Uw beveiligingsbewerkingen optimaliseren
Soc-teams (Security Operations Center) zoeken naar manieren om processen en resultaten te verbeteren en ervoor te zorgen dat u de gegevens hebt die nodig zijn om risico's aan te pakken zonder extra opnamekosten. SOC-teams willen ervoor zorgen dat u over alle benodigde gegevens beschikt om te reageren op risico's, zonder dat u meer gegevens hoeft te betalen dan nodig is. Tegelijkertijd moeten SOC-teams ook beveiligingscontroles aanpassen naarmate bedreigingen en bedrijfsprioriteiten veranderen, dit snel en efficiënt doen om uw rendement op investeringen te maximaliseren.
SOC-optimalisaties zijn bruikbare aanbevelingen waarmee manieren worden weergegeven waarop u uw beveiligingscontroles kunt optimaliseren, waardoor u meer waarde krijgt van Microsoft-beveiligingsservices zodra de tijd gaat. Aanbevelingen helpen u om de kosten te verlagen zonder dat dit van invloed is op SOC-behoeften of dekking, en kunnen u helpen bij het toevoegen van beveiligingscontroles en -gegevens, indien nodig. Deze optimalisaties zijn afgestemd op uw omgeving en op basis van uw huidige dekking en bedreigingslandschap.
Gebruik SOC-optimalisatieaanbeveling om hiaten in de dekking tegen specifieke bedreigingen te sluiten en uw opnamepercentages aan te scherpen tegen gegevens die geen beveiligingswaarde bieden. Met SOC-optimalisaties kunt u uw Microsoft Sentinel-werkruimte optimaliseren zonder dat uw SOC-teams tijd besteden aan handmatige analyse en onderzoek.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Bekijk de volgende video voor een overzicht en demo van SOC-optimalisatie in de Microsoft Defender-portal. Als u alleen een demo wilt, springt u naar minuut 8:14.
Vereisten
SOC-optimalisatie maakt gebruik van standaardrollen en -machtigingen van Microsoft Sentinel. Zie voor meer informatie Rollen en machtigingen in Microsoft Sentinel.
Als u SOC-optimalisatie wilt gebruiken in de Defender-portal, onboardt u Microsoft Sentinel naar de Defender-portal. Zie Microsoft Sentinel verbinden met de Microsoft Defender-portal voor meer informatie.
De soc-optimalisatiepagina openen
Gebruik een van de volgende tabbladen, afhankelijk van of u werkt in Azure Portal of Defender Portal. Wanneer uw werkruimte wordt voorbereid voor geïntegreerde beveiligingsbewerkingen, omvatten SOC-optimalisaties dekking van alle Microsoft-beveiligingsservices.
Selecteer SOC-optimalisatie in Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
Inzicht in metrische gegevens over SOC-optimalisatie
Metrische gegevens over optimalisatie die boven aan het tabblad Overzicht worden weergegeven, geven u een algemeen inzicht in hoe efficiënt u uw gegevens gebruikt en worden in de loop van de tijd gewijzigd wanneer u aanbevelingen implementeert.
Ondersteunde metrische gegevens boven aan het tabblad Overzicht zijn onder andere:
| Title | Beschrijving |
|---|---|
| Opgenomen gegevens in de afgelopen 3 maanden | Geeft de totale gegevens weer die in de afgelopen drie maanden in uw werkruimte zijn opgenomen. |
| Optimalisatiestatus | Toont het aantal aanbevolen optimalisaties dat momenteel actief, voltooid en gesloten is. |
Selecteer Alle bedreigingsscenario's weergeven om de volledige lijst met relevante bedreigingen, percentages actieve en aanbevolen analyseregels en dekkingsniveaus weer te geven.
Aanbevelingen voor optimalisatie weergeven en beheren
In Azure Portal worden aanbevelingen voor SOC-optimalisatie weergegeven op het tabblad OVERZICHT van SOC-optimalisatie>.
Voorbeeld:
Aanbevelingen voor SOC-optimalisatie worden elke 24 uur berekend. Elke optimalisatiekaart bevat de status, titel, de datum waarop deze is gemaakt, een beschrijving op hoog niveau en de werkruimte waarop deze van toepassing is.
Filteroptimalisaties
Filter de optimalisaties op basis van het optimalisatietype of zoek naar een specifieke optimalisatietitel met behulp van het zoekvak aan de zijkant. Optimalisatietypen zijn onder andere:
Dekking: Bevat aanbevelingen op basis van bedreigingen voor het toevoegen van beveiligingscontroles om hiaten in de dekking voor verschillende soorten aanvallen te helpen dichten.
Gegevenswaarde: bevat aanbevelingen die manieren voorstellen om uw gegevensgebruik te verbeteren voor het maximaliseren van de beveiligingswaarde van opgenomen gegevens of een beter gegevensplan voor uw organisatie voorstellen.
Optimalisatiedetails weergeven en actie ondernemen
Selecteer een van de volgende tabbladen, afhankelijk van de portal die u gebruikt:
Selecteer in elke optimalisatiekaart Details weergeven om een volledige beschrijving te zien van de observatie die tot de aanbeveling heeft geleid en de waarde die u in uw omgeving ziet wanneer die aanbeveling wordt geïmplementeerd.
Schuif omlaag naar de onderkant van het detailvenster voor een koppeling naar de locatie waar u de aanbevolen acties kunt uitvoeren. Voorbeeld:
- Als een optimalisatie aanbevelingen bevat voor het toevoegen van analyseregels, selecteert u Ga naar Content Hub.
- Als een optimalisatie aanbevelingen bevat voor het verplaatsen van een tabel naar basislogboeken, selecteert u Plan wijzigen.
