Edit

Memantau keamanan hibrid menggunakan Microsoft Defender untuk Cloud dan Microsoft Azure Sentinel

Azure Log Analytics
Azure Monitor
Microsoft Defender for Cloud
Microsoft Sentinel
Azure Stack

Arsitektur referensi ini menggambarkan cara menggunakan Microsoft Defender untuk Cloud dan Microsoft Sentinel untuk memantau konfigurasi keamanan dan telemetri beban kerja lokal, Azure, dan Azure Stack.

Arsitektur

Diagram that shows monitoring agent on on-premises as well as on Azure transferring data to Microsoft Defender for Cloud and Microsoft Sentinel.

Unduh file Visio arsitektur ini.

Alur kerja

  • Microsoft Defender untuk Cloud. Ini adalah platform pengelolaan keamanan terpadu dan tingkat lanjut yang ditawarkan Microsoft bagi semua pelanggan Azure. Defender untuk Cloud tersegmentasi sebagai manajemen postur keamanan cloud (CSPM) dan platform perlindungan beban kerja cloud (CWPP). CWPP ditentukan oleh solusi perlindungan keamanan yang berpusat pada beban kerja, yang biasanya berbasis agen. Microsoft Defender untuk Cloud menyediakan perlindungan ancaman untuk beban kerja Azure, baik lokal maupun di cloud lain, termasuk mesin virtual (VM) Windows dan Linux, kontainer, database, dan Internet of Things (IoT). Saat diaktifkan, agen Log Analytics akan menyebar secara otomatis ke Azure Virtual Machines. Untuk server dan VM Windows dan Linux lokal, Anda dapat menyebarkan agen secara manual, menggunakan alat penyebaran organisasi Anda, seperti Microsoft Endpoint Protection Manager, atau memanfaatkan metode penyebaran skrip. Defender untuk Cloud mulai menilai status keamanan semua VM, jaringan, aplikasi, dan data Anda.
  • Microsoft Sentinel. Adalah solusi Security Information and Event Management (SIEM) dan respons otomatis orkestrasi keamanan (SOAR) yang menggunakan analitik keamanan dan AI tingkat lanjut untuk membantu Anda mendeteksi, berburu, mencegah, dan merespons ancaman di seluruh perusahaan Anda.
  • Azure Stack. Adalah portofolio produk yang memperluas layanan dan kemampuan Azure ke lingkungan pilihan Anda, termasuk pusat data, lokasi tepi, dan kantor jarak jauh. Implementasi Azure Stack biasanya menggunakan rak empat hingga enam belas server yang dibangun oleh mitra perangkat keras tepercaya dan dikirimkan ke pusat data Anda.
  • Azure Monitor. Mengumpulkan telemetri pemantauan dari berbagai sumber lokal dan Azure. Alat pengelolaan, seperti yang ada di Microsoft Defender untuk Cloud dan Azure Automation, juga mendorong data log ke Azure Monitor.
  • Ruang kerja Log Analytics. Azure Monitor menyimpan data log di ruang kerja Log Analytics, yang merupakan kontainer yang berisi informasi data dan konfigurasi.
  • Agen Analitik Log. Agen Analitik Log mengumpulkan data pemantauan dari sistem operasi tamu dan beban kerja VM di Azure, dari penyedia cloud lain, dan dari lokal. Agen Log Analytics mendukung konfigurasi Proksi dan, biasanya dalam skenario ini, Gateway Microsoft Operations Management Suite (OMS) bertindak sebagai proksi.
  • Jaringan lokal. Ini adalah firewall yang dikonfigurasi untuk mendukung keluarnya HTTPS dari sistem yang ditentukan.
  • Sistem Windows dan Linux lokal. Sistem dengan Agen Log Analytics terinstal.
  • VM Azure Windows dan Linux. Sistem tempat agen pemantauan Microsoft Defender untuk Cloud diinstal.

