Optimalizace operací zabezpečení

• Platí pro:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Týmy soc (Security Operations Center) hledají způsoby, jak zlepšit procesy a výsledky a zajistit, abyste měli data potřebná k řešení rizik bez dalších nákladů na příjem dat. Týmy SOC chtějí mít jistotu, že máte všechna potřebná data k tomu, abyste mohli jednat proti rizikům, aniž byste zaplatili za více dat, než je potřeba. Týmy SOC zároveň musí také upravit bezpečnostní prvky, protože se mění hrozby a obchodní priority, aby se tak rychle a efektivně maximalizovaly návratnost investic.

OptimalizaceSOch Doporučení vám pomůžou snížit náklady, aniž by to mělo vliv na potřeby soC nebo pokrytí, a v případě potřeby vám můžou pomoct přidat bezpečnostní prvky a data. Tyto optimalizace jsou přizpůsobené vašemu prostředí a na základě aktuálního pokrytí a prostředí hrozeb.

Využijte doporučení pro optimalizaci SOC, která vám pomůžou uzavřít mezery v pokrytí před konkrétními hrozbami a utáhnout míru příjmu dat, která neposkytují hodnotu zabezpečení. Optimalizace SOC vám pomohou optimalizovat pracovní prostor Microsoft Sentinelu, aniž by týmy SOC strávily čas ruční analýzou a výzkumem.

Důležité

Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

V následujícím videu najdete přehled a ukázku optimalizace SOC na portálu Microsoft Defender. Pokud chcete jenom ukázku, přejděte na minutu 8:14.

Požadavky

• Optimalizace SOC používá standardní role a oprávnění Microsoft Sentinelu. Další informace naleznete v části Role a oprávnění ve službě Microsoft Sentinel.

• Pokud chcete použít optimalizaci SOC na portálu Defender, připojte Microsoft Sentinel k portálu Defender. Další informace najdete v tématu Připojení Služby Microsoft Sentinel k portálu Microsoft Defender.

Přístup na stránku optimalizace SOC

V závislosti na tom, jestli pracujete na webu Azure Portal nebo na portálu Defender, použijte jednu z následujících karet. Když je váš pracovní prostor nasazený pro sjednocené operace zabezpečení, optimalizace SOC zahrnují pokrytí napříč službami zabezpečení Microsoftu.

Azure Portal

Ve službě Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte optimalizaci SOC.

Portál Defenderu

Na portálu Defender vyberte optimalizaci SOC.

Vysvětlení metrik přehledu optimalizace SOC

Metriky optimalizace zobrazené v horní části karty Přehled poskytují základní informace o tom, jak efektivně používáte data, a při implementaci doporučení se v průběhu času změní.

Mezi podporované metriky v horní části karty Přehled patří:

Azure Portal

Titulek	Popis
Ingestované data za posledních 3 měsíce	Zobrazuje celkový počet přijatých dat v pracovním prostoru za poslední tři měsíce.
Stav optimalizace	Zobrazuje počet doporučených optimalizací, které jsou aktuálně aktivní, dokončené a zamítnuté.

Výběrem možnosti Zobrazit všechny scénáře hrozeb zobrazíte úplný seznam relevantních hrozeb, procent aktivních a doporučených analytických pravidel a úrovní pokrytí.

Portál Defenderu

Titulek	Popis
Nedávná hodnota optimalizace	Zobrazuje hodnotu získanou na základě doporučení, která jste nedávno implementovali.
Ingestování dat	Zobrazuje celkový počet přijatých dat v pracovním prostoru za posledních 90 dnů.
Optimalizace pokrytí na základě hrozeb	Zobrazuje jeden z následujících indikátorů pokrytí na základě počtu analytických pravidel nalezených ve vašem pracovním prostoru v porovnání s počtem pravidel doporučených týmem microsoftu pro výzkum: - Vysoká: Aktivuje se více než 75 % doporučených pravidel. - Střední: aktivuje se 30%-74% doporučených pravidel. - Nízká: Aktivují se 0–29 % doporučených pravidel. Výběrem možnosti Zobrazit všechny scénáře hrozeb zobrazíte úplný seznam relevantních hrozeb, aktivních a doporučených detekcí a úrovní pokrytí. Pak vyberte scénář hrozby, abyste mohli přejít k podrobnostem o doporučení na samostatné stránce s podrobnostmi scénáře hrozeb.
Stav optimalizace	Zobrazuje počet doporučených optimalizací, které jsou aktuálně aktivní, dokončené a zamítnuté.

