Referenční informace k optimalizaci SOC doporučení
Využijte doporučení pro optimalizaci SOC, která vám pomůžou uzavřít mezery v pokrytí před konkrétními hrozbami a utáhnout míru příjmu dat, která neposkytují hodnotu zabezpečení. Optimalizace SOC vám pomohou optimalizovat pracovní prostor Microsoft Sentinelu, aniž by týmy SOC strávily čas ruční analýzou a výzkumem.
Optimalizace SOC služby Microsoft Sentinel zahrnují následující typy doporučení:
Doporučení založená na hrozbách navrhují přidání kontrolních mechanismů zabezpečení, které vám pomůžou uzavřít mezery v pokrytí.
Doporučení k hodnotě dat navrhují způsoby, jak zlepšit využití dat, například lepší datový plán pro vaši organizaci.
Podobná doporučení organizací navrhují příjem dat z typů zdrojů používaných organizacemi, které mají podobné trendy příjmu dat a oborové profily pro vaše.
Tento článek obsahuje referenční informace o dostupných doporučeních pro optimalizaci SOC.
Důležité
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Ve verzi Preview je Microsoft Sentinel k dispozici na portálu Defender bez licence XDR v programu Microsoft Defender nebo licence E5. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Doporučení pro optimalizaci hodnot dat
Při optimalizaci poměru nákladů a hodnoty zabezpečení optimalizace SOC se obtížně používají datové konektory nebo tabulky a navrhuje způsoby, jak snížit náklady na tabulku nebo zlepšit její hodnotu v závislosti na vašem pokrytí. Tento typ optimalizace se také nazývá optimalizace hodnot dat.
Optimalizace hodnot dat se dívají jenom na fakturovatelné tabulky, které ingestují data za posledních 30 dnů.
Následující tabulka uvádí dostupná doporučení pro optimalizaci SOC pro hodnotu dat:
| Postřeh | Akce |
|---|---|
| Tabulka nebyla používána analytickými pravidly nebo detekcemi za posledních 30 dnů, ale byla používána jinými zdroji, jako jsou sešity, dotazy na protokoly, dotazy proaktivního vyhledávání. | Zapnutí šablon analytických pravidel NEBO Pokud je tabulka oprávněná, přejděte na základní protokoly. |
| V posledních 30 dnech se tabulka vůbec nepoužila. | Zapnutí šablon analytických pravidel NEBO Zastavte příjem dat nebo archivaci tabulky. |
| Tabulku používala jenom Služba Azure Monitor. | Zapnutí všech relevantních šablon analytických pravidel pro tabulky s hodnotou zabezpečení NEBO Přejděte do pracovního prostoru služby Log Analytics, který není zabezpečením. |
Pokud je pro analytické pravidlo UEBA nebo analýzy hrozeb zvolená tabulka, optimalizace SOC nedoporučuje žádné změny v příjmu dat.
Důležité
Při provádění změn plánů příjmu dat doporučujeme vždy zajistit, aby limity vašich plánů příjmu byly jasné a že ovlivněné tabulky nejsou ingestované z důvodu dodržování předpisů nebo z jiných podobných důvodů.
Doporučení pro optimalizaci na základě hrozeb
Pro optimalizaci hodnoty dat doporučuje optimalizace SOC přidat do vašeho prostředí bezpečnostní prvky ve formě dodatečných detekcí a zdrojů dat pomocí přístupu založeného na hrozbách. Tento typ optimalizace se také označuje jako optimalizace pokrytí a je založen na výzkumu zabezpečení Microsoftu.
Pokud chcete poskytovat doporučení založená na hrozbách, optimalizace SOC se podívá na vaše ingestované protokoly a povolená analytická pravidla a porovná je s protokoly a detekcemi, které jsou potřeba k ochraně, detekci a reakci na konkrétní typy útoků.
Optimalizace založené na hrozbách zvažují předdefinované i uživatelem definované detekce.
Následující tabulka uvádí dostupná doporučení pro optimalizaci SOC založenou na hrozbách:
| Postřeh | Akce |
|---|---|
| Existují zdroje dat, ale chybí detekce. | Zapněte šablony analytických pravidel na základě hrozby: Vytvořte pravidlo pomocí šablony analytického pravidla a upravte název, popis a logiku dotazu tak, aby vyhovovala vašemu prostředí. Další informace najdete v tématu Detekce hrozeb v Microsoft Sentinelu. |
| Šablony jsou zapnuté, ale chybí zdroje dat. | Připojte nové zdroje dat. |
| Neexistují žádné detekce ani zdroje dat. | Připojte detekce a zdroje dat nebo nainstalujte řešení. |
Podobná doporučení organizací
Optimalizace SOC používá pokročilé strojové učení k identifikaci tabulek, které v pracovním prostoru chybí, ale používají je organizace s podobnými trendy příjmu dat a oborovými profily pro vaše. Ukazuje, jak tyto tabulky používají jiné organizace a doporučují vám relevantní zdroje dat spolu s souvisejícími pravidly, aby se zlepšilo pokrytí zabezpečení.
| Postřeh | Akce |
|---|---|
| Chybí zdroje protokolů ingestované podobnými zákazníky. | Připojte navrhované zdroje dat. Toto doporučení nezahrnuje:
|
Důležité informace
Ne všechny pracovní prostory získají podobná doporučení organizací. Pracovní prostor tato doporučení obdrží pouze v případě, že náš model strojového učení identifikuje významné podobnosti s jinými organizacemi a zjišťuje tabulky, které mají, ale vy ne. SoC v počátečních nebo zprovozněných fázích jsou obecně pravděpodobnější, že obdrží tato doporučení než soC s vyšší úrovní vyspělosti.
Doporučení jsou založená na modelech strojového učení, které se spoléhají výhradně na identifikovatelné informace organizace (OII) a systémová metadata. Modely nikdy nepřistupují k obsahu protokolů zákazníků ani k nim neingestují v žádném okamžiku. Analýza neobsahuje žádná zákaznická data, obsah ani identifikovatelné informace koncového uživatele (EUII).
Související obsah
- Programové použití optimalizací SOC (Preview)
- Blog: Optimalizace SOC: odemykání výkonu správy zabezpečení řízené přesností