Komponen

Detail skenario

Kemungkinan kasus penggunaan

Penggunaan umum untuk arsitektur ini meliputi:

  • Praktik terbaik untuk mengintegrasikan pemantauan keamanan dan telemetri lokal dengan beban kerja berbasis Azure
  • Mengintegrasikan Microsoft Defender untuk Cloud dengan Azure Stack
  • Mengintegrasikan Microsoft Defender untuk Cloud dengan Microsoft Azure Sentinel

Rekomendasi

Rekomendasi berikut berlaku untuk sebagian besar skenario. Ikuti rekomendasi ini kecuali Anda memiliki persyaratan khusus yang menimpanya.

Peningkatan Microsoft Defender untuk Cloud

Arsitektur referensi ini menggunakan Microsoft Defender untuk Cloud untuk memantau sistem lokal, Azure VM, sumber daya Azure Monitor, dan bahkan VM yang di-host oleh penyedia cloud lainnya. Detail tentang harga Microsoft Defender untuk Cloud dapat ditemukan di sini.

Ruang Kerja Log Analytics yang Disesuaikan

Microsoft Sentinel memerlukan akses ke ruang kerja Log Analytics. Dalam skenario ini, Anda tidak dapat menggunakan ruang kerja Log Analytics Defender untuk Cloud default dengan Microsoft Sentinel. Sebagai gantinya, Anda membuat ruang kerja yang disesuaikan. Retensi data untuk ruang kerja yang disesuaikan didasarkan pada tingkat harga ruang kerja, dan Anda dapat menemukan model harga untuk Log Pemantauan di sini.

Catatan

Microsoft Sentinel dapat berjalan di ruang kerja di wilayah ketersediaan umum (GA) Log Analytics kecuali wilayah China dan Jerman (Berdaulat). Data yang dihasilkan Microsoft Sentinel, seperti insiden, marka buku, dan aturan peringatan, yang mungkin berisi beberapa data pelanggan yang bersumber dari ruang kerja ini, disimpan baik di Eropa (untuk ruang kerja yang berbasis di Eropa), di Australia (untuk ruang kerja yang berbasis di Australia), atau di AS Timur (untuk ruang kerja yang berlokasi di wilayah lain).

Pertimbangan

Pertimbangan ini mengimplementasikan pilar Azure Well-Architected Framework, yang merupakan serangkaian tenet panduan yang dapat digunakan untuk meningkatkan kualitas beban kerja. Untuk informasi selengkapnya, lihat Microsoft Azure Well-Architected Framework.

Keamanan

Keamanan memberikan jaminan terhadap serangan yang disukai dan penyalahgunaan data dan sistem berharga Anda. Untuk informasi selengkapnya, lihat Gambaran Umum pilar keamanan.

Kebijakan keamanan menentukan serangkaian kontrol yang direkomendasikan untuk sumber daya dalam langganan tertentu. Dalam Microsoft Defender untuk Cloud, Anda menentukan kebijakan untuk langganan Azure sesuai dengan persyaratan keamanan perusahaan Anda dan jenis aplikasi atau sensitivitas data untuk setiap langganan.

Kebijakan keamanan yang Anda aktifkan di rekomendasi dan pemantauan keamanan drive Microsoft Defender untuk Cloud. Untuk mempelajari kebijakan keamanan lebih lanjut, lihat Memperkuat kebijakan keamanan dengan Microsoft Defender untuk Cloud. Anda dapat menetapkan kebijakan keamanan di Microsoft Defender untuk Cloud hanya di tingkat pengelolaan atau grup langganan.

Catatan

Bagian satu dari arsitektur referensi ini menjelaskan cara mengaktifkan Microsoft Defender untuk Cloud untuk memantau sumber daya Azure, sistem lokal, dan sistem Azure Stack.

Pengoptimalan biaya

Optimalisasi biaya adalah tentang mencari cara untuk mengurangi pengeluaran yang tidak perlu dan meningkatkan efisiensi operasional. Untuk informasi selengkapnya, lihat Gambaran umum pilar pengoptimalan biaya.

Seperti yang dijelaskan sebelumnya, biaya di luar langganan Azure Anda dapat mencakup:

  1. Microsoft Defender untuk Cloud biaya. Untuk informasi selengkapnya, lihat Harga Defender untuk Cloud.
  2. Ruang kerja Azure Monitor menawarkan perincian penagihan. Untuk informasi selengkapnya, lihat Mengelola Penggunaan dan Biaya dengan Log Azure Monitor.
  3. Microsoft Sentinel adalah layanan berbayar. Untuk informasi selengkapnya, lihat Harga Microsoft Sentinel.

