Navigasikan, triase, dan kelola insiden Microsoft Azure Sentinel di portal Azure
Artikel ini menjelaskan cara menavigasi dan menjalankan triase dasar pada insiden Anda di portal Azure.
Prasyarat
Penetapan peran Penanggap Microsoft Sentinel diperlukan untuk menyelidiki insiden.
Pelajari selengkapnya tentang peran di Microsoft Azure Sentinel.
Jika Anda memiliki pengguna tamu yang perlu menetapkan insiden, pengguna harus diberi peran Pembaca Direktori di penyewa Microsoft Entra Anda. Pengguna reguler (nonguest) memiliki peran ini yang ditetapkan secara default.
Menavigasi dan triase insiden
Dari menu navigasi Microsoft Azure Sentinel, di bawah Manajemen ancaman, pilih Insiden.
Halaman Insiden memberi Anda informasi dasar tentang semua insiden terbuka Anda. Contohnya:
Di bagian atas layar, Anda memiliki toolbar dengan tindakan yang dapat Anda ambil di luar insiden tertentu—baik di kisi secara keseluruhan, atau pada beberapa insiden yang dipilih. Anda juga memiliki jumlah insiden terbuka, baik baru atau aktif, dan jumlah insiden terbuka berdasarkan tingkat keparahan.
Di panel pusat, Anda memiliki kisi insiden, yang merupakan daftar insiden seperti yang difilter oleh kontrol pemfilteran di bagian atas daftar, dan bilah pencarian untuk menemukan insiden tertentu.
Di sisi lain, Anda memiliki panel detail yang memperlihatkan informasi penting tentang insiden yang disorot di daftar pusat, bersama dengan tombol untuk mengambil tindakan tertentu mengenai insiden tersebut.
Tim operasi keamanan Anda mungkin memiliki aturan otomatisasi untuk melakukan triase dasar pada insiden baru dan menetapkannya ke personel yang tepat.
Dalam hal ini, filter daftar insiden menurut Pemilik untuk membatasi daftar insiden yang ditetapkan kepada Anda atau ke tim Anda. Set yang difilter ini mewakili beban kerja pribadi Anda.
Jika tidak, Anda dapat melakukan triase dasar sendiri. Mulailah dengan memfilter daftar insiden dengan kriteria pemfilteran yang tersedia, baik status, tingkat keparahan, atau nama produk. Untuk informasi selengkapnya, lihat Pencarian atas insiden.
Lakukan triase insiden tertentu dan segera ambil tindakan awal, langsung dari panel detail di halaman Insiden , tanpa harus memasukkan halaman detail lengkap insiden. Contohnya:
Menyelidiki insiden Microsoft Defender XDR di Microsoft Defender XDR: Ikuti tautan Selidiki di Microsoft Defender XDR untuk melakukan pivot ke insiden paralel di portal Defender. Setiap perubahan yang Anda buat pada insiden di Microsoft Defender XDR disinkronkan ke insiden yang sama di Microsoft Azure Sentinel.
Buka daftar tugas yang ditetapkan: Insiden yang memiliki tugas yang ditetapkan menampilkan hitungan tugas yang telah selesai dan total serta tautan Lihat detail lengkap. Ikuti tautan untuk membuka halaman Tugas insiden untuk melihat daftar tugas untuk insiden ini.
Tetapkan kepemilikan insiden kepada pengguna atau grup dengan memilih dari daftar drop-down Pemilik .
Pengguna dan grup yang baru dipilih muncul di bagian atas daftar drop-down gambar.
Perbarui status insiden (misalnya, dari Baru ke Aktif atau Tertutup) dengan memilih dari daftar drop-down Status . Saat menutup insiden, Anda diharuskan menentukan alasannya. Untuk informasi selengkapnya, lihat Menutup insiden.
Ubah tingkat keparahan insiden dengan memilih dari daftar drop-down Tingkat Keparahan .
Tambahkan tag untuk mengategorikan insiden Anda. Anda mungkin perlu menggulir ke bawah ke bagian bawah panel detail untuk melihat tempat menambahkan tag.
Tambahkan komentar untuk mencatat tindakan, ide, pertanyaan, dan lainnya. Anda mungkin perlu menggulir ke bawah ke bagian bawah panel detail untuk melihat tempat menambahkan komentar.
