Aturan analitik terjadwal di Microsoft Azure Sentinel
Sejauh ini jenis aturan analitik yang paling umum, Aturan terjadwal didasarkan pada kueri Kusto yang dikonfigurasi untuk berjalan secara berkala dan memeriksa data mentah dari periode "lookback" yang ditentukan. Kueri dapat melakukan operasi statistik yang kompleks pada data targetnya, mengungkapkan garis besar dan outlier dalam grup peristiwa. Jika jumlah hasil yang diambil oleh kueri melewati ambang batas yang dikonfigurasi dalam aturan, aturan akan menghasilkan pemberitahuan.
Artikel ini membantu Anda memahami bagaimana aturan analitik terjadwal dibuat, dan memperkenalkan Anda ke semua opsi konfigurasi dan maknanya. Informasi dalam artikel ini berguna dalam dua skenario:
Membuat aturan analitik dari templat: gunakan logika kueri dan pengaturan penjadwalan dan lookback seperti yang didefinisikan dalam templat, atau sesuaikan untuk membuat aturan baru.
Buat aturan analitik dari awal: buat kueri dan aturan Anda sendiri dari bawah ke atas. Untuk melakukan ini secara efektif, Anda harus memiliki landasan menyeluruh dalam ilmu data dan bahasa kueri Kusto.
Penting
Microsoft Sentinel umumnya tersedia dalam platform operasi keamanan terpadu Microsoft di portal Pertahanan Microsoft. Untuk pratinjau, Microsoft Sentinel tersedia di portal Defender tanpa lisensi Microsoft Defender XDR atau E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Templat aturan analitik
Kueri dalam templat aturan terjadwal ditulis oleh pakar keamanan dan ilmu data, baik dari Microsoft atau dari vendor solusi yang menyediakan templat.
Gunakan templat aturan analitik dengan memilih nama templat dari daftar templat dan membuat aturan berdasarkan templat tersebut.
Setiap templat memiliki daftar sumber data yang diperlukan. Saat Anda membuka templat, sumber data secara otomatis diperiksa ketersediaannya. Ketersediaan berarti bahwa sumber data terhubung, dan data tersebut diserap secara teratur melaluinya. Jika salah satu sumber data yang diperlukan tidak tersedia, Anda tidak akan diizinkan untuk membuat aturan, dan Anda mungkin juga melihat pesan kesalahan untuk efek tersebut.
Saat Anda membuat aturan dari templat, wizard pembuatan aturan terbuka berdasarkan templat yang dipilih. Semua detail diisi secara otomatis, dan Anda dapat menyesuaikan logika dan pengaturan aturan lainnya agar lebih sesuai dengan kebutuhan spesifik Anda. Anda dapat mengulangi proses ini untuk membuat lebih banyak aturan berdasarkan templat. Saat Anda mencapai akhir wizard pembuatan aturan, kustomisasi Anda divalidasi, dan aturan dibuat. Aturan baru muncul di tab Aturan aktif di halaman Analitik. Demikian juga, pada tab Templat aturan , templat tempat Anda membuat aturan sekarang ditampilkan dengan In use tag.
Templat aturan analitik terus dipertahankan oleh penulisnya, baik untuk memperbaiki bug atau untuk memperbaiki kueri. Saat templat menerima pembaruan, aturan apa pun berdasarkan templat tersebut Update ditampilkan dengan tag, dan Anda memiliki kesempatan untuk mengubah aturan tersebut untuk menyertakan perubahan yang dibuat pada templat. Anda juga dapat mengembalikan perubahan apa pun yang Anda buat dalam aturan kembali ke versi berbasis templat aslinya. Untuk informasi selengkapnya, lihat Mengelola versi templat untuk aturan analitik terjadwal Anda di Microsoft Azure Sentinel.
Setelah Anda membiasakan diri dengan opsi konfigurasi di artikel ini, lihat Membuat aturan analitik terjadwal dari templat.
Sisa artikel ini menjelaskan semua kemungkinan untuk menyesuaikan konfigurasi aturan Anda.
Konfigurasi aturan analitik
Bagian ini menjelaskan pertimbangan utama yang perlu Anda perhitungkan sebelum mulai mengonfigurasi aturan Anda.
Nama dan detail aturan analitik
Halaman pertama wizard aturan analitik berisi informasi dasar aturan.