Keunggulan operasional

Keunggulan operasional mencakup proses operasi yang menyebarkan aplikasi dan membuatnya tetap berjalan dalam produksi. Untuk informasi selengkapnya, lihat Gambaran umum pilar keunggulan operasional.

Peran Microsoft Defender untuk Cloud

Defender untuk Cloud menilai konfigurasi sumber daya Anda untuk mengidentifikasi masalah dan kerentanan keamanan, dan menampilkan informasi yang terkait dengan sumber daya saat Anda diberi peran pemilik, kontributor, atau pembaca untuk langganan atau grup sumber daya tempat sumber daya berada.

Selain peran ini, ada dua peran Defender for Cloud yang khusus:

  • Pembaca Keamanan. Pengguna yang termasuk dalam peran ini hanya membaca hak untuk Defender untuk Cloud. Pengguna dapat melihat rekomendasi, peringatan, kebijakan keamanan, dan status keamanan, tetapi tidak dapat membuat perubahan.

  • Admin Keamanan: Pengguna yang mendapatkan peran ini memiliki hak yang sama dengan Pembaca Keamanan dan juga dapat memperbarui kebijakan keamanan dan mengabaikan peringatan dan rekomendasi. Biasanya, ini adalah pengguna yang mengelola beban kerja.

  • Peran keamanan, Pembaca Keamanan dan Admin Keamanan, hanya memiliki akses di Defender untuk Cloud. Peran keamanan tidak memiliki akses ke area layanan Azure lainnya, seperti penyimpanan, web, seluler, atau IoT.

Langganan Microsoft Sentinel

  • Untuk mengaktifkan Microsoft Sentinel, Anda memerlukan izin kontributor untuk langganan tempat ruang kerja Microsoft Sentinel berada.
  • Untuk menggunakan Microsoft Sentinel, Anda memerlukan izin kontributor atau pembaca di grup sumber daya tempat ruang kerja berada.
  • Microsoft Sentinel adalah layanan berbayar. Untuk informasi selengkapnya, lihat Harga Microsoft Sentinel.

Efisiensi kinerja

Efisiensi performa adalah kemampuan beban kerja Anda untuk menskalakan dengan cara yang efisien untuk memenuhi tuntutan yang ditempatkan pengguna di dalamnya. Untuk informasi selengkapnya, lihat Gambaran umum pilar efisiensi performa.

Agen Log Analytics untuk Windows dan Linux dirancang untuk memiliki dampak yang sangat minimal terhadap performa VM atau sistem fisik.

Proses operasional Microsoft Defender untuk Cloud tidak akan mengganggu prosedur operasional normal Anda. Sebaliknya, secara pasif memantau penyebaran dan memberikan rekomendasi berdasarkan kebijakan keamanan yang diaktifkan.

Menyebarkan skenario ini

Membuat ruang kerja Analitik Log di portal Azure

  1. Masuk ke portal Azure sebagai pengguna dengan hak istimewa Admin Keamanan.
  2. Di portal Microsoft Azure, pilih Semua layanan. Dalam daftar sumber daya, ketik Log Analytics. Saat Anda mulai memasukkan, daftar akan memfilter berdasarkan input Anda. Pilih Ruang kerja Log Analytics.
  3. Pilih Tambahkan di halaman Log Analytics.
  4. Masukkan nama ruang kerja Log Analytics baru, seperti Defender untuk Cloud-SentinelWorkspace. Nama ini harus unik secara global di semua langganan Azure Monitor.
  5. Pilih langganan dengan memilih dari menu drop-down jika pilihan default tidak sesuai.
  6. Untuk Grup Sumber Daya, pilih untuk menggunakan grup sumber daya yang ada atau buat yang baru.
  7. Untuk Lokasi, pilih geolokasi yang tersedia.
  8. Klik OK untuk menyelesaikan konfigurasi. New Workspace created for the architecture

Mengaktifkan Defender untuk Cloud

Saat Anda masih masuk ke portal Azure sebagai pengguna dengan hak istimewa Admin Keamanan, pilih Defender untuk Cloud di panel. Defender untuk Cloud - Ringkasan terbuka:

Defender for Cloud Overview dashboard blade opens

Defender untuk Cloud otomatis mengaktifkan tingkat Gratis untuk salah satu langganan Azure yang sebelumnya tidak diorientasikan oleh Anda atau pengguna langganan lain.

