Freigeben über


Referenz zu SOC-Optimierungsempfehlungen

Verwenden Sie SOC-Optimierungsempfehlungen, um die Abdeckungslücken im Schutz vor bestimmten Bedrohungen zu schließen und Ihre Erfassungsraten für Daten anzupassen, die für die Sicherheit nicht von Nutzen sind. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel-Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit für manuelle Analysen und Untersuchungen aufwenden müssen.

Microsoft Sentinel SOC-Optimierungen umfassen die folgenden Arten von Empfehlungen:

  • Bedrohungsbasierte Empfehlungen schlagen vor, Sicherheitskontrollen hinzuzufügen, mit denen Sie Lücken bei der Abdeckung schließen können.

  • Empfehlungen für Datenwerte schlagen Möglichkeiten zur Verbesserung der Datennutzung vor, z. B. einen besseren Datenplan für Ihre Organisation.

  • Ähnliche Empfehlungen von Organisationen schlagen vor, Daten aus den Arten von Quellen aufzunehmen, die von Organisationen verwendet werden, die ähnliche Erfassungstrends und Branchenprofile haben.

Dieser Artikel enthält eine Referenz zu den verfügbaren SOC-Optimierungsempfehlungen.

Wichtig

Microsoft Sentinel ist in der Unified Security Operations Platform von Microsoft im Microsoft Defender-Portal allgemein verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Empfehlungen zur Datenwertoptimierung

Um ihr Kosten-/Sicherheitswertverhältnis zu optimieren, werden in DER SOC-Optimierung kaum verwendete Datenconnectors oder Tabellen verwendet und Möglichkeiten vorgeschlagen, je nach Abdeckung entweder die Kosten einer Tabelle zu reduzieren oder ihren Wert zu verbessern. Diese Art der Optimierung wird auch als Datenwertoptimierung bezeichnet.

Datenwertoptimierungen betrachten nur rechnungsbare Tabellen, die Daten in den letzten 30 Tagen aufgenommen haben.

In der folgenden Tabelle sind die Empfehlungen zur SOC-Optimierung des verfügbaren Datenwerts aufgeführt:

Beobachtung Aktion
Die Tabelle wurde in den letzten 30 Tagen nicht von Analyseregeln oder Erkennungen verwendet, sondern von anderen Quellen verwendet, z. B. Arbeitsmappen, Protokollabfragen, Suchabfragen. Aktivieren von Analyseregelvorlagen
ODER
Wechseln sie zu grundlegenden Protokollen, wenn die Tabelle berechtigt ist.
Die Tabelle wurde in den letzten 30 Tagen nicht verwendet. Aktivieren von Analyseregelvorlagen
ODER
Beenden Sie die Datenaufnahme, oder archiven Sie die Tabelle.
Die Tabelle wurde nur von Azure Monitor verwendet. Aktivieren relevanter Analyseregelvorlagen für Tabellen mit Sicherheitswert
ODER
Wechseln zu einem nicht sicherheitsrelevanten Log Analytics-Arbeitsbereich.

Wenn eine Tabelle für UEBA oder eine Analyseregel für die Bedrohungserkennung ausgewählt wird, empfiehlt die SOC-Optimierung keine Änderungen bei der Aufnahme.

Wichtig

Wenn Sie Änderungen an Aufnahmeplänen vornehmen, wird empfohlen, immer sicherzustellen, dass die Grenzwerte Ihrer Aufnahmepläne klar sind und dass die betroffenen Tabellen aus Compliance- oder anderen ähnlichen Gründen nicht aufgenommen werden.

Empfehlungen zur bedrohungsbasierten Optimierung

Um den Datenwert zu optimieren, empfiehlt die SOC-Optimierung das Hinzufügen von Sicherheitssteuerelementen zu Ihrer Umgebung in Form zusätzlicher Erkennungen und Datenquellen mithilfe eines bedrohungsbasierten Ansatzes. Dieser Optimierungstyp wird auch als Abdeckungsoptimierung bezeichnet und basiert auf der Sicherheitsforschung von Microsoft.

Um bedrohungsbasierte Empfehlungen bereitzustellen, prüft die SOC-Optimierung Ihre erfassten Protokolle und aktivierten Analyseregeln und vergleicht sie mit den Protokollen und Erkennungen, die zum Schutz, Erkennen und Reagieren auf bestimmte Arten von Angriffen erforderlich sind.

Bedrohungsbasierte Optimierungen berücksichtigen sowohl vordefinierte als auch benutzerdefinierte Erkennungen.

In der folgenden Tabelle sind die verfügbaren empfehlungen für die bedrohungsbasierte SOC-Optimierung aufgeführt:

Beobachtung Aktion
Es gibt Datenquellen, aber Erkennungen fehlen. Aktivieren Sie Analyseregelvorlagen basierend auf der Bedrohung: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an.

Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel.
Vorlagen sind aktiviert, aber Datenquellen fehlen. Verbinden neuer Datenquellen.
Es gibt keine Erkennungen oder Datenquellen. Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung.

Empfehlungen für ähnliche Organisationen

Die SOC-Optimierung verwendet erweiterte maschinelles Lernen, um Tabellen zu identifizieren, die in Ihrem Arbeitsbereich fehlen, aber von Organisationen mit ähnlichen Aufnahmetrends und Branchenprofilen verwendet werden. Es zeigt, wie andere Organisationen diese Tabellen verwenden, und empfiehlt Ihnen, die relevanten Datenquellen zusammen mit verwandten Regeln zu verwenden, um Ihre Sicherheitsabdeckung zu verbessern.

Beobachtung Aktion
Protokollquellen, die von ähnlichen Kunden aufgenommen werden, fehlen Verbinden sie die vorgeschlagenen Datenquellen.

Diese Empfehlung enthält nicht:
  • Benutzerdefinierte Connectors
  • Benutzerdefinierte Tabellen
  • Tabellen, die von weniger als 10 Arbeitsbereichen aufgenommen werden
  • Tabellen, die mehrere Protokollquellen enthalten, z. B. die Syslog Oder CommonSecurityLog Tabellen

Überlegungen

  • Nicht alle Arbeitsbereiche erhalten empfehlungen für ähnliche Organisationen. Ein Arbeitsbereich erhält diese Empfehlungen nur, wenn unser Machine Learning-Modell erhebliche Ähnlichkeiten mit anderen Organisationen identifiziert und Tabellen ermittelt, die sie haben, aber nicht. SOCs in ihren frühen oder onboarding-Phasen erhalten diese Empfehlungen in der Regel eher als SOCs mit einem höheren Reifegrad.

  • Empfehlungen basieren auf Machine Learning-Modellen, die ausschließlich auf OII (Organizational Identifiable Information) und Systemmetadaten basieren. Die Modelle greifen niemals auf den Inhalt von Kundenprotokollen zu oder analysieren sie zu einem beliebigen Zeitpunkt. Für die Analyse werden keine Kundendaten, Inhalte oder Endbenutzeridentifizierbare Informationen (EUII) verfügbar gemacht.

Nächster Schritt