권장 사항 형식의 SOC 최적화 참조
SOC 최적화 권장 사항을 사용하면 특정 위협에 대한 적용 범위 간격을 줄이고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화할 수 있습니다. SOC 최적화는 SOC 팀이 수동 분석 및 연구에 시간을 소비하지 않고도 Microsoft Sentinel 작업 영역을 최적화하는 데 도움이 됩니다.
Microsoft Sentinel SOC 최적화에는 다음과 같은 유형의 권장 사항이 포함됩니다.
위협 기반 권장 사항은 적용 범위 격차를 해소하는 데 도움이 되는 보안 제어를 추가하는 것이 좋습니다.
데이터 값 권장 사항은 조직의 더 나은 데이터 계획과 같이 데이터 사용을 개선하는 방법을 제안합니다.
유사한 조직 권장 사항은 수집 추세 및 업계 프로필이 유사한 조직에서 사용하는 원본 유형에서 데이터를 수집하는 것이 좋습니다.
이 문서에서는 사용 가능한 SOC 최적화 권장 사항 유형에 대한 자세한 참조를 제공합니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
데이터 값 최적화 권장 사항
비용/보안 값 비율을 최적화하기 위해 SOC 최적화는 거의 사용되지 않고 데이터 커넥터 또는 테이블을 표시하며 범위에 따라 테이블의 비용을 줄이거나 해당 값을 개선하는 방법을 제안합니다. 이러한 유형의 최적화를 데이터 값 최적화라고도 합니다.
데이터 값 최적화는 지난 30일 동안 데이터를 수집한 청구 가능한 테이블만 살펴봅니다.
다음 표에서는 사용 가능한 유형의 데이터 값 SOC 최적화 권장 사항을 나열합니다.
| 관찰 유형 | 작업 |
|---|---|
| 이 테이블은 지난 30일 동안 분석 규칙 또는 검색에서 사용되지 않았지만 통합 문서, 로그 쿼리, 헌팅 쿼리와 같은 다른 원본에서 사용되었습니다. | 분석 규칙 템플릿 켜기 또는 테이블이 적합한 경우 보조 로그(미리 보기) 또는 기본 로그로 이동합니다. |
| 이 테이블은 지난 30일 동안 전혀 사용되지 않았습니다. | 분석 규칙 템플릿 켜기 또는 데이터 수집을 중지하고 테이블을 제거하거나 테이블을 장기 보존으로 이동합니다. |
| 이 테이블은 Azure Monitor에서만 사용되었습니다. | 보안 값이 있는 테이블에 대한 관련 분석 규칙 템플릿 켜기 또는 비보안 Log Analytics 작업 영역으로 이동합니다. |
UEBA 또는 위협 인텔리전스 일치 분석 규칙에 대해 테이블을 선택한 경우 SOC 최적화는 수집 변경을 권장하지 않습니다.
Important
수집 계획을 변경할 때는 항상 수집 계획의 제한이 명확하고 영향을 받는 테이블이 규정 준수 또는 기타 유사한 이유로 수집되지 않도록 하는 것이 좋습니다.
위협 기반 최적화 권장 사항
데이터 값을 최적화하기 위해 SOC 최적화는 위협 기반 접근 방식을 사용하여 추가 검색 및 데이터 원본의 형태로 환경에 보안 컨트롤을 추가하는 것이 좋습니다. 이 최적화 유형은 적용 범위 최적화라고도 하며 Microsoft의 보안 연구를 기반으로 합니다.
위협 기반 권장 사항을 제공하기 위해 SOC 최적화는 수집된 로그 및 활성화된 분석 규칙을 살펴보고 특정 유형의 공격을 보호, 검색 및 대응하는 데 필요한 로그 및 검색과 비교합니다.
위협 기반 최적화는 미리 정의된 검색과 사용자 정의 검색을 모두 고려합니다.
다음 표에서는 사용 가능한 유형의 위협 기반 SOC 최적화 권장 사항을 나열합니다.
| 관찰 유형 | 작업 |
|---|---|
| 데이터 원본이 있지만 검색이 없습니다. | 위협에 따라 분석 규칙 템플릿 켜기: 분석 규칙 템플릿을 사용하여 규칙을 만들고 사용자 환경에 맞게 이름, 설명 및 쿼리 논리를 조정합니다. 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조 하세요. |
| 템플릿이 켜져 있지만 데이터 원본이 없습니다. | 새 데이터 원본을 연결합니다. |
| 기존 검색 또는 데이터 원본이 없습니다. | 검색 및 데이터 원본을 연결하거나 솔루션을 설치합니다. |
유사한 조직 권장 사항
SOC 최적화는 고급 기계 학습을 사용하여 작업 영역에서 누락되었지만 유사한 수집 추세 및 업계 프로필을 가진 조직에서 사용하는 테이블을 식별합니다. 다른 조직에서 이러한 테이블을 사용하는 방법을 보여 줍니다. 관련 규칙과 함께 관련 데이터 원본을 권장하여 보안 범위를 개선합니다.
| 관찰 유형 | 작업 |
|---|---|
| 유사한 고객이 수집한 로그 원본이 없습니다. | 제안된 데이터 원본을 연결합니다. 이 권장 사항은 다음을 포함하지 않습니다.
|
고려 사항
모든 작업 영역에서 유사한 조직 권장 사항을 얻는 것은 아닙니다. 작업 영역은 기계 학습 모델이 다른 조직과 상당한 유사성을 식별하고 있지만 사용자가 가지고 있지 않은 테이블을 검색하는 경우에만 이러한 권장 사항을 받습니다. 초기 또는 온보딩 단계의 SOC는 일반적으로 성숙도가 높은 SOC보다 이러한 권장 사항을 받을 가능성이 더 높습니다.
권장 사항은 OII(조직 식별 정보) 및 시스템 메타데이터에만 의존하는 기계 학습 모델을 기반으로 합니다. 모델은 고객 로그의 콘텐츠에 액세스하거나 분석하거나 언제든지 수집하지 않습니다. 고객 데이터, 콘텐츠 또는 EUII(최종 사용자 식별 정보)가 분석에 노출되지 않습니다.