Dokumentacja optymalizacji SOC zaleceń
Użyj zaleceń dotyczących optymalizacji SOC, aby pomóc w zamknięciu luk w zakresie pokrycia określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC pomagają zoptymalizować obszar roboczy Microsoft Sentinel bez konieczności poświęcania czasu przez zespoły SOC na ręczną analizę i badania.
Optymalizacje SOC usługi Microsoft Sentinel obejmują następujące typy zaleceń:
Optymalizacje oparte na zagrożeniach zalecają dodawanie mechanizmów kontroli zabezpieczeń, które ułatwiają zamykanie luk w zakresie pokrycia.
Optymalizacje wartości danych zalecają sposoby ulepszania użycia danych, takie jak lepszy plan danych dla organizacji.
Ten artykuł zawiera informacje na temat dostępnych zaleceń dotyczących optymalizacji SOC.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Optymalizacje wartości danych
Aby zoptymalizować stosunek kosztów do wartości zabezpieczeń, optymalizacja SOC powierzchnie rzadko używane łączniki danych lub tabele i sugeruje sposoby zmniejszenia kosztów tabeli lub zwiększenia jej wartości, w zależności od pokrycia. Ten typ optymalizacji jest również nazywany optymalizacją wartości danych.
Optymalizacje wartości danych patrzą tylko na rozliczane tabele, które pozyskały dane w ciągu ostatnich 30 dni.
W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC dla wartości danych:
| Obserwacja | Akcja |
|---|---|
| Tabela nie była używana przez reguły analityczne ani wykrycia w ciągu ostatnich 30 dni, ale była używana przez inne źródła, takie jak skoroszyty, zapytania dzienników, zapytania wyszukiwania zagrożeń. | Włączanie szablonów reguł analizy LUB Przechodzenie do dzienników podstawowych, jeśli tabela kwalifikuje się |
| Tabela nie była używana w ogóle w ciągu ostatnich 30 dni | Włączanie szablonów reguł analizy LUB Zatrzymywanie pozyskiwania danych lub archiwizowanie tabeli |
| Tabela była używana tylko przez usługę Azure Monitor | Włącz wszystkie odpowiednie szablony reguł analizy dla tabel z wartością zabezpieczeń LUB Przechodzenie do obszaru roboczego usługi Log Analytics bez zabezpieczeń |
Jeśli dla analizy zgodności z analizą zagrożeń wybrano tabelę UEBA lub regułę analizy zgodności analizy zagrożeń, optymalizacja SOC nie zaleca żadnych zmian w pozyskiwaniu danych.
Ważne
Podczas wprowadzania zmian w planach pozyskiwania zalecamy zawsze zapewnienie, że limity planów pozyskiwania są jasne i że objęte tabele nie są pozyskiwane ze względu na zgodność lub inne podobne przyczyny.
Optymalizacja oparta na zagrożeniach
Aby zoptymalizować wartość danych, optymalizacja SOC zaleca dodanie mechanizmów kontroli zabezpieczeń do środowiska w postaci dodatkowych wykryć i źródeł danych przy użyciu podejścia opartego na zagrożeniach.
Aby udostępnić zalecenia oparte na zagrożeniach, optymalizacja SOC analizuje pozyskane dzienniki i włączone reguły analizy oraz porównuje je z dziennikami i wykrywaniami wymaganymi do ochrony, wykrywania i reagowania na określone typy ataków. Ten typ optymalizacji jest również nazywany optymalizacją pokrycia i jest oparty na badaniach nad zabezpieczeniami firmy Microsoft. Optymalizacja SOC uwzględnia zarówno wykrywanie zdefiniowane przez użytkownika, jak i gotowe do użycia.
W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC oparte na zagrożeniach:
| Obserwacja | Akcja |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analizy na podstawie zagrożenia: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań, aby dopasować je do środowiska. Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń w usłudze Microsoft Sentinel. |
| Szablony są włączone, ale brakuje źródeł danych. | Połącz nowe źródła danych. |
| Nie ma istniejących wykryć ani źródeł danych. | Łączenie wykrywania i źródeł danych lub instalowanie rozwiązania. |
Powiązana zawartość
- Programowe używanie optymalizacji SOC (wersja zapoznawcza)
- Blog: optymalizacja SOC: odblokowywanie możliwości zarządzania zabezpieczeniami opartymi na precyzji