Bab 6

Hubungkan log ke Microsoft Sentinel

 Daftar Isi

1. Hubungkan data ke Microsoft Sentinel

menggunakan konektor data
2. Hubungkan layanan Microsoft ke Microsoft
Sentinel
3. Hubungkan Microsoft 365 Defender ke
Microsoft Sentinel
Insert picture/chart
4. Hubungkan host Windows ke Microsoft
Sentinel
5. Hubungkan log Format Common Event ke
Microsoft Sentinel
6. Hubungkan sumber data syslog ke
Microsoft Sentinel
7. Hubungkan indikator ancaman ke
Microsoft Sentinel
 Bab 6
Sub-bab 1
Hubungkan data ke
Microsoft Sentinel
menggunakan
konektor data
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Jelaskan penggunaan konektor data di Microsoft Sentinel

2. Jelaskan penyedia konektor data Microsoft Sentinel
3. Jelaskan perbedaan Format Peristiwa Umum dan konektor
Syslog di Microsoft Sentinel
Menarik data log dengan konektor Data
Untuk mengumpulkan data log, Anda perlu menyambungkan sumber data
Anda dengan Konektor Microsoft Sentinel. Halaman Konektor Data
memperlihatkan konektor yang tersambung
Menjelaskan Provider Data Connector
Microsoft 365 Defender and related Defender services

Microsoft 365 and Azure Services

Vendor connectors

Custom connectors (lihat slide berikutnya)

Common Event Format (CEF) and Syslog connector

Menjelaskan Provider Data Connector
Codeless Connector Platform (CCP)

Log Analytics Agent

Logstash plugin

Logic Apps

PowerShell

The Log Analytics API

Azure Functions
 Bab 6
Sub-bab 2
Hubungkan layanan
Microsoft ke Microsoft
Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Hubungkan konektor layanan Microsoft

2. Menjelaskan bagaimana connectors auto-create incidents
pada Microsoft Sentinel
Rencana untuk Microsoft services connectors

Create incidents
Prerequisites Configuration ( SecurityAlert
table only)
Hubungkan konektor Microsoft Office 365

Konektor log aktivitas

Office 365 memberikan
wawasan tentang
aktivitas pengguna
yang sedang
berlangsung. Anda
akan mendapatkan
detail operasi seperti
pengunduhan file,
permintaan akses
yang dikirim,
perubahan pada
acara grup, set-kotak
surat, dan detail
pengguna yang
melakukan tindakan.
Hubungkan konektor Azure Active Directory

Dapatkan wawasan
tentang Azure Active
Directory dengan
menyambungkan log
Audit dan Masuk ke
Microsoft Sentinel
untuk mengumpulkan
wawasan seputar
skenario Azure Active
Directory.
Hubungkan konektor Perlindungan Identitas
Direktori Aktif Azure

Azure Active Directory

Identity Protection
memberikan tampilan
gabungan tentang
pengguna yang
berisiko, peristiwa
risiko, dan kerentanan,
dengan kemampuan
untuk segera
memulihkan risiko dan
menetapkan kebijakan
untuk secara otomatis
memulihkan peristiwa
di masa depan.
Konektor terkait Azure lainnya

Azure Activity

Azure DDos Protection

Azure Firewall

Azure Key Vault

Azure SQL Databases

Azure Web Application Firewall

© Copyright Microsoft Corporation. All rights reserved.

 Bab 6
Sub-bab 3
Hubungkan
Microsoft 365
Defender ke
Microsoft Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Mengaktifkan Microsoft 365 Defender connector pada

Microsoft Sentinel
2. Mengaktifkan Microsoft Defender for Cloud connector pada
Microsoft Sentinel
Rencana untuk Microsoft 365 Defender
connectors

Microsoft 365 Defender (Preview)

Microsoft Defender for Office 365 (Preview)

Microsoft Defender Legacy connectors

Microsoft Defender for Cloud

Microsoft Defender for IoT

© Copyright Microsoft Corporation. All rights reserved.

