Referencia de optimización de SOC de recomendaciones
Use recomendaciones de optimización de SOC para ayudarle a cerrar las brechas de cobertura frente a amenazas específicas y a reforzar las tasas de ingesta con respecto a los datos que no proporcionan valor de seguridad. Las optimizaciones de SOC le ayudan a optimizar el área de trabajo de Microsoft Sentinel, sin tener que los equipos de SOC dediquen tiempo a analizar e investigar manualmente.
Las optimizaciones de SOC de Microsoft Sentinel incluyen los siguientes tipos de recomendaciones:
Las recomendaciones basadas en amenazas sugieren agregar controles de seguridad que le ayuden a cerrar las brechas de cobertura.
Las recomendaciones de valor de datos sugieren formas de mejorar el uso de datos, como un mejor plan de datos para su organización.
Las recomendaciones de organizaciones similares sugieren la ingesta de datos de los tipos de orígenes utilizados por las organizaciones que tienen tendencias de ingesta y perfiles de sector similares a los suyos.
En este artículo se proporciona una referencia de las recomendaciones de optimización de SOC disponibles.
Importante
Microsoft Sentinel está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para la versión preliminar, Microsoft Sentinel está disponible en el portal de Microsoft Defender sin Microsoft Defender XDR ni una licencia E5. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Recomendaciones de optimización de valores de datos
Para optimizar la relación de valor de costo/seguridad, las superficies de optimización de SOC apenas usan conectores de datos o tablas, y sugiere formas de reducir el costo de una tabla o mejorar su valor, en función de la cobertura. Este tipo de optimización también se denomina optimización de valores de datos.
Las optimizaciones de valores de datos solo examinan las tablas facturables que ingieren datos en los últimos 30 días.
En la tabla siguiente se enumeran las recomendaciones de optimización de SOC de valor de datos disponibles:
Observación | Action |
---|---|
Las reglas o detecciones de análisis no usaron la tabla en los últimos 30 días, pero otras fuentes lo usaron, como libros, consultas de registro, consultas de búsqueda. | Activación de plantillas de reglas de análisis O BIEN Vaya a los registros básicos si la tabla es apta. |
La tabla no se usó en absoluto en los últimos 30 días. | Activación de plantillas de reglas de análisis O BIEN Detenga la ingesta de datos o archive la tabla. |
Azure Monitor solo usó la tabla. | Activación de las plantillas de reglas de análisis pertinentes para tablas con valor de seguridad O BIEN Vaya a un área de trabajo de Log Analytics que no sea de seguridad. |
Si se elige una tabla para UEBA o una regla de análisis de coincidencias de inteligencia sobre amenazas, la optimización de SOC no recomienda ningún cambio en la ingesta.
Importante
Al realizar cambios en los planes de ingesta, se recomienda garantizar siempre que los límites de los planes de ingesta estén claros y que las tablas afectadas no se ingieren por motivos de cumplimiento u otros motivos similares.
Recomendaciones de optimización basada en amenazas
Para optimizar el valor de los datos, la optimización de SOC recomienda agregar controles de seguridad al entorno en forma de detecciones y orígenes de datos adicionales, mediante un enfoque basado en amenazas. Este tipo de optimización también se conoce como optimización de cobertura y se basa en la investigación de seguridad de Microsoft.
Para proporcionar recomendaciones basadas en amenazas, la optimización de SOC examina los registros ingeridos y las reglas de análisis habilitadas, y los compara con los registros y detecciones necesarios para proteger, detectar y responder a tipos específicos de ataques.
Las optimizaciones basadas en amenazas consideran las detecciones predefinidas y definidas por el usuario.
En la tabla siguiente se enumeran las recomendaciones de optimización de SOC basadas en amenazas disponibles:
Observación | Action |
---|---|
Hay orígenes de datos, pero faltan detecciones. | Active las plantillas de reglas de análisis basadas en la amenaza: cree una regla mediante una plantilla de regla de análisis y ajuste el nombre, la descripción y la lógica de consulta para adaptarse a su entorno. Para obtener más información, consulte Detección de amenazas en Microsoft Sentinel. |
Las plantillas están activadas, pero faltan orígenes de datos. | Conecte nuevos orígenes de datos. |
No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Recomendaciones de organizaciones similares
La optimización de SOC usa aprendizaje automático avanzado para identificar las tablas que faltan en el área de trabajo, pero las organizaciones usan tendencias de ingesta similares y perfiles del sector. Muestra cómo otras organizaciones usan estas tablas y le recomienda los orígenes de datos pertinentes, junto con las reglas relacionadas, para mejorar la cobertura de seguridad.
Observación | Action |
---|---|
Faltan orígenes de registro ingeridos por clientes similares | Conecte los orígenes de datos sugeridos. Esta recomendación no incluye:
|
Consideraciones
No todas las áreas de trabajo obtienen recomendaciones similares a las organizaciones. Un área de trabajo solo recibe estas recomendaciones si nuestro modelo de aprendizaje automático identifica similitudes significativas con otras organizaciones y detecta tablas que tienen, pero no. Los SOC en sus fases tempranas o de incorporación suelen ser más propensos a recibir estas recomendaciones que los SOC con un mayor nivel de madurez.
Las recomendaciones se basan en modelos de aprendizaje automático que se basan únicamente en la información de identificación organizativa (OII) y los metadatos del sistema. Los modelos nunca acceden ni analizan el contenido de los registros del cliente ni los ingieren en cualquier momento. Ningún dato de cliente, contenido o información de identificación del usuario final (EUII) se expone al análisis.
Contenido relacionado
- Uso de optimizaciones de SOC mediante programación (versión preliminar)
- Blog: Optimización de SOC: desbloqueo de la eficacia de la administración de seguridad controlada por precisión