Dokumentacja optymalizacji SOC zaleceń
Użyj zaleceń dotyczących optymalizacji SOC, aby pomóc w zamknięciu luk w zakresie pokrycia określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC pomagają zoptymalizować obszar roboczy Microsoft Sentinel bez konieczności poświęcania czasu przez zespoły SOC na ręczną analizę i badania.
Optymalizacje SOC usługi Microsoft Sentinel obejmują następujące typy zaleceń:
Zalecenia oparte na zagrożeniach sugerują dodanie mechanizmów kontroli zabezpieczeń, które ułatwiają zamykanie luk w zakresie pokrycia.
Rekomendacje dotyczące wartości danych sugerują sposoby ulepszania użycia danych, takie jak lepszy plan danych dla organizacji.
Podobne zalecenia organizacji sugerują pozyskiwanie danych z typów źródeł używanych przez organizacje, które mają podobne trendy pozyskiwania i profile branżowe do Twoich.
Ten artykuł zawiera informacje na temat dostępnych zaleceń dotyczących optymalizacji SOC.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Zalecenia dotyczące optymalizacji wartości danych
Aby zoptymalizować współczynnik wartości kosztów/zabezpieczeń, optymalizacja SOC powierzchnie rzadko używane łączniki danych lub tabele i sugeruje sposoby zmniejszenia kosztów tabeli lub zwiększenia jej wartości, w zależności od pokrycia. Ten typ optymalizacji jest również nazywany optymalizacją wartości danych.
Optymalizacje wartości danych patrzą tylko na rozliczane tabele, które pozyskały dane w ciągu ostatnich 30 dni.
W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC dla wartości danych:
| Obserwacja | Akcja |
|---|---|
| Tabela nie była używana przez reguły analizy ani wykrycia w ciągu ostatnich 30 dni, ale była używana przez inne źródła, takie jak skoroszyty, zapytania dzienników, zapytania wyszukiwania zagrożeń. | Włączanie szablonów reguł analizy LUB Przejdź do podstawowych dzienników, jeśli tabela kwalifikuje się. |
| Tabela nie była używana w ogóle w ciągu ostatnich 30 dni. | Włączanie szablonów reguł analizy LUB Zatrzymaj pozyskiwanie danych lub zarchiwizuj tabelę. |
| Tabela była używana tylko przez usługę Azure Monitor. | Włącz wszystkie odpowiednie szablony reguł analizy dla tabel z wartością zabezpieczeń LUB Przejdź do obszaru roboczego usługi Log Analytics bez zabezpieczeń. |
Jeśli dla analizy zgodności z analizą zagrożeń wybrano tabelę UEBA lub regułę analizy zgodności analizy zagrożeń, optymalizacja SOC nie zaleca żadnych zmian w pozyskiwaniu danych.
Ważne
Podczas wprowadzania zmian w planach pozyskiwania zalecamy zawsze zapewnienie, że limity planów pozyskiwania są jasne i że objęte tabele nie są pozyskiwane ze względu na zgodność lub inne podobne przyczyny.
Zalecenia dotyczące optymalizacji opartej na zagrożeniach
Aby zoptymalizować wartość danych, optymalizacja SOC zaleca dodanie mechanizmów kontroli zabezpieczeń do środowiska w postaci dodatkowych wykryć i źródeł danych przy użyciu podejścia opartego na zagrożeniach. Ten typ optymalizacji jest również nazywany optymalizacją pokrycia i jest oparty na badaniach nad zabezpieczeniami firmy Microsoft.
Aby udostępnić zalecenia oparte na zagrożeniach, optymalizacja SOC analizuje pozyskane dzienniki i włączone reguły analizy oraz porównuje je z dziennikami i wykrywaniami wymaganymi do ochrony, wykrywania i reagowania na określone typy ataków.
Optymalizacje oparte na zagrożeniach uwzględniają zarówno wstępnie zdefiniowane, jak i zdefiniowane przez użytkownika wykrywanie.
W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC oparte na zagrożeniach:
| Obserwacja | Akcja |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analizy na podstawie zagrożenia: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań, aby dopasować je do środowiska. Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń w usłudze Microsoft Sentinel. |
| Szablony są włączone, ale brakuje źródeł danych. | Połącz nowe źródła danych. |
| Nie ma istniejących wykryć ani źródeł danych. | Łączenie wykrywania i źródeł danych lub instalowanie rozwiązania. |
Zalecenia dotyczące podobnych organizacji
Optymalizacja SOC używa zaawansowanego uczenia maszynowego do identyfikowania tabel, których brakuje w obszarze roboczym, ale są używane przez organizacje z podobnymi trendami pozyskiwania i profilami branżowymi. Pokazuje ona, jak inne organizacje korzystają z tych tabel i zaleca korzystanie z odpowiednich źródeł danych wraz z powiązanymi regułami w celu poprawy pokrycia zabezpieczeń.
| Obserwacja | Akcja |
|---|---|
| Brak źródeł dzienników pozyskanych przez podobnych klientów | Połącz sugerowane źródła danych. To zalecenie nie obejmuje:
|
Kwestie wymagające rozważenia
Nie wszystkie obszary robocze uzyskują podobne rekomendacje organizacji. Obszar roboczy otrzymuje te zalecenia tylko wtedy, gdy nasz model uczenia maszynowego identyfikuje znaczące podobieństwa z innymi organizacjami i odnajduje tabele, które mają, ale nie. SoC we wczesnych lub etapach dołączania są na ogół bardziej prawdopodobne, aby otrzymywać te zalecenia niż SOC z wyższym poziomem dojrzałości.
Rekomendacje są oparte na modelach uczenia maszynowego, które opierają się wyłącznie na danych identyfikacyjnych organizacji (OII) i metadanych systemu. Modele nigdy nie uzyskują dostępu do zawartości dzienników klientów ani nie analizują ich ani nie pozyskują ich w żadnym momencie. Do analizy nie są udostępniane żadne dane klienta, zawartość ani dane osobowe użytkownika końcowego (EUII).
Powiązana zawartość
- Programowe używanie optymalizacji SOC (wersja zapoznawcza)
- Blog: optymalizacja SOC: odblokowywanie możliwości zarządzania zabezpieczeniami opartymi na precyzji