Hubungkan konektor Microsoft 365 Defender

Konektor Microsoft 365

Defender
memungkinkan Anda
melakukan streaming
log perburuan tingkat
lanjut - sejenis data
peristiwa mentah -
dari Microsoft 365
Defender.
Hubungkan pemberitahuan dari Microsoft
Defender untuk Office 365

Dengan peringatan
Pertahanan Microsoft
untuk Office 365, Anda
dapat memasukkan
informasi tentang
ancaman berbasis
email dan berbasis URL
ke dalam analisis risiko
yang lebih luas dan
menyusun skenario
respons yang sesuai.
Legacy Connectors

- Microsoft Defender
for Endpoint

- Microsoft Defender
for Office 365

- Microsoft Defender
for Cloud Apps

- Microsoft Defender
for Identity
Hubungkan konektor Microsoft Defender
lainnya

Microsoft Sentinel
menyediakan konektor
Source Microsoft Defender for Cloud
bawaan untuk solusi
Microsoft Defender
lainnya.

Source Microsoft Defender for IoT

 Bab 6
Sub-bab 4
Hubungkan host
Windows ke
Microsoft Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Hubungkan Connect Azure Windows Virtual Machines ke

Microsoft Sentinel
2. Hubungkan host non-Azure Windows ke Microsoft Sentinel
3. Konfigurasikan agen untuk mengumpulkan acara Sysmon
Rencana untuk Konektor Windows hosts
security events
Ingestion Options

Windows Security Security Events via Windows Forwarded

Events via AMA Legacy Agent Events (Preview)
Connector Connector connector

Windows DNS Events

via AMA (Preview)
Connector
Windows Security Events melalui AMA
Connector

Keuntungan: Batasan: Persyaratan:

• Manage collection • In Public preview for • Data Collection
settings at scale Microsoft Defender Rules (DCR)
• Azure Monitoring for Cloud • non-Azure
Agent shared with • Not all features are VM's/devices
other solutions currently available require Azure Arc
• Performance
improvements
• Security
improvements
Security Events melalui Legacy Agent
Connector
Connect non-Azure Windows Machines

Saat menyambungkan host non-Azure Windows, Anda perlu meng-install agen klien
secara manual.
 View connected hosts

● Jumlah host Windows dan Linux yang terhubung dengan Agen Azure Monitor, atau
agen Log Analytics tersedia di ruang kerja Log Analytics.
● Anda dapat melihat host yang terhubung di Log Analytics Workspace Agents
Management page.
 Collect Sysmon event logs

● The Microsoft-Windows-Sysmon/Operational entry diperlukan pada

Windows Event Logs.
 Bab 6
Sub-bab 5
Hubungkan log
Format Common
Event ke Microsoft
Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Jelaskan opsi penyebaran konektor Common Event Format

di Microsoft Sentinel
2. Jalankan script penyebaran untuk konektor Common Event
Format
Rencana untuk Common Event Format (CEF)
connector
Deploys a Syslog Forwarder server to support the communication
between the appliance and Microsoft Sentinel.

The server consists of a dedicated Linux machine with the Log

Analytics agent for Linux installed.

Many of the Microsoft Sentinel Data Connectors that are

vendor-specific utilize the CEF Connector.

Deployment options include Azure and on-premises based.

CEF is recommended over the Syslog Connector because CEF

provides parsed message data

© Copyright Microsoft Corporation. All rights reserved.

Hubungkan solusi eksternal Anda
menggunakan konektor CEF
Dengan menggunakan
tautan yang disediakan
di halaman konektor,
Anda akan menjalankan
skrip pada mesin yang
ditunjuk.
 Bab 6
Sub-bab 6
Hubungkan sumber
data syslog ke
Microsoft Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Jelaskan opsi penyebaran konektor Syslog di Microsoft