Nama: Nama aturan seperti yang muncul dalam daftar aturan dan di filter berbasis aturan apa pun. Nama harus unik untuk ruang kerja Anda.
Deskripsi: Deskripsi teks bebas tentang tujuan aturan.
ID: GUID aturan sebagai sumber daya Azure, digunakan dalam permintaan dan respons API, antara lain. GUID ini ditetapkan hanya saat aturan dibuat, sehingga hanya ditampilkan saat Anda mengedit aturan yang sudah ada. Karena merupakan bidang baca-saja, bidang ditampilkan berwarna abu-abu dan tidak dapat diubah. Ini belum ada saat membuat aturan baru, baik dari templat atau dari awal.
Tingkat keparahan: Peringkat untuk memberikan pemberitahuan yang dihasilkan oleh aturan ini. Tingkat keparahan suatu aktivitas adalah perhitungan potensi dampak negatif dari terjadinya aktivitas.
| Tingkat keparahan | Deskripsi |
|---|---|
| Informasi | Tidak ada dampak pada sistem Anda, tetapi informasi tersebut mungkin menunjukkan langkah-langkah di masa depan yang direncanakan oleh pelaku ancaman. |
| Rendah | Dampak langsung akan minimal. Aktor ancaman kemungkinan perlu melakukan beberapa langkah sebelum mencapai dampak pada lingkungan. |
| Medium | Pelaku ancaman dapat berdampak pada lingkungan dengan aktivitas ini, tetapi akan dibatasi dalam cakupan atau memerlukan aktivitas tambahan. |
| Tinggi | Aktivitas yang diidentifikasi memberi pelaku ancaman akses yang luas untuk melakukan tindakan pada lingkungan atau dipicu oleh dampak pada lingkungan. |
Default tingkat keparahan bukan jaminan tingkat dampak lingkungan atau saat ini. Kustomisasi detail pemberitahuan untuk menyesuaikan tingkat keparahan, taktik, dan properti lain dari instans pemberitahuan tertentu dengan nilai bidang yang relevan dari output kueri.
Definisi tingkat keparahan untuk templat aturan analitik Microsoft Sentinel hanya relevan untuk pemberitahuan yang dibuat oleh aturan analitik. Untuk pemberitahuan yang diserap dari layanan lain, tingkat keparahan ditentukan oleh layanan keamanan sumber.
MITRE ATT&CK: Spesifikasi taktik dan teknik serangan yang diwakili oleh aktivitas yang ditangkap oleh aturan ini. Ini didasarkan pada taktik dan teknik kerangka kerja MITRE ATT&CK®.
Taktik dan teknik MITRE ATT&CK yang ditentukan di sini dalam aturan berlaku untuk pemberitahuan apa pun yang dihasilkan oleh aturan. Mereka juga berlaku untuk setiap insiden yang dibuat dari pemberitahuan ini.
Untuk informasi selengkapnya tentang memaksimalkan cakupan lanskap ancaman MITRE ATT&CK Anda, lihat Memahami cakupan keamanan oleh kerangka kerja MITRE ATT&CK®.
Status: Saat Anda membuat aturan, Statusnya Diaktifkan secara default, yang berarti dijalankan segera setelah Anda selesai membuatnya. Jika Anda tidak ingin menjalankannya segera, Anda memiliki dua opsi:
- Pilih Dinonaktifkan, dan aturan dibuat tanpa berjalan. Saat Anda ingin aturan dijalankan, temukan di tab Aturan aktif Anda, dan aktifkan dari sana.
- Jadwalkan aturan untuk pertama kali dijalankan pada tanggal dan waktu tertentu. Metode ini saat ini dalam PRATINJAU. Lihat Penjadwalan kueri nanti di artikel ini.
Kueri aturan
Ini adalah esensi aturan: Anda memutuskan informasi apa yang ada dalam pemberitahuan yang dibuat oleh aturan ini, dan bagaimana informasi diatur. Konfigurasi ini memiliki efek tindak lanjut pada seperti apa insiden yang dihasilkan, dan seberapa mudah atau sulitnya mereka untuk menyelidiki, memulihkan, dan menyelesaikannya. Penting untuk membuat pemberitahuan Anda kaya informasi mungkin, dan untuk membuat informasi tersebut mudah diakses.
