan ini membuka panel Log dalam konteks, di mana Anda akan melihat kueri sumber untuk wawasan tersebut bersama dengan hasilnya.
Daftar entitas terkait
Sekarang setelah Anda memiliki beberapa konteks dan beberapa pertanyaan dasar yang dijawab, Anda harus mendapatkan lebih banyak kedalaman tentang pemain utama dalam cerita ini.
Nama pengguna, nama host, alamat IP, nama file, dan jenis entitas lainnya semuanya bisa menjadi "orang yang menarik" dalam penyelidikan Anda. Microsoft Sentinel menemukan semuanya untuk Anda dan menampilkannya di depan dan tengah di widget Entitas , bersama garis waktu.
Pilih entitas dari widget ini untuk mempivot Anda ke daftar entitas tersebut di tab Entitas pada halaman insiden yang sama, yang berisi daftar semua entitas dalam insiden tersebut.
Pilih entitas dalam daftar untuk membuka panel samping dengan informasi berdasarkan halaman entitas, termasuk detail berikut:
Info berisi informasi dasar tentang entitas. Untuk entitas akun pengguna, ini mungkin hal-hal seperti nama pengguna, nama domain, pengidentifikasi keamanan (SID), informasi organisasi, informasi keamanan, dan lainnya.
Garis waktu berisi daftar pemberitahuan yang menampilkan entitas ini dan aktivitas yang telah dilakukan entitas, seperti yang dikumpulkan dari log tempat entitas muncul.
Wawasan berisi jawaban atas pertanyaan tentang entitas yang berkaitan dengan perilakunya dibandingkan dengan rekan-rekannya dan riwayatnya sendiri, kehadirannya pada daftar pengawasan atau dalam inteligensi ancaman, atau semacam kejadian tidak biasa lainnya yang berkaitan dengannya.
Jawaban ini adalah hasil kueri yang ditentukan oleh peneliti keamanan Microsoft yang memberikan informasi keamanan yang berharga dan kontekstual tentang entitas, berdasarkan data dari kumpulan sumber.
Bergantung pada jenis entitas, Anda dapat mengambil sejumlah tindakan lebih lanjut dari panel sisi ini, termasuk:
Pivot ke halaman entitas lengkap entitas untuk mendapatkan detail lebih lanjut selama rentang waktu yang lebih lama atau luncurkan alat investigasi grafis yang berpusat pada entitas tersebut.
Jalankan playbook untuk mengambil respons atau tindakan remediasi tertentu pada entitas (dalam Pratinjau).
Klasifikasikan entitas sebagai indikator kompromi (IOC) dan tambahkan ke daftar Inteligensi ancaman Anda.
Masing-masing tindakan ini saat ini didukung untuk jenis entitas tertentu dan bukan untuk yang lain. Tabel berikut menunjukkan tindakan mana yang didukung untuk setiap jenis entitas:
| Tindakan yang tersedia ▶ Jenis entitas ▼ |
Lihat detail lengkap (di halaman entitas) |
Tambahkan ke TI * | Jalankan playbook * (Pratinjau) |
|---|---|---|---|
| Akun pengguna | ✔ | ✔ | |
| Host | ✔ | ✔ | |
| Alamat IP | ✔ | ✔ | ✔ |
| URL | ✔ | ✔ | |
| Nama domain | ✔ | ✔ | |
| File (hash) | ✔ | ✔ | |
| Sumber daya Azure | ✔ | ||
| Perangkat IoT | ✔ |
* Untuk entitas tempat tindakan Tambahkan ke TI atau Jalankan playbook tersedia, Anda dapat mengambil tindakan tersebut langsung dari widget Entitas di tab Gambaran Umum, tidak pernah meninggalkan halaman insiden.
Log insiden
Jelajahi log insiden untuk mendapatkan detail untuk mengetahui apa yang sebenarnya terjadi?
Dari hampir semua area dalam insiden, Anda dapat menelusuri paling detail pemberitahuan, entitas, wawasan, dan item lain yang terkandung dalam insiden, melihat kueri asli dan hasilnya.
Hasil ini ditampilkan di layar Log (analitik log) yang muncul di sini sebagai ekstensi panel halaman detail insiden, sehingga Anda tidak meninggalkan konteks penyelidikan.
Rekaman terorganisir dengan insiden
Untuk kepentingan transparansi, akuntabilitas, dan kelangsungan, Anda akan menginginkan catatan semua tindakan yang telah diambil pada insiden tersebut—baik oleh proses otomatis maupun oleh orang. Log aktivitas insiden menunjukkan kepada Anda semua aktivitas ini. Anda juga dapat melihat komentar apa pun yang telah dibuat dan menambahkan komentar Anda sendiri.
Log aktivitas terus-menerus menyegarkan otomatis, bahkan saat terbuka, sehingga Anda dapat melihat perubahan pada log tersebut secara real time.
Konten terkait
Dalam dokumen ini, Anda mempelajari bagaimana pengalaman investigasi insiden Microsoft Sentinel dalam portal Azure membantu Anda melakukan penyelidikan dalam satu konteks. Untuk informasi selengkapnya tentang mengelola dan menyelidiki insiden, lihat artikel berikut ini:
- Selidiki entitas dengan halaman entitas di Microsoft Azure Sentinel.
- Menggunakan tugas untuk mengelola insiden di Microsoft Azure Sentinel
- Mengotomatiskan penanganan insiden di Microsoft Azure Sentinel dengan aturan otomatisasi.
- Mengidentifikasi ancaman lanjutan dengan Analitik Perilaku Pengguna dan Entitas (UEBA) di Microsoft Azure Sentinel
- Lakukan perburuan ancaman keamanan.
Langkah selanjutnya
Navigasikan, triase, dan kelola insiden Microsoft Azure Sentinel di portal Azure