Sentinel
2. Jalankan script penerapan konektor untuk mengirim data ke
Microsoft Sentinel
3. Konfigurasikan integrasi agen Log Analytics untuk Microsoft
Sentinel
4. Buat parsing menggunakan KQL di Microsoft Sentinel
 Rencana untuk Syslog Connector
OVERVIEW
Streaming peristiwa dari mesin atau
peralatan berbasis Linux yang
mendukung Syslog ke Microsoft
Sentinel menggunakan agen Log
Analytics untuk Linux.
Daemon Syslog asli host akan
mengumpulkan peristiwa lokal dari
jenis tertentu dan meneruskannya
secara lokal ke agen, yang akan
mengalirkannya ke ruang kerja Log
Analytics Anda.
CARA KERJA
Syslog adalah protokol pencatatan
peristiwa yang umum di Linux. Ketika
agen Log Analytics untuk Linux diinstal
pada VM atau peralatan Anda, rutinitas
instalasi mengonfigurasi daemon Syslog
lokal untuk meneruskan pesan ke agen
pada port TCP 25224.
Agen kemudian mengirimkan pesan ke
ruang kerja Log Analytics Anda melalui
HTTPS, yang kemudian diuraikan
menjadi entri log peristiwa di tabel
Syslog di Microsoft Sentinel > Logs.
Kumpulkan data dari sumber berbasis Linux
menggunakan syslog
Konektor Syslog memiliki
dua opsi penyebaran:
Azure Linux Virtual
Machine dan agen pada
non-Azure Linux Machine.
Azure Linux VM adalah
tombol sambungkan
sederhana.
Mengkonfigurasikan Log Analytics Agent

Agen Log Analytics untuk Linux hanya akan mengumpulkan peristiwa dengan fasilitas dan
tingkat keparahan yang ditentukan dalam konfigurasinya.
Menguraikan syslog data dengan KQL

// save as a function named: MyParser

Syslog
| where ProcessName contains "squid"
| extend URL = extract("(([A-Z]+ [a-z]{4,5}:\\/\\/)|[A-Z]+ )([^ :]*)",3,SyslogMessage),
SourceIP = extract("([0-9]+
)(([0-9]{1,3})\\.([0-9]{1,3})\\.([0-9]{1,3})\\.([0-9]{1,3}))",2,SyslogMessage),
User = extract("(CONNECT |GET )([^ ]* )([^ ]+)",3,SyslogMessage),
RemotePort = extract("(CONNECT |GET )([^ ]*)(:)([0-9]*)",4,SyslogMessage),
Domain = extract("(([A-Z]+ [a-z]{4,5}:\\/\\/)|[A-Z]+ )([^ :\\/]*)",3,SyslogMessage)
// use the function/parser
MyParser
 Bab 6
Sub-bab 7
Hubungkan
Indikator Ancaman
ke Microsoft
Sentinel
Introduction

Setelah menyelesaikan modul ini, kamu dapat melakukan:

1. Konfigurasikan konektor TAXII di Microsoft Sentinel

2. Konfigurasikan konektor Platform Threat Intelligence di
Microsoft Sentinel
3. Melihat indikator ancaman di Microsoft Sentinel
Rencana untuk Threat Intelligence Connectors
Indicator Uses Threat Intelligence Connectors

Generate alerts and incidents based on matches Threat intelligence - TAXII

of log events from your threat indicators.

Workbooks provide summarized information Threat Intelligence Platforms

about the threat indicators

Hunting queries allow security investigators to

use threat indicators

Notebooks can use threat indicators when you

investigate anomalies and hunt for malicious
behaviors.

© Copyright Microsoft Corporation. All rights reserved.

Hubungkan konektor TAXII intelijen ancaman

Microsoft Sentinel
terintegrasi dengan
sumber data TAXII 2.0 dan
2.1 untuk memungkinkan
pemantauan, peringatan,
dan perburuan
menggunakan intelijen
ancaman Anda.
Hubungkan konektor platform intelijen
ancaman
Microsoft Sentinel terintegrasi
dengan sumber data
Microsoft Graph Security API
untuk memungkinkan
pemantauan, peringatan, dan
perburuan menggunakan
intelijen ancaman Anda.
Gunakan konektor ini untuk
mengirim indikator ancaman
ke Microsoft Sentinel dari
Threat Intelligence Platform
(TIP) Anda.
Melihat indikator ancaman di Microsoft
Sentinel
Akhir dari Bab 6