Menampilkan atau memasukkan kueri Kusto yang menganalisis data log mentah. Jika Anda membuat aturan dari awal, ada baiknya merencanakan dan merancang kueri Anda sebelum membuka wizard ini. Anda dapat membuat dan menguji kueri di halaman Log .
Semua yang Anda ketikkan ke dalam jendela kueri aturan langsung divalidasi, sehingga Anda segera mengetahuinya jika Anda membuat kesalahan.
Praktik terbaik untuk kueri aturan analitik
Sebaiknya gunakan pengurai Model Informasi Keamanan Tingkat Lanjut (ASIM) sebagai sumber kueri Anda, alih-alih menggunakan tabel asli. Ini akan memastikan bahwa kueri mendukung sumber data atau keluarga sumber data yang relevan saat ini atau di masa mendatang, daripada mengandalkan satu sumber data.
Panjang kueri harus antara 1 dan 10.000 karakter dan tidak boleh berisi "
search *" atau "union *". Anda dapat menggunakan fungsi yang ditentukan pengguna untuk mengatasi batasan panjang kueri, karena satu fungsi dapat menggantikan puluhan baris kode.Menggunakan fungsi ADX untuk membuat kueri Azure Data Explorer di dalam jendela kueri Analitik Log tidak didukung.
Saat menggunakan fungsi
bag_unpackdalam kueri, jika Anda memproyeksikan kolom sebagai bidang menggunakan "project field1" dan kolom tidak ada, kueri akan gagal. Untuk mencegah hal ini terjadi, Anda harus memproyeksikan kolom sebagai berikut:project field1 = column_ifexists("field1","")
Untuk informasi selengkapnya, lihat:
- Bahasa Kueri Kusto di Microsoft Sentinel
- Panduan referensi cepat KQL
- Praktik terbaik untuk kueri Bahasa Kueri Kusto
Penyempurnaan pemberitahuan
Jika Anda ingin pemberitahuan Anda memunculkan temuannya sehingga dapat segera terlihat dalam insiden, dan dilacak dan diselidiki dengan tepat, gunakan konfigurasi peningkatan pemberitahuan untuk menampilkan semua informasi penting dalam pemberitahuan.
Peningkatan pemberitahuan ini memiliki manfaat tambahan untuk menyajikan temuan dengan cara yang mudah dilihat dan dapat diakses.
Ada tiga jenis penyempurnaan pemberitahuan yang dapat Anda konfigurasi:
- Pemetaan entitas
- Detail kustom
- Detail pemberitahuan (juga dikenal sebagai konten dinamis)
Pemetaan entitas
Entitas adalah pemain di kedua sisi cerita serangan apa pun. Mengidentifikasi semua entitas dalam pemberitahuan sangat penting untuk mendeteksi dan menyelidiki ancaman. Untuk memastikan bahwa Microsoft Sentinel mengidentifikasi entitas dalam data mentah Anda, Anda harus memetakan jenis entitas yang dikenali oleh Microsoft Azure Sentinel ke bidang dalam hasil kueri Anda. Pemetaan ini mengintegrasikan entitas yang diidentifikasi ke dalam bidang Entitas dalam skema pemberitahuan Anda.
Untuk mempelajari selengkapnya tentang pemetaan entitas, dan untuk mendapatkan instruksi lengkap, lihat Memetakan bidang data ke entitas di Microsoft Azure Sentinel.
Detail kustom
Secara default, hanya entitas pemberitahuan dan metadata yang terlihat dalam insiden tanpa menelusuri paling detail peristiwa mentah dalam hasil kueri. Untuk memberikan bidang lain dari hasil kueri Anda visibilitas langsung dalam pemberitahuan dan insiden Anda, tentukan sebagai detail kustom. Microsoft Sentinel mengintegrasikan detail kustom ini ke dalam bidang ExtendedProperties di pemberitahuan Anda, menyebabkannya ditampilkan di depan di pemberitahuan Anda, dan dalam insiden apa pun yang dibuat dari pemberitahuan tersebut.
Untuk mempelajari selengkapnya tentang memunculkan detail kustom, dan untuk mendapatkan instruksi lengkap, lihat Menampilkan detail peristiwa kustom dalam pemberitahuan di Microsoft Azure Sentinel.