Tingkatkan Microsoft Defender untuk Cloud

  1. Di menu utama Defender untuk Cloud, pilih Memulai.
  2. Pilih tombol Tingkatkan Sekarang. Defender untuk Cloud mencantumkan langganan dan ruang kerja Anda yang memenuhi syarat untuk digunakan.
  3. Anda dapat memilih ruang kerja dan langganan yang memenuhi syarat untuk memulai percobaan. Pilih ruang kerja yang dibuat sebelumnya, ASC-SentinelWorkspace. dari menu drop-down.
  4. Di menu utama Defender untuk Cloud, pilih Mulai percobaan.
  5. Kotak dialog Instal Agen akan muncul.
  6. Pilih tombol Instal Agen. Bilah Defender untuk Cloud - Cakupan ditampilkan dan Anda harus mengamati langganan yang Anda pilih. Security Coverage blade showing your subscriptions should be open

Anda kini telah mengaktifkan provisi otomatis dan Defender untuk Cloud akan menginstal Agen Log Analytics untuk Windows (HealthService.exe) dan omsagent untuk Linux di semua VM Azure yang didukung dan yang baru yang Anda buat. Anda dapat menonaktifkan kebijakan ini dan mengelolanya secara manual, meskipun kami sangat menyarankan provisi otomatis.

Untuk mempelajari lebih lanjut fitur Microsoft Defender untuk Cloud tertentu yang tersedia di Windows dan Linux, lihat Cakupan fitur untuk mesin.

Mengaktifkan pemantauan Microsoft Defender untuk Cloud komputer Windows lokal

  1. Di portal Azure pada bilah Defender untuk Cloud - Gambaran Umum, pilih tab Memulai.
  2. Pilih Konfigurasi di bagian Tambahkan komputer non-Azure baru. Daftar ruang kerja Log Analytics Anda muncul, dan akan menyertakan Defender untuk Cloud-SentinelWorkspace.
  3. Pilih ruang kerja ini. Bilah Agen Langsung terbuka disertai tautan untuk mengunduh agen Windows dan kunci untuk identifikasi ruang kerja (ID) Anda untuk digunakan saat Anda mengonfigurasi agen.
  4. Pilih tautan Unduh Agen Windows yang berlaku untuk jenis prosesor komputer Anda untuk mengunduh file penyiapan.
  5. Di sebelah kanan ID Ruang Kerja, pilih Salin, lalu tempelkan ID ke Notepad.
  6. Di sebelah kanan Kunci Primer, pilih Salin, lalu tempelkan kunci ke Notepad.

Menginstal agen Windows

Untuk menginstal agen di komputer target, ikuti langkah-langkah ini.

  1. Salin file ke komputer target, lalu Jalankan Penyiapan.
  2. Di halaman Selamat Datang, pilih Berikutnya.
  3. Pada halaman Ketentuan Lisensi, baca lisensi, lalu pilih Saya Setuju.
  4. Pada halaman Folder Tujuan, ubah atau pertahankan folder instalasi default, lalu klik Berikutnya.
  5. Di halaman Opsi Penyiapan Agen, pilih untuk menghubungkan agen ke Azure Log Analytics, lalu klik Berikutnya.
  6. Pada halaman Azure Log Analytics, tempelkan ID Ruang Kerja dan Kunci Ruang Kerja (Kunci Primer) yang Anda salin ke Notepad dalam prosedur sebelumnya.
  7. Jika komputer harus melaporkan ke ruang kerja Log Analytics di cloud Azure Government, pilih Azure US Government dari daftar drop-down Azure Cloud. Jika komputer perlu berkomunikasi melalui server proksi ke layanan Log Analytics, pilih Tingkat Lanjut, lalu masukkan URL dan nomor port server proksi.
  8. Setelah Anda memasukkan pengaturan konfigurasi yang diperlukan, pilih Berikutnya. Log Analytics Agent setup page for connecting agent to an Azure Log Analytics workspace
  9. Pada halaman Siap Instal, tinjau pilihan Anda, lalu pilih Instal.
  10. Di halaman Konfigurasi berhasil diselesaikan, pilih Selesai.