Als u een analyseregelsjabloon installeert vanuit de Inhoudshub zonder dat de oplossing is geïnstalleerd, wordt alleen de geïnstalleerde sjabloon weergegeven in de oplossing.
Installeer de volledige oplossing om alle beschikbare inhoudsitems van de geselecteerde oplossing te bekijken. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Optimalisaties beheren
Optimalisatiestatussen zijn standaard actief. Wijzig hun statussen naarmate uw teams verder gaan met het trireren en implementeren van aanbevelingen.
Selecteer het menu Opties of selecteer Details weergeven om een van de volgende acties uit te voeren:
| Actie | Beschrijving |
|---|---|
| Voltooien | Voltooi een optimalisatie wanneer u elke aanbevolen actie hebt voltooid. Als er een wijziging in uw omgeving wordt gedetecteerd die de aanbeveling irrelevant maakt, wordt de optimalisatie automatisch voltooid en verplaatst naar het tabblad Voltooid . U kunt bijvoorbeeld een optimalisatie hebben die betrekking heeft op een eerder ongebruikte tabel. Als uw tabel nu wordt gebruikt in een nieuwe analyseregel, is de aanbeveling voor optimalisatie nu irrelevant. In dergelijke gevallen wordt een banner weergegeven op het tabblad Overzicht met het aantal automatisch voltooide optimalisaties sinds uw laatste bezoek. |
| Markeren als actief / markeren | Markeer een optimalisatie als actief of actief om andere teamleden op de hoogte te stellen waaraan u actief werkt. Gebruik deze twee statussen flexibel, maar consistent, indien nodig voor uw organisatie. |
| Negeren | Sluit een optimalisatie als u niet van plan bent de aanbevolen actie uit te voeren en deze niet meer in de lijst wilt zien. |
| Feedback geven | We nodigen u uit uw gedachten te delen over de aanbevolen acties met het Microsoft-team. Wanneer u uw feedback deelt, moet u ervoor zorgen dat u geen vertrouwelijke gegevens deelt. Zie Microsoft Privacyverklaring voor meer informatie. |
Voltooide en gesloten optimalisaties weergeven
Als u een specifieke optimalisatie hebt gemarkeerd als Voltooid of Gesloten, of als een optimalisatie automatisch wordt voltooid, wordt deze weergegeven op respectievelijk de tabbladen Voltooid en Gesloten .
Selecteer hier het menu Opties of selecteer Volledige details weergeven om een van de volgende acties uit te voeren:
De optimalisatie opnieuw activeren en terugsturen naar het tabblad Overzicht . Opnieuw geactiveerde optimalisaties worden herberekend om de meest bijgewerkte waarde en actie te bieden. Het opnieuw berekenen van deze details kan maximaal een uur duren. Wacht dus voordat u de details en aanbevolen acties opnieuw controleert.
Opnieuw geactiveerde optimalisaties kunnen ook rechtstreeks naar het tabblad Voltooid worden verplaatst als ze na het herberekenen van de details niet meer relevant zijn.
Geef meer feedback aan het Microsoft-team. Wanneer u uw feedback deelt, moet u ervoor zorgen dat u geen vertrouwelijke gegevens deelt. Zie Microsoft Privacyverklaring voor meer informatie.
SOC-optimalisatiegebruiksstroom
Deze sectie bevat een voorbeeldstroom voor het gebruik van SOC-optimalisaties vanuit Defender of Azure Portal:
Op de pagina SOC-optimalisatie begint u met het begrijpen van het dashboard:
- Bekijk de belangrijkste metrische gegevens voor de algehele optimalisatiestatus.
- Bekijk aanbevelingen voor optimalisatie voor gegevenswaarde en dekking op basis van bedreigingen.
Gebruik de aanbevelingen voor optimalisatie om tabellen met weinig gebruik te identificeren, wat aangeeft dat ze niet worden gebruikt voor detecties. Selecteer Volledige details weergeven om de grootte en kosten van ongebruikte gegevens te bekijken. Overweeg een van de volgende acties:
Voeg analyseregels toe om de tabel te gebruiken voor verbeterde beveiliging. Als u deze optie wilt gebruiken, selecteert u Ga naar de Inhoudshub om specifieke out-of-the-box analyseregelsjablonen te bekijken en te configureren die gebruikmaken van de geselecteerde tabel. In de Inhoudshub hoeft u niet te zoeken naar de relevante regel, omdat u rechtstreeks naar de relevante regel wordt gebracht.
Als voor nieuwe analyseregels extra logboekbronnen nodig zijn, kunt u overwegen deze op te nemen om de dekking van bedreigingen te verbeteren.
Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren en Bedreigingen detecteren, out-of-the-box.
Wijzig uw toezeggingslaag voor kostenbesparingen. Zie Kosten verlagen voor Microsoft Sentinel voor meer informatie.
Gebruik de aanbevelingen voor optimalisatie om de dekking tegen specifieke bedreigingen te verbeteren. Bijvoorbeeld voor een door mensen beheerde ransomware-optimalisatie:
Selecteer Volledige details weergeven om de huidige dekking en voorgestelde verbeteringen te bekijken.
Selecteer Alle verbetering van MITRE ATT&CK-technieken weergeven om in te zoomen en de relevante tactieken en technieken te analyseren, zodat u inzicht krijgt in de dekkingsverschillen.
Selecteer Ga naar Inhoudshub om alle aanbevolen beveiligingsinhoud weer te geven, die specifiek is gefilterd voor deze optimalisatie.
Nadat u nieuwe regels hebt geconfigureerd of wijzigingen hebt aangebracht, markeert u de aanbeveling als voltooid of laat u het systeem automatisch bijwerken.