Detail peringatan
Pengaturan ini memungkinkan Anda menyesuaikan properti pemberitahuan standar lain sesuai dengan konten berbagai bidang di setiap pemberitahuan individual. Penyesuaian ini diintegrasikan ke dalam bidang ExtendedProperties di pemberitahuan Anda. Misalnya, Anda dapat menyesuaikan nama atau deskripsi pemberitahuan untuk menyertakan nama pengguna atau alamat IP yang ditampilkan dalam pemberitahuan.
Untuk mempelajari selengkapnya tentang menyesuaikan detail pemberitahuan, dan untuk mendapatkan instruksi lengkap, lihat Menyesuaikan detail pemberitahuan di Microsoft Azure Sentinel.
Catatan
Di portal Pertahanan Microsoft, mesin korelasi Defender XDR semata-mata bertanggung jawab atas insiden penamaan, sehingga nama pemberitahuan apa pun yang Anda sesuaikan dapat ditimpa saat insiden dibuat dari pemberitahuan ini.
Penjadwalan kueri
Parameter berikut menentukan seberapa sering aturan terjadwal Anda akan berjalan, dan periode waktu apa yang akan diperiksa setiap kali dijalankan.
| Pengaturan | Perilaku |
|---|---|
| Jalankan kueri setiap | Mengontrol interval kueri: seberapa sering kueri dijalankan. |
| Data pencarian dari yang terakhir | Menentukan periode lookback: periode waktu yang dicakup oleh kueri. |
Rentang yang diizinkan untuk kedua parameter ini adalah dari 5 menit hingga 14 hari.
Interval kueri harus lebih pendek dari atau sama dengan periode lookback. Jika lebih pendek, periode kueri akan tumpang tindih dan ini dapat menyebabkan beberapa duplikasi hasil. Validasi aturan tidak akan memungkinkan Anda untuk mengatur interval lebih lama dari periode lookback, karena itu akan mengakibatkan kesenjangan dalam cakupan Anda.
Pengaturan Mulai berjalan, sekarang dalam PRATINJAU, memungkinkan Anda membuat aturan dengan status Diaktifkan, tetapi untuk menunda eksekusi pertamanya hingga tanggal dan waktu yang telah ditentukan. Pengaturan ini berguna jika Anda ingin mengatur waktu eksekusi aturan Anda sesuai dengan kapan data diharapkan diserap dari sumbernya, atau ke saat analis SOC Anda memulai hari kerja mereka.
| Pengaturan | Perilaku |
|---|---|
| Otomatis | Aturan akan berjalan untuk pertama kalinya segera setelah dibuat, dan setelah itu pada interval yang diatur dalam Eksekusi kueri setiap pengaturan. |
| Pada waktu tertentu (Pratinjau) | Atur tanggal dan waktu aturan untuk pertama kali dijalankan, setelah itu aturan akan berjalan pada interval yang diatur dalam Eksekusi kueri setiap pengaturan. |
Waktu mulai berjalan harus antara 10 menit dan 30 hari setelah waktu pembuatan aturan (atau pengaktifan).
Baris teks di bawah pengaturan Mulai berjalan (dengan ikon informasi di sebelah kirinya) meringkas penjadwalan kueri saat ini dan pengaturan lookback.
Catatan
Penundaan penyerapan
Untuk memperhitungkan latensi yang mungkin terjadi antara pembuatan peristiwa di sumber dan penyerapannya ke Microsoft Azure Sentinel, dan untuk memastikan cakupan lengkap tanpa duplikasi data, Microsoft Azure Sentinel menjalankan aturan analitik terjadwal pada penundaan lima menit dari waktu yang dijadwalkan.
Untuk informasi selengkapnya, lihat Menangani keterlambatan penyerapan dalam aturan analitik terjadwal.
Ambang batas pemberitahuan
Banyak jenis peristiwa keamanan normal atau bahkan diharapkan dalam jumlah kecil, tetapi merupakan tanda ancaman dalam jumlah yang lebih besar. Skala yang berbeda dari jumlah besar dapat berarti berbagai jenis ancaman. Misalnya, dua atau tiga upaya masuk yang gagal dalam waktu satu menit adalah tanda pengguna tidak mengingat kata sandi, tetapi lima puluh dalam satu menit bisa menjadi tanda serangan manusia, dan seribu mungkin merupakan serangan otomatis.
Bergantung pada aktivitas seperti apa yang coba dideteksi aturan Anda, Anda dapat mengatur jumlah peristiwa minimum (hasil kueri) yang diperlukan untuk memicu pemberitahuan. Ambang batas berlaku secara terpisah untuk setiap kali aturan berjalan, tidak secara kolektif.
