Bab 06 Connect Logs To Microsoft Sentinel
Bab 06 Connect Logs To Microsoft Sentinel
Vendor connectors
Logstash plugin
Logic Apps
PowerShell
Azure Functions
Bab 6
Sub-bab 2
Hubungkan layanan
Microsoft ke Microsoft
Sentinel
Introduction
Create incidents
Prerequisites Configuration ( SecurityAlert
table only)
Hubungkan konektor Microsoft Office 365
Dapatkan wawasan
tentang Azure Active
Directory dengan
menyambungkan log
Audit dan Masuk ke
Microsoft Sentinel
untuk mengumpulkan
wawasan seputar
skenario Azure Active
Directory.
Hubungkan konektor Perlindungan Identitas
Direktori Aktif Azure
Azure Activity
Azure Firewall
Dengan peringatan
Pertahanan Microsoft
untuk Office 365, Anda
dapat memasukkan
informasi tentang
ancaman berbasis
email dan berbasis URL
ke dalam analisis risiko
yang lebih luas dan
menyusun skenario
respons yang sesuai.
Legacy Connectors
- Microsoft Defender
for Endpoint
- Microsoft Defender
for Office 365
- Microsoft Defender
for Cloud Apps
- Microsoft Defender
for Identity
Hubungkan konektor Microsoft Defender
lainnya
Microsoft Sentinel
menyediakan konektor
Source Microsoft Defender for Cloud
bawaan untuk solusi
Microsoft Defender
lainnya.
Saat menyambungkan host non-Azure Windows, Anda perlu meng-install agen klien
secara manual.
View connected hosts
● Jumlah host Windows dan Linux yang terhubung dengan Agen Azure Monitor, atau
agen Log Analytics tersedia di ruang kerja Log Analytics.
● Anda dapat melihat host yang terhubung di Log Analytics Workspace Agents
Management page.
Collect Sysmon event logs
Agen Log Analytics untuk Linux hanya akan mengumpulkan peristiwa dengan fasilitas dan
tingkat keparahan yang ditentukan dalam konfigurasinya.
Menguraikan syslog data dengan KQL
Syslog
| where ProcessName contains "squid"
| extend URL = extract("(([A-Z]+ [a-z]{4,5}:\\/\\/)|[A-Z]+ )([^ :]*)",3,SyslogMessage),
SourceIP = extract("([0-9]+
)(([0-9]{1,3})\\.([0-9]{1,3})\\.([0-9]{1,3})\\.([0-9]{1,3}))",2,SyslogMessage),
User = extract("(CONNECT |GET )([^ ]* )([^ ]+)",3,SyslogMessage),
RemotePort = extract("(CONNECT |GET )([^ ]*)(:)([0-9]*)",4,SyslogMessage),
Domain = extract("(([A-Z]+ [a-z]{4,5}:\\/\\/)|[A-Z]+ )([^ :\\/]*)",3,SyslogMessage)
// use the function/parser
MyParser
Bab 6
Sub-bab 7
Hubungkan
Indikator Ancaman
ke Microsoft
Sentinel
Introduction
Microsoft Sentinel
terintegrasi dengan
sumber data TAXII 2.0 dan
2.1 untuk memungkinkan
pemantauan, peringatan,
dan perburuan
menggunakan intelijen
ancaman Anda.
Hubungkan konektor platform intelijen
ancaman
Microsoft Sentinel terintegrasi
dengan sumber data
Microsoft Graph Security API
untuk memungkinkan
pemantauan, peringatan, dan
perburuan menggunakan
intelijen ancaman Anda.
Gunakan konektor ini untuk
mengirim indikator ancaman
ke Microsoft Sentinel dari
Threat Intelligence Platform
(TIP) Anda.
Melihat indikator ancaman di Microsoft
Sentinel
Akhir dari Bab 6