Informations de référence sur les recommandations d’optimisation du SOC
Utilisez les recommandations d’optimisation du SOC pour combler les lacunes de la couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion des données qui ne fournissent pas de valeur de sécurité. Les optimisations du SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à des analyses et des recherches manuelles.
Les optimisations SOC de Microsoft Sentinel incluent les types de recommandations suivants :
Les recommandations basées sur les menaces suggèrent d’ajouter des contrôles de sécurité qui vous aident à combler les lacunes de couverture.
Les recommandations relatives à la valeur des données suggèrent des façons d’améliorer votre utilisation des données, telles qu’un meilleur plan de données pour votre organisation.
Les recommandations d’organisations similaires suggèrent l’ingestion de données à partir des types de sources utilisées par les organisations qui ont des tendances d’ingestion similaires et des profils du secteur à vous.
Cet article fournit une référence aux recommandations d’optimisation SOC disponibles.
Important
Microsoft Sentinel est en disponibilité générale dans la plateforme d’opérations de sécurité unifiée de Microsoft dans le portail Microsoft Defender. Pour la préversion, Microsoft Sentinel est disponible dans le portail Defender sans Microsoft Defender XDR ou une licence E5. Pour en savoir plus, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Recommandations d’optimisation des valeurs de données
Pour optimiser votre rapport coût/valeur de sécurité, l’optimisation SOC expose à peine les connecteurs de données ou les tables utilisés, et suggère des moyens de réduire le coût d’une table ou d’améliorer sa valeur, en fonction de votre couverture. Ce type d’optimisation est également appelé optimisation des valeurs de données.
Les optimisations des valeurs de données examinent uniquement les tables facturables qui ingèrent des données au cours des 30 derniers jours.
Le tableau suivant répertorie les recommandations d’optimisation SOC de valeur de données disponibles :
| Observation | Action |
|---|---|
| La table n’a pas été utilisée par les règles d’analyse ou les détections au cours des 30 derniers jours, mais elle a été utilisée par d’autres sources, telles que des classeurs, des requêtes de journal, des requêtes de repérage. | Activer les modèles de règle d’analyse OR Passez aux journaux de base si la table est éligible. |
| La table n’a pas été utilisée du tout au cours des 30 derniers jours. | Activer les modèles de règle d’analyse OR Arrêtez l’ingestion des données ou archivez la table. |
| La table n’a été utilisée que par Azure Monitor. | Activer tous les modèles de règles d’analyse pertinents pour les tables avec une valeur de sécurité OR Accédez à un espace de travail Log Analytics non sécurisé. |
Si une table est choisie pour UEBA ou une règle d’analyse de correspondance des informations sur les menaces, l’optimisation SOC ne recommande aucune modification de l’ingestion.
Important
Lorsque vous apportez des modifications aux plans d’ingestion, nous vous recommandons de toujours veiller à ce que les limites de vos plans d’ingestion soient claires et que les tables affectées ne soient pas ingérées pour des raisons de conformité ou d’autres raisons similaires.
Recommandations d’optimisation basée sur les menaces
Pour optimiser la valeur des données, l’optimisation SOC recommande d’ajouter des contrôles de sécurité à votre environnement sous la forme de détections et de sources de données supplémentaires, à l’aide d’une approche basée sur les menaces. Ce type d’optimisation est également appelé optimisation de la couverture et est basé sur la recherche de sécurité de Microsoft.
Pour fournir des recommandations basées sur les menaces, l’optimisation SOC examine vos journaux ingérés et les règles d’analytique activées, et les compare aux journaux et aux détections nécessaires pour protéger, détecter et répondre à des types d’attaques spécifiques.
Les optimisations basées sur les menaces prennent en compte les détections prédéfinies et définies par l’utilisateur.
Le tableau suivant répertorie les recommandations d’optimisation SOC basées sur les menaces disponibles :
| Observation | Action |
|---|---|
| Il existe des sources de données, mais les détections sont manquantes. | Activez les modèles de règles d’analyse en fonction de la menace : créez une règle à l’aide d’un modèle de règle d’analyse et ajustez le nom, la description et la logique de requête en fonction de votre environnement. Pour plus d’informations, consultez La détection des menaces dans Microsoft Sentinel. |
| Les modèles sont activés, mais les sources de données sont manquantes. | Connectez de nouvelles sources de données. |
| Il n’existe aucune détection ou source de données existante. | Connectez des détections et des sources de données ou installez une solution. |
Recommandations d’organisations similaires
L’optimisation SOC utilise le Machine Learning avancé pour identifier les tables manquantes dans votre espace de travail, mais elles sont utilisées par les organisations avec des tendances d’ingestion similaires et des profils du secteur à votre place. Il montre comment d’autres organisations utilisent ces tables et vous recommandent les sources de données pertinentes, ainsi que les règles associées, pour améliorer votre couverture de sécurité.
| Observation | Action |
|---|---|
| Les sources de journal ingérées par des clients similaires sont manquantes | Connectez les sources de données suggérées. Cette recommandation n’inclut pas :
|
À propos de l’installation
Tous les espaces de travail ne reçoivent pas de recommandations similaires pour les organisations. Un espace de travail reçoit ces recommandations uniquement si notre modèle Machine Learning identifie des similitudes significatives avec d’autres organisations et découvre les tables dont elles disposent, mais vous ne le faites pas. Les SOC dans leurs phases précoces ou d’intégration sont généralement plus susceptibles de recevoir ces recommandations que les SOC avec un niveau de maturité plus élevé.
Les recommandations sont basées sur des modèles Machine Learning qui s’appuient uniquement sur les métadonnées OII (Organisation Identifiable Information) et système. Les modèles n’accèdent ni n’analysent jamais le contenu des journaux des clients ou les ingèrent à tout moment. Aucune donnée client, contenu ou informations d’identification de l’utilisateur final (EUII) n’est exposée à l’analyse.
Contenu connexe
- Utilisation des optimisations SOC par programmation (préversion)
- Blog – Optimisation de SOC : libérer la puissance de la gestion de la sécurité axée sur la précision