SOC-optimalisatiereferentie van aanbevelingentypen
Gebruik SOC-optimalisatieaanbeveling om hiaten in de dekking tegen specifieke bedreigingen te sluiten en uw opnamepercentages aan te scherpen tegen gegevens die geen beveiligingswaarde bieden. Met SOC-optimalisaties kunt u uw Microsoft Sentinel-werkruimte optimaliseren zonder dat uw SOC-teams tijd besteden aan handmatige analyse en onderzoek.
Microsoft Sentinel SOC-optimalisaties omvatten de volgende typen aanbevelingen:
Aanbevelingen op basis van bedreigingen stellen voor om beveiligingscontroles toe te voegen waarmee u hiaten in de dekking kunt sluiten.
Aanbevelingen voor gegevenswaarden stellen manieren voor om uw gegevensgebruik te verbeteren, zoals een beter gegevensplan voor uw organisatie.
Vergelijkbare aanbevelingen van organisaties suggereren het opnemen van gegevens uit de typen bronnen die worden gebruikt door organisaties die vergelijkbare opnametrends en brancheprofielen hebben.
Dit artikel bevat een gedetailleerde verwijzing naar de typen aanbevelingen voor SOC-optimalisatie die beschikbaar zijn.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar binnen het geïntegreerde beveiligingsbewerkingsplatform van Microsoft in de Microsoft Defender-portal. Voor preview is Microsoft Sentinel beschikbaar in de Defender-portal zonder Microsoft Defender XDR of een E5-licentie. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Aanbevelingen voor optimalisatie van gegevenswaarden
Om de verhouding tussen kosten/beveiligingswaarden te optimaliseren, worden nauwelijks gegevensconnectors of tabellen door SOC-optimalisatie gebruikt en worden manieren voorgesteld om de kosten van een tabel te verlagen of de waarde ervan te verbeteren, afhankelijk van uw dekking. Dit type optimalisatie wordt ook wel optimalisatie van gegevenswaarden genoemd.
Optimalisaties van gegevenswaarden kijken alleen naar factureerbare tabellen die gegevens in de afgelopen 30 dagen hebben opgenomen.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie van gegevenswaarden:
| Type observatie | Actie |
|---|---|
| De tabel is niet gebruikt door analyseregels of detecties in de afgelopen 30 dagen, maar is gebruikt door andere bronnen, zoals werkmappen, logboekquery's, opsporingsquery's. | Sjablonen voor analyseregels inschakelen OF Ga naar hulplogboeken (preview) of basislogboeken als de tabel in aanmerking komt. |
| De tabel is in de afgelopen 30 dagen helemaal niet gebruikt. | Sjablonen voor analyseregels inschakelen OF Stop de gegevensopname en verwijder de tabel of verplaats de tabel naar langetermijnretentie. |
| De tabel is alleen gebruikt door Azure Monitor. | Relevante analyseregelsjablonen voor tabellen met beveiligingswaarde inschakelen OF Ga naar een Log Analytics-werkruimte zonder beveiliging. |
Als een tabel wordt gekozen voor UEBA of een regel voor overeenkomende analyseregels voor bedreigingsinformatie, raadt SOC-optimalisatie geen wijzigingen aan in opname.
Belangrijk
Wanneer u wijzigingen aanbrengt in opnameplannen, raden we u altijd aan ervoor te zorgen dat de limieten van uw opnameplannen duidelijk zijn en dat de betrokken tabellen niet worden opgenomen om naleving of andere vergelijkbare redenen.
Aanbevelingen voor optimalisatie op basis van bedreigingen
Om de gegevenswaarde te optimaliseren, raadt SOC-optimalisatie aan om beveiligingscontroles toe te voegen aan uw omgeving in de vorm van extra detecties en gegevensbronnen, met behulp van een benadering op basis van bedreigingen. Dit optimalisatietype wordt ook wel dekkingsoptimalisatie genoemd en is gebaseerd op het beveiligingsonderzoek van Microsoft.
Om aanbevelingen op basis van bedreigingen te bieden, kijkt SOC-optimalisatie naar uw opgenomen logboeken en ingeschakelde analyseregels en vergelijkt deze met de logboeken en detecties die nodig zijn om specifieke typen aanvallen te beveiligen, te detecteren en erop te reageren.
Optimalisaties op basis van bedreigingen houden rekening met zowel vooraf gedefinieerde als door de gebruiker gedefinieerde detecties.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie op basis van bedreigingen:
| Type observatie | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Schakel analyseregelsjablonen in op basis van de bedreiging: maak een regel met behulp van een analyseregelsjabloon en pas de naam, beschrijving en querylogica aan op basis van uw omgeving. Zie Detectie van bedreigingen in Microsoft Sentinel voor meer informatie. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Nieuwe gegevensbronnen verbinden. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Maak verbinding met detecties en gegevensbronnen of installeer een oplossing. |
Aanbevelingen voor vergelijkbare organisaties
SOC-optimalisatie maakt gebruik van geavanceerde machine learning om tabellen te identificeren die ontbreken in uw werkruimte, maar worden gebruikt door organisaties met vergelijkbare opnametrends en brancheprofielen. Het laat zien hoe andere organisaties deze tabellen gebruiken en u de relevante gegevensbronnen, samen met gerelateerde regels, aanbevelen om uw beveiligingsdekking te verbeteren.
| Type observatie | Actie |
|---|---|
| Logboekbronnen die door vergelijkbare klanten zijn opgenomen, ontbreken | Verbind de voorgestelde gegevensbronnen. Deze aanbeveling bevat niet:
|
Overwegingen
Niet alle werkruimten krijgen vergelijkbare aanbevelingen van organisaties. Een werkruimte ontvangt deze aanbevelingen alleen als ons machine learning-model aanzienlijke overeenkomsten identificeert met andere organisaties en tabellen detecteert die ze hebben, maar u niet. SOC's in hun vroege of onboardingfasen krijgen over het algemeen meer kans om deze aanbevelingen te ontvangen dan SOC's met een hoger volwassenheidsniveau.
Aanbevelingen zijn gebaseerd op machine learning-modellen die uitsluitend afhankelijk zijn van organisatieidentificeerbare informatie (OII) en systeemmetagegevens. De modellen hebben nooit toegang tot of analyse van de inhoud van klantlogboeken of nemen ze op elk gewenst moment op. Er worden geen klantgegevens, inhoud of EUII (End User Identifiable Information) weergegeven voor de analyse.
Gerelateerde inhoud
- SOC-optimalisaties programmatisch gebruiken (preview)
- Blog: SOC-optimalisatie: de kracht van precisiegestuurd beveiligingsbeheer ontgrendelen