Ambang batas juga dapat diatur ke jumlah hasil maksimum, atau angka yang tepat.
Pengelompokan peristiwa
Ada dua cara untuk menangani pengelompokan peristiwa ke dalam pemberitahuan:
Kelompokkan semua peristiwa ke dalam satu pemberitahuan: Ini adalah default. Aturan ini menghasilkan satu pemberitahuan setiap kali dijalankan, selama kueri mengembalikan lebih banyak hasil daripada ambang batas pemberitahuan yang ditentukan yang dijelaskan di bagian sebelumnya. Pemberitahuan tunggal ini meringkas semua peristiwa yang dikembalikan dalam hasil kueri.
Memicu pemberitahuan untuk setiap peristiwa: Aturan menghasilkan pemberitahuan unik untuk setiap peristiwa (hasil) yang dikembalikan oleh kueri. Mode ini berguna jika Anda ingin peristiwa ditampilkan satu per satu, atau jika Anda ingin mengelompokkannya berdasarkan parameter tertentu—menurut pengguna, nama host, atau sesuatu yang lain. Anda bisa menentukan parameter ini dalam kueri. |
Aturan analitik dapat menghasilkan hingga 150 pemberitahuan. Jika Pengelompokan peristiwa diatur ke Memicu pemberitahuan untuk setiap peristiwa, dan kueri aturan mengembalikan lebih dari 150 peristiwa, 149 peristiwa pertama masing-masing akan menghasilkan pemberitahuan unik (untuk 149 pemberitahuan), dan pemberitahuan ke-150 akan meringkas seluruh rangkaian peristiwa yang dikembalikan. Dengan kata lain, pemberitahuan ke-150 adalah apa yang akan dihasilkan jika Pengelompokan peristiwa telah diatur ke Kelompokkan semua peristiwa ke dalam satu pemberitahuan.
Pemicu pemberitahuan untuk setiap pengaturan peristiwa dapat menyebabkan masalah di mana hasil kueri tampaknya hilang atau berbeda dari yang diharapkan. Untuk informasi selengkapnya tentang skenario ini, lihat Memecahkan masalah aturan analitik di Microsoft Azure Sentinel | Masalah: Tidak ada peristiwa yang muncul di hasil kueri.
Supresi
Jika Anda ingin aturan ini berhenti berfungsi selama jangka waktu tertentu setelah menghasilkan pemberitahuan, aktifkan pengaturan Hentikan kueri yang sedang berjalan setelah pemberitahuan dibuatAktif. Kemudian, Anda harus mengatur Berhenti menjalankan kueri hingga jumlah waktu kueri harus berhenti berjalan, hingga 24 jam.
Simulasi hasil
Wizard aturan analitik memungkinkan Anda menguji kemanjurannya dengan menjalankannya pada himpunan data saat ini. Saat Anda menjalankan pengujian, jendela Simulasi hasil menunjukkan grafik hasil yang akan dihasilkan kueri selama 50 kali terakhir yang akan dijalankan, sesuai dengan jadwal yang saat ini ditentukan. Jika Anda mengubah kueri, Anda bisa menjalankan pengujian lagi untuk memperbarui grafik. Grafik menunjukkan jumlah hasil selama periode waktu yang ditentukan, yang ditentukan oleh jadwal kueri yang Anda tentukan.
Berikut adalah tampilan simulasi hasil untuk kueri pada cuplikan layar di atas. Sisi kiri adalah tampilan default, dan sisi kanan adalah apa yang Anda lihat saat mengarahkan kursor ke titik waktu pada grafik.
Jika Anda melihat bahwa kueri Anda akan memicu terlalu banyak atau terlalu sering pemberitahuan, Anda dapat bereksperimen dengan pengaturan penjadwalan dan ambang batas dan menjalankan simulasi lagi.
Pengaturan insiden
Pilih apakah Microsoft Sentinel mengubah pemberitahuan menjadi insiden yang dapat ditindaklanjuti.
Pembuatan insiden diaktifkan secara default. Microsoft Sentinel membuat satu insiden terpisah dari setiap pemberitahuan yang dihasilkan oleh aturan.