Zobrazení a správa doporučení pro optimalizaci

Azure Portal

Doporučení optimalizace SOC na webu Azure Portal jsou uvedená na kartě Přehled optimalizace > SOC.

Příklad:

Portál Defenderu

Na portálu Defender jsou doporučení optimalizace SOC uvedená v oblasti Optimalizace na kartě Optimalizace SOC.

Doporučení optimalizace SOC se počítají každých 24 hodin. Každá karta optimalizace zahrnuje stav, název, datum vytvoření, popis vysoké úrovně a pracovní prostor, na který se vztahuje.

Optimalizace filtrů

Vyfiltrujte optimalizace na základě typu optimalizace nebo vyhledejte konkrétní název optimalizace pomocí vyhledávacího pole na straně. Mezi typy optimalizace patří:

• Pokrytí: Zahrnuje doporučení založená na hrozbách pro přidání kontrolních mechanismů zabezpečení, které pomáhají uzavřít mezery v pokrytí pro různé typy útoků.

• Hodnota dat: Obsahuje doporučení, která navrhují způsoby, jak zlepšit využití dat pro maximalizaci hodnoty zabezpečení z přijatých dat nebo navrhnout lepší datový plán pro vaši organizaci.

Zobrazení podrobností o optimalizaci a provedení akce

V závislosti na portálu, který používáte, vyberte jednu z následujících karet:

Azure Portal

Na každé kartě optimalizace vyberte Zobrazit podrobnosti , abyste zobrazili úplný popis pozorování, které vedlo k doporučení, a hodnotu, kterou uvidíte ve vašem prostředí při implementaci tohoto doporučení.

Posuňte se dolů do dolní části podokna podrobností, kde můžete provést doporučené akce. Příklad:

• Pokud optimalizace obsahuje doporučení pro přidání analytických pravidel, vyberte Přejít do centra obsahu.
• Pokud optimalizace obsahuje doporučení k přesunutí tabulky do základních protokolů, vyberte Změnit plán.

Portál Defenderu

1. Na každé kartě optimalizace vyberte Zobrazit podrobnosti , abyste zobrazili úplný popis pozorování, které vedlo k doporučení, a hodnotu, kterou uvidíte ve vašem prostředí při implementaci tohoto doporučení.

2. Optimalizace pokrytí na základě hrozeb:

   • Přepněte mezi pavoučími grafy, abyste porozuměli vašemu pokrytí v různých taktikách a technikách na základě uživatelem definovaných a předdefinovaných detekcí, které jsou ve vašem prostředí aktivní.
   • Výběrem možnosti Zobrazit scénář hrozeb v MITRE ATT&CK přejdete na stránku MITRE ATT&CK v Microsoft Sentinelu, která je předem zafiltrovaná pro váš scénář hrozeb. Další informace najdete v tématu [Vysvětlení pokrytí zabezpečení rozhraním MITRE ATT&CK®].

3. Posuňte se dolů do dolní části podokna podrobností, kde můžete provést doporučené akce. Příklad:

• Pokud optimalizace obsahuje doporučení pro přidání analytických pravidel, vyberte Přejít do centra obsahu.

• Pokud optimalizace obsahuje doporučení k přesunutí tabulky do základních protokolů, vyberte Změnit plán.

• V případě optimalizací pokrytí na základě hrozeb vyberte Zobrazit úplný scénář hrozeb a zobrazte úplný seznam relevantních hrozeb, aktivních a doporučených detekcí a úrovní pokrytí. Odtud můžete přejít přímo do centra obsahu a aktivovat jakékoli doporučené detekce nebo na stránku MITRE ATT&CK a zobrazit úplné pokrytí MITRE ATT&CK pro vybraný scénář. Příklad:

  

Pokud nainstalujete šablonu analytického pravidla z centra obsahu bez nainstalovaného řešení, zobrazí se v řešení pouze nainstalovaná šablona.

Nainstalujte úplné řešení, abyste viděli všechny dostupné položky obsahu z vybraného řešení. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.

Správa optimalizací

Ve výchozím nastavení jsou stavy optimalizace aktivní. Při přípravě a implementaci doporučení můžete měnit jejich stavy při pokroku týmů.