Jika informasi di panel detail cukup untuk meminta tindakan remediasi atau mitigasi lebih lanjut, pilih tombol Tindakan di bagian bawah untuk melakukan salah satu hal berikut ini:
Tindakan Deskripsi Menyelidiki Gunakan alat investigasi grafis untuk menemukan hubungan antara pemberitahuan, entitas, dan aktivitas, baik dalam insiden ini maupun di seluruh insiden lainnya. Jalankan playbook Jalankan playbook pada insiden ini untuk mengambil tindakan pengayaan, kolaborasi, atau respons tertentu seperti teknisi SOC Anda mungkin telah tersedia. Membuat aturan otomatisasi Buat aturan otomatisasi yang hanya berjalan pada insiden seperti ini (dihasilkan oleh aturan analitik yang sama) di masa mendatang, untuk mengurangi beban kerja di masa mendatang atau memperhitungkan perubahan persyaratan sementara (seperti untuk pengujian penetrasi). Buat tim (Pratinjau) Buat tim di Microsoft Teams untuk berkolaborasi dengan individu atau tim lain di seluruh departemen dalam menangani insiden tersebut. Contohnya:
Jika informasi selengkapnya tentang insiden diperlukan, pilih Tampilkan detail lengkap di panel detail untuk membuka dan melihat detail insiden secara keseluruhan, termasuk pemberitahuan dan entitas dalam insiden, daftar insiden serupa, dan wawasan teratas yang dipilih.
Mencari insiden
Untuk menemukan insiden tertentu dengan cepat, masukkan string pencarian di kotak pencarian di atas kisi insiden dan tekan Enter untuk mengubah daftar insiden yang ditampilkan. Jika insiden Anda tidak disertakan dalam hasil, Anda mungkin ingin mempersempit pencarian anda dengan menggunakan opsi pencarian tingkat lanjut.
Untuk mengubah parameter pencarian, pilih tombol Cari, lalu pilih parameter tempat Anda ingin menjalankan pencarian.
Contohnya:
Secara default, pencarian insiden dijalankan di seluruh ID Insiden, Judul, Tag, Pemilik, dan hanya nilai Nama produk. Di panel pencarian, gulir daftar ke bawah untuk memilih satu atau beberapa parameter lain yang akan dicari, dan pilih Terapkan untuk memperbarui parameter pencarian. Pilih Atur ke default atur ulang parameter yang dipilih ke opsi default.
Catatan
Pencarian di bidang Pemilik mendukung nama dan alamat email.
Menggunakan opsi pencarian tingkat lanjut mengubah perilaku pencarian sebagai berikut:
| Perilaku pencarian | Deskripsi |
|---|---|
| Mencari warna tombol | Warna tombol pencarian berubah, tergantung pada jenis parameter yang saat ini digunakan dalam pencarian.
|
| Refresh otomatis | Menggunakan parameter pencarian tingkat lanjut mencegah Anda memilih untuk merefresh hasil Anda secara otomatis. |
| Parameter entitas | Semua parameter entitas didukung untuk pencarian tingkat lanjut. Saat mencari di parameter entitas apa pun, pencarian berjalan di semua parameter entitas. |
| String pencarian | Mencari string kata mencakup semua kata dalam kueri pencarian. String pencarian peka huruf besar-kecil. |
| Dukungan lintas ruang kerja | Pencarian tingkat lanjut tidak didukung untuk tampilan lintas ruang kerja. |
| Jumlah hasil pencarian yang ditampilkan | Saat Anda menggunakan parameter pencarian tingkat lanjut, hanya 50 hasil yang ditampilkan dalam satu waktu. |
Tip
Jika Anda tidak dapat menemukan insiden yang Anda cari, hapus parameter pencarian untuk memperluas pencarian Anda. Jika pencarian Anda menghasilkan terlalu banyak item, tambahkan lebih banyak filter untuk mempersempit hasil Anda.
Menutup insiden
Setelah Anda menyelesaikan insiden tertentu (misalnya, ketika penyelidikan Anda mencapai kesimpulannya), atur status insiden ke Ditutup. Ketika Anda melakukannya, Anda diminta untuk mengklasifikasikan insiden dengan menentukan alasan Anda menutupnya. Langkah ini bersifat wajib.
Pilih Pilih klasifikasi dan pilih salah satu hal berikut ini dari daftar drop-down:
- True Positive – aktivitas mencurigakan
- Positif Jinak – mencurigakan tetapi diharapkan
- Positif Palsu – logika pemberitahuan yang salah
- Positif Palsu – data yang salah
- Belum ditentukan
Untuk mendapatkan informasi selengkapnya tentang positif palsu dan positif tidak berbahaya, lihat Menangani positif palsu di Microsoft Sentinel.
Setelah memilih klasifikasi yang sesuai, tambahkan beberapa teks deskriptif di bidang Komentar. Ini berguna jika Anda perlu merujuk kembali ke insiden ini. Pilih Terapkan saat Anda selesai, dan insiden ditutup.
Langkah selanjutnya
Untuk informasi selengkapnya, lihat Menyelidiki insiden Microsoft Azure Sentinel secara mendalam di portal Azure