Setelah selesai, agen Log Analytics muncul di panel kontrol Windows, dan Anda dapat meninjau konfigurasi dan memverifikasi bahwa agen telah terhubung.

Untuk informasi lebih lanjut cara menginstal dan mengonfigurasi agen, lihat Menginstal agen Log Analytics di komputer Windows.

Layanan Agen Log Analytics mengumpulkan data peristiwa dan performa, menjalankan tugas, dan alur kerja lainnya yang ditentukan dalam paket manajemen. Defender untuk Cloud memperluas platform perlindungan beban kerja cloud dengan mengintegrasikan dengan Pertahanan Microsoft untuk Server. Sistem pertahanan tersebut menyediakan kemampuan deteksi dan respons titik akhir (EDR) yang komprehensif.

Untuk informasi selengkapnya tentang Pertahanan Microsoft untuk Server, lihat Server onboard ke layanan Pertahanan Microsoft untuk Server.

Mengaktifkan pemantauan Microsoft Defender untuk Cloud komputer Linux lokal

  1. Kembali ke tab Mulai seperti yang dijelaskan sebelumnya.
  2. Pilih Konfigurasi di bagian Tambahkan komputer non-Azure baru. Daftar ruang kerja Log Analytics Anda muncul. Daftar ini menyertakan Defender untuk Cloud-SentinelWorkspace yang Anda buat.
  3. Di bilah Agen Langsung di bagian UNDUH DAN ORIENTASIKAN AGEN UNTUK LINUX, pilih salin untuk menyalin perintah wget.
  4. Buka Notepad, lalu tempelkan perintah ini. Simpan file ini ke lokasi yang dapat Anda akses dari komputer Linux.

Catatan

Pada sistem operasi Unix dan Linux, wget adalah alat untuk pengunduhan file non-interaktif dari web. Ini mendukung HTTPS, FTP, dan proksi.

Agen Linux menggunakan kerangka kerja Linux Audit Daemon. Defender untuk Cloud mengintegrasikan fungsionalitas dari kerangka kerja ini dalam agen Log Analytics, yang memungkinkan catatan audit dikumpulkan, diperkaya, dan digabungkan ke dalam peristiwa dengan menggunakan Agen Log Analytics untuk Linux. Defender for Cloud terus menambahkan analitik baru yang menggunakan sinyal Linux untuk mendeteksi perilaku berbahaya di cloud dan mesin Linux lokal.

Untuk daftar peringatan Linux, lihat Tabel referensi peringatan.

Menginstal agen Linux

Untuk menginstal agen di komputer Linux target, ikuti langkah-langkah berikut:

  1. Di komputer Linux, buka file yang Anda simpan sebelumnya. Pilih dan salin seluruh konten, buka konsol terminal, lalu tempelkan perintah.
  2. Setelah pemasangan selesai, Anda dapat memastikan bahwa omsagent telah diinstal dengan menjalankan perintah pgrep. Perintah akan menampilkan ID proses (PID) omsagent. Anda dapat menemukan log untuk agen ini di: /var/opt/microsoft/omsagent/"workspace id"/log/.

Diperlukan waktu hingga 30 menit sebelum komputer Linux baru dapat ditampilkan di Defender untuk Cloud.

Mengaktifkan pemantauan Microsoft Defender untuk Cloud VM Azure Stack

Setelah mengorientasikan langganan Azure, Anda dapat mengaktifkan Defender untuk Cloud untuk melindungi VM yang berjalan di Azure Stack dengan menambahkan ekstensi VM Azure Monitor, Update dan Configuration Management dari marketplace Azure Stack. Cara melakukan:

  1. Kembali ke tab Mulai seperti yang dijelaskan sebelumnya.
  2. Pilih Konfigurasi di bagian Tambahkan komputer non-Azure baru. Daftar ruang kerja Log Analytics Anda muncul, dan akan menyertakan Defender untuk Cloud-SentinelWorkspace yang telah Anda buat.
  3. Di bilah Agen Langsung ada tautan untuk mengunduh agen dan kunci untuk ID ruang kerja Anda untuk digunakan selama konfigurasi agen. Anda tidak perlu mengunduh agen secara manual. Ini akan diinstal sebagai ekstensi VM pada langkah berikut.
  4. Di sebelah kanan ID Ruang Kerja, pilih Salin, lalu tempelkan ID ke Notepad.
  5. Di sebelah kanan Kunci Primer, pilih Salin, lalu tempelkan kunci ke Notepad.