Jika Anda tidak ingin aturan ini menghasilkan pembuatan insiden apa pun (misalnya, jika aturan ini hanya untuk mengumpulkan informasi untuk analisis berikutnya), atur ini ke Nonaktif.
Penting
Jika Anda melakukan onboarding Microsoft Sentinel ke portal Pertahanan, Pertahanan Microsoft bertanggung jawab untuk membuat insiden. Namun demikian, jika Anda ingin Defender XDR membuat insiden untuk pemberitahuan ini, Anda harus membiarkan pengaturan ini Diaktifkan. Defender XDR mengambil instruksi yang ditentukan di sini.
Ini tidak akan dikacaukan dengan jenis aturan analitik keamanan Microsoft yang membuat insiden untuk pemberitahuan yang dihasilkan di layanan Pertahanan Microsoft. Aturan tersebut secara otomatis dinonaktifkan saat Anda melakukan onboarding Microsoft Sentinel ke portal Pertahanan.
Jika Anda ingin satu insiden dibuat dari sekelompok pemberitahuan, bukan satu untuk setiap pemberitahuan, lihat bagian berikutnya.
Pengelompokan pemberitahuan
Pilih apakah pemberitahuan dikelompokkan bersama dalam insiden. Secara default, Microsoft Sentinel membuat insiden untuk setiap pemberitahuan yang dihasilkan. Anda memiliki opsi untuk mengelompokkan beberapa pemberitahuan bersama-sama ke dalam satu insiden sebagai gantinya.
Insiden dibuat hanya setelah semua pemberitahuan dibuat. Semua pemberitahuan ditambahkan ke insiden segera setelah pembuatannya.
Hingga 150 peringatan bisa dikelompokkan ke dalam satu insiden. Jika lebih dari 150 pemberitahuan dihasilkan oleh aturan yang mengelompokkannya ke dalam satu insiden, insiden baru dihasilkan dengan detail insiden yang sama dengan aslinya, dan pemberitahuan berlebih dikelompokkan ke dalam insiden baru.
Untuk mengelompokkan pemberitahuan bersama-sama, atur pengaturan pengelompokan pemberitahuan ke Diaktifkan.
Ada beberapa opsi yang perlu dipertimbangkan saat mengelompokkan pemberitahuan:
Jangka waktu: Secara default, pemberitahuan yang dibuat hingga 5 jam setelah pemberitahuan pertama dalam insiden ditambahkan ke insiden yang sama. Setelah 5 jam, insiden baru dibuat. Anda dapat mengubah periode waktu ini ke mana saja antara 5 menit dan 7 hari.
Kriteria pengelompokan: Pilih cara menentukan pemberitahuan mana yang disertakan dalam grup. Tabel berikut ini memperlihatkan kemungkinan pilihan:
Opsi Deskripsi Pemberitahuan grup menjadi satu insiden jika semua entitas cocok Pemberitahuan dikelompokkan bersama jika berbagi nilai yang identik untuk setiap entitas yang dipetakan yang ditentukan sebelumnya. Ini adalah pengaturan yang direkomendasikan. Mengelompokkan semua pemberitahuan yang dipicu oleh aturan ini ke dalam satu insiden Semua pemberitahuan yang dibuat oleh aturan ini dikelompokkan bersama-sama meskipun tidak memiliki nilai yang identik. Mengelompokkan pemberitahuan ke dalam satu insiden jika entitas dan detail yang dipilih cocok Pemberitahuan dikelompokkan bersama jika mereka berbagi nilai yang identik untuk semua entitas yang dipetakan, detail pemberitahuan, dan detail kustom yang Anda pilih untuk pengaturan ini. Pilih entitas dan detail dari daftar drop-down yang muncul saat Anda memilih opsi ini.
Anda mungkin ingin menggunakan pengaturan ini jika, misalnya, ingin membuat insiden terpisah berdasarkan alamat IP sumber atau target, atau jika Anda ingin mengelompokkan pemberitahuan yang cocok dengan entitas dan tingkat keparahan tertentu.
Catatan: Saat memilih opsi ini, Anda harus memiliki setidaknya satu entitas atau detail yang dipilih untuk aturan. Jika tidak, validasi aturan gagal dan aturan tidak dibuat.Membuka kembali insiden: Jika insiden telah diselesaikan dan ditutup, dan kemudian pada pemberitahuan lain dihasilkan yang seharusnya termasuk dalam insiden tersebut, atur pengaturan ini ke Diaktifkan jika Anda ingin insiden tertutup dibuka kembali, dan biarkan sebagai Dinonaktifkan jika Anda ingin pemberitahuan baru membuat insiden baru.
