Menanggapi insiden menggunakan Microsoft Sentinel di portal Microsoft Azure dengan Microsoft Defender XDR
Artikel ini menjelaskan cara mengatasi insiden keamanan menggunakan Microsoft Sentinel di portal Microsoft Azure dan Microsoft Defender XDR. Pelajari panduan langkah demi langkah tentang triase, investigasi, dan resolusi untuk memastikan respons insiden yang cepat.
- Pembaruan tentang siklus hidup (status, pemilik, klasifikasi) dibagikan di antara produk.
- Bukti yang dikumpulkan selama penyelidikan ditampilkan dalam insiden Microsoft Sentinel.
Untuk informasi selengkapnya tentang integrasi Microsoft Defender dengan Microsoft Sentinel, lihat integrasi Microsoft Defender XDR dengan Microsoft Sentinel. Panduan interaktif ini memandu Anda mendeteksi dan merespons serangan modern dengan informasi keamanan terpadu dan manajemen peristiwa (SIEM) Microsoft dan kemampuan deteksi dan respons (XDR) yang diperluas.
Penanganan insiden
Mulai triase di portal Microsoft Azure dengan Microsoft Azure Sentinel untuk meninjau detail insiden dan mengambil tindakan segera. Pada halaman Insiden, temukan insiden yang dicurigai dan perbarui detail seperti nama pemilik, status, dan tingkat keparahan atau tambahkan komentar. Telusuri paling detail informasi tambahan untuk melanjutkan penyelidikan Anda.
Untuk informasi selengkapnya, lihat Menavigasi, melakukan triase, dan mengelola insiden Microsoft Sentinel di portal Azure
Investigasi insiden
Gunakan portal Microsoft Azure sebagai alat respons insiden utama Anda, lalu beralihlah ke portal Defender untuk penyelidikan yang lebih rinci.
Misalnya:
| Portal | Tugas |
|---|---|
| Di portal Microsoft Azure | Gunakan Microsoft Sentinel di portal Microsoft Azure untuk menghubungkan insiden dengan proses, kebijakan, dan prosedur keamanan Anda (3P). Pada halaman detail insiden, pilih Selidiki di Microsoft Defender XDR untuk membuka insiden yang sama di portal Defender. |
| Pada portal Defender | Selidiki detail seperti cakupan insiden, garis waktu aset, dan tindakan pemulihan otomatis yang tertunda. Anda mungkin juga perlu memulihkan entitas secara manual, melakukan respons langsung, dan menambahkan langkah-langkah pencegahan. Pada halaman detail insiden, tab cerita Serangan ,: - Lihat kisah serangan insiden untuk memahami cakupan, tingkat keparahan, sumber deteksi, dan entitas apa yang terpengaruh. - Analisis peringatan insiden untuk memahami asal, cakupan, dan tingkat keparahannya dengan memahami cerita peringatan dalam insiden tersebut. - Sesuai kebutuhan, kumpulkan informasi tentang perangkat, pengguna, dan kotak surat yang terkena dampak dengan grafik. Klik entitas apa pun untuk membuka jendela pop-up dengan semua detail. - Lihat bagaimana Microsoft Defender XDR telah secara otomatis menyelesaikan beberapa peringatan dengan tab Investigasi. - Jika diperlukan, gunakan informasi dalam himpunan data untuk insiden dari tab Bukti dan Respons. |
| Di portal Microsoft Azure | Kembali ke portal Microsoft Azure untuk melakukan tindakan insiden tambahan, seperti: - Melakukan tindakan investigasi dan remediasi otomatis 3P - Membuat buku panduan orkestrasi, otomatisasi, dan respons keamanan (SOAR) kustom - Merekam bukti untuk manajemen insiden, seperti komentar untuk merekam tindakan Anda dan hasil analisis Anda. - Menambahkan langkah-langkah kustom. |
Untuk informasi selengkapnya, lihat:
- Menyelidiki insiden Microsoft Azure Sentinel secara mendalam di portal Microsoft Azure
- Mengelola kejadian di Microsoft Defender
Otomatisasi dengan Microsoft Azure Sentinel
Gunakan fungsionalitas playbook dan aturan otomatisasi Microsoft Sentinel.
playbook adalah kumpulan tindakan investigasi dan remediasi yang Anda jalankan dari portal Microsoft Sentinel secara rutin. Playbook membantu mengotomatiskan dan mengatur respons ancaman Anda. Mereka dijalankan secara manual pada kejadian, entitas, atau notifikasi, atau secara otomatis saat dipicu oleh aturan otomatisasi. Untuk informasi selengkapnya, lihat Mengotomatiskan respons ancaman dengan playbook.
Aturan otomatisasi memungkinkan Anda mengelola otomatisasi secara terpusat di Microsoft Sentinel dengan menentukan dan mengoordinasikan sekumpulan kecil aturan yang berlaku di berbagai skenario. Untuk informasi selengkapnya, lihat Mengotomatiskan respons ancaman di Microsoft Azure Sentinel dengan aturan otomatisasi.
Resolusi insiden
Ketika investigasi Anda selesai dan Anda telah memperbaiki insiden di portal-portal, selesaikan. Untuk informasi selengkapnya, lihat Menutup insiden di portal Microsoft Azure.
Laporkan insiden ke prospek respons insiden Anda untuk potensi tindakan tindak lanjut. Misalnya:
- Beri tahu analis keamanan Tingkat 1 Anda untuk mendeteksi serangan lebih awal dengan lebih baik.
- Teliti serangan di Microsoft Defender XDR Threat Analytics dan komunitas keamanan untuk tren serangan keamanan.
- Rekam alur kerja yang digunakan untuk mengatasi insiden dan memperbarui alur kerja, proses, kebijakan, dan playbook standar Anda.
- Tentukan apakah perubahan dalam konfigurasi keamanan Anda diperlukan dan terapkan.
- Buat panduan orkestrasi untuk mengotomatiskan respons ancaman Anda terhadap risiko serupa. Untuk informasi selengkapnya, lihat Mengotomatiskan respons ancaman dengan playbook di Microsoft Sentinel.
Konten terkait
Untuk informasi selengkapnya, lihat:
- integrasi Microsoft Defender XDR dengan Microsoft Sentinel
- Panduan interaktif kemampuan SIEM dan XDR Terpadu
- Analitik Ancaman Pertahanan Microsoft XDR