Mengaktifkan pemantauan Defender untuk Cloud VM Azure Stack

Microsoft Defender untuk Cloud menggunakan ekstensi VM Azure Monitor, Update dan Configuration Management yang dibundel dengan Azure Stack. Untuk mengaktifkan ekstensi Azure Monitor, Update, dan Configuration Management, ikuti langkah-langkah berikut:

  1. Di tab browser baru, masuk ke portal Azure Stack Hub.
  2. Lihat halaman Mesin virtual, lalu pilih mesin virtual yang ingin dilindungi dengan Defender untuk Cloud.
  3. Pilih Ekstensi. Daftar ekstensi VM yang diinstal di VM ini muncul.
  4. Pilih tab Tambahkan. Bilah menu Sumber Daya Baru terbuka dan menampilkan daftar ekstensi VM yang tersedia.
  5. Pilih ekstensi Azure Monitor, Update, dan Configuration Management, lalu pilih Buat. Bilah konfigurasi Instal ekstensi akan terbuka.
  6. Pada bilah konfigurasi Instal ekstensi, tempel ID Ruang Kerja dan Kunci Ruang Kerja (Kunci Primer) yang Anda salin ke Notepad pada prosedur sebelumnya.
  7. Setelah selesai memasukkan pengaturan konfigurasi yang diperlukan, pilih OK.
  8. Setelah penginstalan ekstensi selesai, statusnya menunjukkan Provisi Berhasil. Mungkin diperlukan waktu hingga satu jam agar VM muncul di portal Defender untuk Cloud.

Untuk informasi selengkapnya tentang menginstal dan mengonfigurasi agen untuk Windows, lihat Menginstal agen menggunakan wizard penyiapan.

Untuk memecahkan masalah agen Linux, lihat Cara memecahkan masalah dengan agen Log Analytics untuk Linux.

Sekarang Anda dapat memantau Azure VM dan komputer non-Azure di satu tempat. Azure Compute memberi Anda ringkasan tentang semua VM dan komputer beserta rekomendasi. Setiap kolom mewakili satu set rekomendasi, dan warna mewakili VM atau komputer dan status keamanan saat ini untuk rekomendasi tersebut. Defender untuk Cloud juga menyediakan deteksi untuk komputer ini dalam peringatan keamanan. Defender for Cloud list of systems monitored on the Compute blade

Ada dua jenis ikon yang diwakili pada bilah Komputasi:

Purple computer icon that represents a non-azure monitored computer Komputer non-Azure

Blue terminal icon that represents an Azure monitored computer Komputer Azure

Catatan

Bagian dua dari arsitektur referensi akan menghubungkan peringatan dari Microsoft Defender untuk Cloud dan mengalirkannya ke Microsoft Sentinel.

Peran Microsoft Sentinel adalah menyerap data dari sumber data yang berbeda dan melakukan korelasi data di seluruh sumber data ini. Microsoft Sentinel memanfaatkan pembelajaran mesin dan AI untuk membuat perburuan ancaman, deteksi peringatan, dan respons ancaman lebih cerdas.

Untuk menjalankan Microsoft Sentinel, Anda harus mengaktifkannya, lalu menyambungkan sumber data. Microsoft Sentinel dilengkapi dengan sejumlah konektor untuk solusi Microsoft, yang tersedia di luar kotak dan menyediakan integrasi real time, termasuk Microsoft Defender untuk Cloud, solusi Perlindungan Ancaman Microsoft, sumber Microsoft 365 (termasuk Office 365), ID Microsoft Entra, Pertahanan Microsoft untuk Server, Microsoft Defender untuk Cloud Apps, dan banyak lagi. Selain itu, tersedia konektor bawaan ke ekosistem keamanan yang lebih luas untuk solusi non-Microsoft. Anda juga dapat menggunakan Common Event Format, syslog, atau Representational State Transfer API untuk menghubungkan sumber data Anda dengan Microsoft Sentinel.