Opsi untuk membuka kembali insiden tertutup tidak tersedia jika Anda melakukan onboarding Microsoft Sentinel ke portal Pertahanan.
Respons otomatis
Microsoft Azure Sentinel memungkinkan Anda mengatur respons otomatis untuk terjadi saat:
- Pemberitahuan dihasilkan oleh aturan analitik ini.
- Insiden dibuat dari pemberitahuan yang dihasilkan oleh aturan analitik ini.
- Insiden diperbarui dengan pemberitahuan yang dihasilkan oleh aturan analitik ini.
Untuk mempelajari semua tentang berbagai jenis respons yang dapat dibuat dan diotomatisasi, lihat Mengotomatiskan respons ancaman di Microsoft Azure Sentinel dengan aturan otomatisasi.
Di bawah judul aturan Automation, wizard menampilkan daftar aturan otomatisasi yang sudah ditentukan pada seluruh ruang kerja, yang kondisinya berlaku untuk aturan analitik ini. Anda dapat mengedit salah satu aturan yang ada ini, atau Anda dapat membuat aturan otomatisasi baru yang hanya berlaku untuk aturan analitik ini.
Gunakan aturan otomatisasi untuk melakukan triase dasar, penugasan, alur kerja, dan penutupan insiden.
Otomatiskan tugas yang lebih kompleks dan panggil respons dari sistem jarak jauh untuk memulihkan ancaman dengan memanggil playbook dari aturan otomatisasi ini. Anda dapat memanggil playbook untuk insiden serta untuk pemberitahuan individual.
Untuk informasi dan instruksi selengkapnya tentang membuat playbook dan aturan otomatisasi, lihat Mengotomatisasi respons ancaman.
Untuk informasi selengkapnya tentang kapan menggunakan pemicu yang dibuat insiden, pemicu yang diperbarui insiden, atau pemicu yang dibuat pemberitahuan, lihat Menggunakan pemicu dan tindakan di playbook Microsoft Azure Sentinel.
Di bawah judul Otomatisasi pemberitahuan (klasik), Anda mungkin melihat daftar playbook yang dikonfigurasi untuk berjalan secara otomatis menggunakan metode lama karena tidak digunakan lagi pada Maret 2026. Anda tidak dapat menambahkan apa pun ke daftar ini. Setiap playbook yang tercantum di sini harus memiliki aturan otomatisasi yang dibuat, berdasarkan pemicu yang dibuat pemberitahuan, untuk memanggil playbook. Setelah Anda melakukannya, pilih elipsis di akhir baris playbook yang tercantum di sini, dan pilih Hapus. Lihat Memigrasikan playbook pemicu pemberitahuan Microsoft Azure Sentinel Anda ke aturan otomatisasi untuk instruksi lengkap.
Langkah berikutnya
Saat menggunakan aturan analitik Microsoft Azure Sentinel untuk mendeteksi ancaman di seluruh lingkungan Anda, pastikan Anda mengaktifkan semua aturan yang terkait dengan sumber data yang terhubung untuk memastikan cakupan keamanan penuh untuk lingkungan Anda.
Untuk mengotomatiskan pengaktifan aturan, dorong aturan ke Microsoft Azure Sentinel melalui API dan PowerShell, meskipun melakukannya memerlukan upaya tambahan. Saat menggunakan API atau PowerShell, Anda harus terlebih dahulu mengekspor aturan ke JSON sebelum mengaktifkan aturan. API atau PowerShell dapat berguna saat mengaktifkan aturan di beberapa instans Microsoft Azure Sentinel dengan pengaturan yang identik di setiap instans.
Untuk informasi selengkapnya, lihat:
- Mengekspor dan mengimpor aturan analitik ke dan dari templat ARM
- Pemecahan masalah aturan analitik di Microsoft Azure Sentinel
- Menavigasi dan menyelidiki insiden di Microsoft Azure Sentinel
- Entitas di Microsoft Azure Sentinel
- Tutorial: Menggunakan playbook dengan aturan otomatisasi di Microsoft Azure Sentinel
Selain itu, pelajari contoh penggunaan aturan analitik kustom saat memantau Zoom dengan konektor kustom.