Optimiser vos opérations de sécurité
Les équipes du centre des opérations de sécurité (SOC) cherchent à améliorer les processus et les résultats tout en veillant à ce que vous disposiez des données nécessaires pour gérer les risques, sans frais supplémentaires liés à l'ingestion des données. Les équipes du SOC souhaitent vous assurer que vous disposez de toutes les données nécessaires pour agir contre les risques, sans payer pour plus de données que nécessaire. En même temps, les équipes SOC doivent également ajuster les contrôles de sécurité à mesure que les menaces et les priorités métier changent, en procédant ainsi rapidement et efficacement pour optimiser votre retour sur investissement.
Les optimisations du SOC sont des recommandations exploitables qui mettent en évidence des moyens d'optimiser vos contrôles de sécurité, vous permettant de tirer davantage de valeur des services de sécurité Microsoft au fil du temps. Les recommandations vous aident à réduire les coûts sans affecter les besoins ou la couverture du SOC, et peuvent vous aider à ajouter des contrôles de sécurité et des données si nécessaire. Ces optimisations sont adaptées à votre environnement et basées sur votre paysage actuel de couverture et de menace.
Utilisez les recommandations d’optimisation du SOC pour combler les lacunes de la couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion des données qui ne fournissent pas de valeur de sécurité. Les optimisations du SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à des analyses et des recherches manuelles.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Regardez la vidéo suivante pour obtenir une vue d’ensemble et une démonstration de l’optimisation de SOC dans le portail Microsoft Defender. Si vous voulez simplement une démonstration, passez à la minute 8:14.
Prérequis
L’optimisation SOC utilise des rôles et des autorisations Microsoft Sentinel standard. Pour plus d’informations, consultez Autorisations et rôles dans Microsoft Sentinel.
Pour utiliser l’optimisation de SOC dans le portail Defender, intégrez Microsoft Sentinel au portail Defender. Pour plus d’informations, consultez Connecter Microsoft Sentinel au portail Microsoft Defender.
Accéder à la page d’optimisation SOC
Utilisez l’un des onglets suivants, selon que vous travaillez dans le portail Azure ou le portail Defender. Lorsque votre espace de travail est intégré pour les opérations de sécurité unifiées, les optimisations du SOC incluent la couverture de tous les services de sécurité Microsoft.
Dans Microsoft Sentinel dans le portail Azure, sous Gestion des menaces, sélectionnez Optimisation SOC.
Comprendre les métriques d’optimisation SOC
Les métriques d’optimisation affichées en haut de l’onglet Vue d’ensemble de vous donnent une compréhension générale de l’efficacité de l’utilisation de vos données et changeront au fil du temps lorsque vous implémentez des recommandations.
Les métriques prises en charge en haut de l’onglet Vue d’ensemble de sont les suivantes :
| Titre | Description |
|---|---|
| données ingérées au cours des 3 derniers mois | Affiche le nombre total de données ingérées dans votre espace de travail au cours des trois derniers mois. |
| état des optimisations | Affiche le nombre d’optimisations recommandées actuellement actives, terminées et ignorées. |
Sélectionnez Consultez tous les scénarios de menace pour afficher la liste complète des menaces pertinentes, des pourcentages de règles d’analyse actives et recommandées et des niveaux de couverture.
Afficher et gérer les recommandations d’optimisation
Dans le portail Azure, les recommandations d’optimisation SOC sont répertoriées sous l’onglet optimisation SOC > Vue d’ensemble .
Par exemple :
Les recommandations d’optimisation de SOC sont calculées toutes les 24 heures. Chaque carte d’optimisation inclut l’état, le titre, la date à laquelle il a été créé, une description générale et l’espace de travail à lequel il s’applique.
Optimisations des filtres
Filtrez les optimisations en fonction du type d’optimisation ou recherchez un titre d’optimisation spécifique à l’aide de la zone de recherche du côté. Les types d’optimisation sont les suivants :
de couverture : inclut des recommandations basées sur les menaces pour ajouter des contrôles de sécurité afin de combler les lacunes de couverture pour différents types d’attaques.
valeur de données: inclut des recommandations qui suggèrent des moyens d’améliorer l’utilisation des données pour optimiser la valeur de sécurité des données ingérées ou suggérer un meilleur plan de données pour votre organisation.
Afficher les détails de l’optimisation et prendre des mesures
Sélectionnez l’un des onglets suivants, selon le portail que vous utilisez :
Dans chaque carte d’optimisation, sélectionnez Afficher les détails pour afficher une description complète de l’observation qui a conduit à la recommandation et la valeur que vous voyez dans votre environnement lorsque cette recommandation est implémentée.
Faites défiler jusqu’au bas du volet d’informations d’un lien vers l’endroit où vous pouvez effectuer les actions recommandées. Par exemple :
- Si une optimisation inclut des recommandations pour ajouter des règles d’analytique, sélectionnez Accéder au hub de contenu.
- Si une optimisation inclut des recommandations pour déplacer une table vers des journaux de base, sélectionnez Modifier le plan.
Si vous installez un modèle de règle d’analyse à partir du hub de contenu sans la solution installée, seul le modèle installé apparaît dans la solution.