Persyaratan untuk mengintegrasikan Microsoft Sentinel dengan Microsoft Defender untuk Cloud

  1. Langganan Microsoft Azure
  2. Ruang kerja Log Analytics yang bukan ruang kerja default yang dibuat saat Anda mengaktifkan Microsoft Defender untuk Cloud.
  3. Microsoft Defender untuk Cloud.

Ketiga persyaratan harus ada jika Anda bekerja melalui bagian sebelumnya.

Prasyarat secara global

  • Untuk mengaktifkan Microsoft Sentinel, Anda memerlukan izin kontributor untuk langganan tempat ruang kerja Microsoft Sentinel berada.
  • Untuk menggunakan Microsoft Sentinel, Anda memerlukan izin kontributor atau pembaca di grup sumber daya tempat ruang kerja berada.
  • Anda mungkin memerlukan izin tambahan untuk menghubungkan sumber data tertentu. Anda tidak memerlukan izin tambahan untuk terhubung ke Defender untuk Cloud.
  • Microsoft Sentinel adalah layanan berbayar. Untuk informasi selengkapnya, lihat Harga Microsoft Sentinel.

Mengaktifkan Microsoft Azure Sentinel

  1. Masuk ke portal Azure dengan pengguna yang memiliki hak kontributor untuk Defender untuk Cloud-Sentinelworkspace.
  2. Cari dan pilih Microsoft Sentinel. In the Azure portal search for the term
  3. Pilih Tambahkan.
  4. Pada bilah Microsoft Sentinel, pilih Defender untuk Cloud-Sentinelworkspace.
  5. Di Microsoft Azure Sentinel, pilih Konektor data dari menu navigasi.
  6. Dari galeri konektor data, pilih Microsoft Defender untuk Cloud, lalu pilih tombol Buka halaman konektor. In Microsoft Sentinel showing the open Collectors page
  7. Di bagian Konfigurasi, pilih Hubungkan di samping langganan tempat Anda ingin memberi peringatan untuk mengalir ke Microsoft Sentinel. Tombol Koneksi akan tersedia hanya jika Anda memiliki izin yang diperlukan dan langganan Defender untuk Cloud.
  8. Sekarang, Anda akan melihat Status Koneksi sebagai Menghubungkan. Setelah menghubungkan, ini akan beralih ke Terhubung.
  9. Setelah mengonfirmasi konektivitas, Anda dapat menutup pengaturan Konektor Data Defender untuk Cloud dan me-refresh halaman untuk melihat peringatan di Microsoft Sentinel. Mungkin diperlukan waktu beberapa saat sebelum log mulai disinkronkan dengan Microsoft Sentinel. Setelah terhubung, Anda akan melihat ringkasan data dalam grafik Data yang diterima dan status konektivitas jenis data.
  10. Anda dapat memilih apakah Anda ingin pemberitahuan dari Pertahanan Microsoft untuk Cloud menghasilkan insiden di Microsoft Azure Sentinel secara otomatis. Di bagianBuat insiden, pilih Diaktifkan untuk mengaktifkan aturan analitik default yang akan secara otomatis membuat insiden dari pemberitahuan. Anda kemudian dapat mengedit aturan ini di bagian Analitik, di tab Aturan aktif.
  11. Untuk menggunakan skema yang relevan di Log Analytics untuk peringatan Microsoft Defender untuk Cloud, cari SecurityAlert.

Salah satu keuntungan menggunakan Microsoft Sentinel sebagai SIEM Anda adalah ini menyediakan korelasi data di berbagai sumber, yang memungkinkan Anda memiliki visibilitas end-to-end dari peristiwa terkait keamanan organisasi Anda.

Untuk mempelajari Microsoft Sentinel lebih lanjut, lihat artikel berikut:

Langkah berikutnya

Azure Monitor

Microsoft Defender untuk Cloud

Microsoft Sentinel

Azure Stack