Vyberte nabídku možností nebo vyberte Zobrazit podrobnosti a proveďte jednu z následujících akcí:

Akce	Popis
Dokončeno	Dokončete optimalizaci po dokončení každé doporučené akce. Pokud se zjistí změna ve vašem prostředí, která doporučení nezrelevantní, optimalizace se automaticky dokončí a přesune na kartu Dokončeno . Můžete mít například optimalizaci související s dříve nepoužitou tabulkou. Pokud se teď tabulka používá v novém analytickém pravidle, doporučení optimalizace je teď irelevantní. Vtakovýchch
Označit jako probíhající / Označit jako aktivní	Označte optimalizaci jako probíhající nebo aktivní, abyste ostatním členům týmu oznámili, že na ní aktivně pracujete. Tyto dva stavy používejte pružně, ale konzistentně podle potřeby pro vaši organizaci.
Zrušit	Zavřete optimalizaci, pokud neplánujete provést doporučenou akci a už ji nechcete zobrazit v seznamu.
Poslat názor	Zveme vás, abyste se podělili o své myšlenky o doporučených akcích s týmem Microsoftu. Při sdílení zpětné vazby buďte opatrní, abyste nesdílel žádná důvěrná data. Další informace viz Prohlášení Microsoftu o zásadách ochrany osobních údajů.

Zobrazení dokončených a zamítnutých optimalizací

Pokud jste označili určitou optimalizaci jako Dokončeno nebo Zamítnuto nebo pokud se optimalizace automaticky dokončí, zobrazí se na kartách Dokončeno a Zamítnuto.

Tady buď vyberte nabídku možností, nebo vyberte Zobrazit úplné podrobnosti a proveďte jednu z následujících akcí:

• Znovu aktivujte optimalizaci a odešlete ji zpět na kartu Přehled . Znovu aktivované optimalizace se přepočítávají, aby poskytovaly nejaktuálnější hodnotu a akci. Přepočítání těchto podrobností může trvat až hodinu, proto počkejte, než zkontrolujete podrobnosti a doporučené akce znovu.

  Opětovně aktivované optimalizace se také můžou přesunout přímo na kartu Dokončeno , pokud se po přepočítání podrobností zjistí, že už nejsou relevantní.

• Poskytněte týmu Microsoftu další zpětnou vazbu . Při sdílení zpětné vazby buďte opatrní, abyste nesdílel žádná důvěrná data. Další informace viz Prohlášení Microsoftu o zásadách ochrany osobních údajů.

Tok využití optimalizace SOC

Tato část obsahuje ukázkový tok pro použití optimalizací SOC z webu Defender nebo webu Azure Portal:

1. Na stránce optimalizace SOC začněte pochopením řídicího panelu:

   • Sledujte hlavní metriky celkového stavu optimalizace.
   • Projděte si doporučení optimalizace pro hodnoty dat a pokrytí na základě hrozeb.

2. Pomocí doporučení optimalizace identifikujte tabulky s nízkým využitím, které označují, že se nepoužívají k detekcím. Výběrem možnosti Zobrazit úplné podrobnosti zobrazíte velikost a náklady na nevyužitá data. Zvažte jednu z následujících akcí:

   • Přidejte analytická pravidla pro použití tabulky pro rozšířenou ochranu. Pokud chcete tuto možnost použít, vyberte Přejít do centra obsahu a zobrazte a nakonfigurujte konkrétní předdefinované šablony analytických pravidel, které používají vybranou tabulku. V centru obsahu nemusíte hledat relevantní pravidlo, protože jste přesměrováni přímo na příslušné pravidlo.

     Pokud nová analytická pravidla vyžadují další zdroje protokolů, zvažte jejich ingestování, abyste zlepšili pokrytí hrozeb.

     Další informace najdete v tématu Zjišťování a správa předdefinovaný obsah služby Microsoft Sentinel a zjišťování hrozeb, které jsou předdefinované.

   • Změňte úroveň závazku, abyste ušetřili náklady. Další informace najdete v tématu Snížení nákladů na Microsoft Sentinel.

3. Využijte doporučení optimalizace ke zlepšení pokrytí konkrétních hrozeb. Například pro optimalizaci ransomwaru provozovaného člověkem:

   1. Výběrem možnosti Zobrazit úplné podrobnosti zobrazíte aktuální pokrytí a navrhovaná vylepšení.

   2. Vyberte Zobrazit všechny vylepšení techniky MITRE ATT&CK, abyste mohli přejít k podrobnostem a analyzovat relevantní taktiku a techniky, abyste porozuměli mezerám v pokrytí.

   3. Výběrem možnosti Přejít do centra obsahu zobrazíte veškerý doporučený obsah zabezpečení filtrovaný speciálně pro tuto optimalizaci.

4. Po nakonfigurování nových pravidel nebo provedení změn označte doporučení jako dokončené nebo nechte systém aktualizovat automaticky.

Související obsah

• Referenční informace k optimalizaci SOC doporučení
• Programové použití optimalizací SOC
• Blog: Optimalizace SOC: odemykání výkonu správy zabezpečení řízené přesností