Installez la solution complète pour afficher tous les éléments de contenu disponibles à partir de la solution sélectionnée. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Gérer les optimisations
Par défaut, les états d’optimisation sont actifs. Modifiez leur statut à mesure que vos équipes progressent en triant et en implémentant des recommandations.
Sélectionnez le menu Options ou sélectionnez Afficher les détails pour effectuer l’une des actions suivantes :
| Action | Description |
|---|---|
| Terminé | Effectuez une optimisation lorsque vous avez terminé chaque action recommandée. Si une modification de votre environnement est détectée qui rend la recommandation non pertinente, l’optimisation est automatiquement terminée et déplacée vers l’onglet Terminé. Par exemple, vous pouvez avoir une optimisation liée à une table précédemment inutilisée. Si votre table est maintenant utilisée dans une nouvelle règle d’analytique, la recommandation d’optimisation n’est plus pertinente. Dans ce cas, une bannière s’affiche sous l’onglet Vue d’ensemble avec le nombre d’optimisations effectuées automatiquement depuis votre dernière visite. |
| Marquer comme étant en cours / Marquer comme actif | Marquez une optimisation en cours ou active pour informer les autres membres de l’équipe que vous travaillez activement dessus. Utilisez ces deux états de manière flexible, mais de manière cohérente, selon les besoins de votre organisation. |
| Abandonner | Ignorez une optimisation si vous ne prévoyez pas d’effectuer l’action recommandée et ne souhaitez plus la voir dans la liste. |
| Fournir des commentaires | Nous vous invitons à partager vos réflexions sur les actions recommandées avec l’équipe Microsoft ! Lorsque vous partagez vos commentaires, veillez à ne pas partager de données confidentielles. Pour plus d’informations, consultez Déclaration de confidentialité Microsoft. |
Afficher les optimisations terminées et ignorées
Si vous avez marqué une optimisation spécifique comme Terminée ou Ignorée, ou si une optimisation est effectuée automatiquement, elle est répertoriée dans les onglets Terminé et Ignoré, respectivement.
À partir de là, sélectionnez le menu options ou sélectionnez Afficher les détails complets pour effectuer l’une des actions suivantes :
réactiver led’optimisation, en le renvoyant à l’onglet Vue d’ensemble . Les optimisations réactivées sont recalculées pour fournir la valeur et l’action les plus mises à jour. Le recalcul de ces détails peut prendre jusqu’à une heure. Attendez donc avant de vérifier les détails et les actions recommandées.
Les optimisations réactivées peuvent également passer directement à l’onglet Terminé si, après le recalcul des détails, ils ne sont plus pertinents.
fournir des commentaires supplémentaires à l’équipe Microsoft. Lorsque vous partagez vos commentaires, veillez à ne pas partager de données confidentielles. Pour plus d’informations, consultez Déclaration de confidentialité Microsoft.
Flux d’utilisation de l’optimisation SOC
Cette section fournit un exemple de flux pour l’utilisation des optimisations SOC, à partir du portail Defender ou Azure :
Dans la page d’optimisation SOC, commencez par comprendre le tableau de bord :
- Observez les métriques principales pour l’état d’optimisation globale.
- Passez en revue les recommandations d’optimisation pour la valeur des données et la couverture basée sur les menaces.
Utilisez les recommandations d’optimisation pour identifier les tables avec une faible utilisation, ce qui indique qu’elles ne sont pas utilisées pour les détections. Sélectionnez Afficher les détails complets pour afficher la taille et le coût des données inutilisées. Tenez compte de l’une des actions suivantes :
Ajoutez des règles d’analyse pour utiliser la table pour une protection renforcée. Pour utiliser cette option, sélectionnez Accéder au hub de contenu pour afficher et configurer des modèles de règles analytiques prêtes à l’emploi spécifiques qui utilisent la table sélectionnée. Dans le hub de contenu, vous n’avez pas besoin de rechercher la règle appropriée, car vous êtes dirigé directement vers la règle appropriée.
Si de nouvelles règles analytiques nécessitent des sources de journaux supplémentaires, envisagez de les ingérer pour améliorer la couverture des menaces.
Pour plus d’informations, consultez Découvrir et gérer le contenu prête à l’emploi de Microsoft Sentinel et Détecter les menaces prêtes à l’emploi.
Modifiez votre niveau d’engagement pour réaliser des économies. Pour plus d’informations, consultez Réduire les coûts de Microsoft Sentinel.
Utilisez les recommandations d’optimisation pour améliorer la couverture contre des menaces spécifiques. Par exemple, pour une optimisation des ransomwares gérés par l’homme :
Sélectionnez Afficher les détails complets pour afficher la couverture actuelle et les améliorations suggérées.
Sélectionnez Afficher toutes les améliorations techniques MITRE ATT&CK pour explorer et analyser les tactiques et techniques pertinentes, ce qui vous aide à comprendre l’écart de couverture.
Sélectionnez Accéder au hub de contenu pour afficher tout le contenu de sécurité recommandé, filtré spécifiquement pour cette optimisation.
Après avoir configuré de nouvelles règles ou apporté des modifications, marquez la recommandation comme terminée ou laissez la mise à jour système automatiquement.