Referência de otimização SOC de recomendações
Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.
As otimizações do SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
As recomendações baseadas em ameaças sugerem adicionar controles de segurança que ajudam a fechar as lacunas de cobertura.
As recomendações de valor de dados sugerem maneiras de melhorar o uso de dados, como um plano de dados melhor para sua organização.
As recomendações de organizações semelhantes sugerem a ingestão de dados dos tipos de fontes usadas por organizações que têm tendências de ingestão e perfis do setor semelhantes aos seus.
Este artigo fornece uma referência das recomendações de otimização do SOC disponíveis.
Importante
O Microsoft Sentinel já está em disponibilidade geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para a versão prévia, o Microsoft Sentinel está disponível no portal do Defender sem uma licença do E5 ou o Microsoft Defender XDR. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.
Recomendações de otimização de valor de dados
Para otimizar sua relação custo/valor de segurança, a otimização do SOC mostra conectores de dados ou tabelas quase não usados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados analisam apenas as tabelas faturáveis que assimilaram dados nos últimos 30 dias.
A tabela a seguir lista as recomendações de otimização de SOC de valor de dados disponíveis:
| Observação | Ação |
|---|---|
| A tabela não foi usada por regras de análise ou detecções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de busca. | Ativar modelos de regra de análise OR Mova para logs básicos se a tabela estiver qualificada. |
| A tabela não foi usada nos últimos 30 dias. | Ativar modelos de regra de análise OR Interrompa a ingestão de dados ou arquive a tabela. |
| A tabela foi usada apenas pelo Azure Monitor. | Ativar todos os modelos de regra de análise relevantes para tabelas com valor de segurança OR Mover para um workspace do Log Analytics não relacionado à segurança. |
Se uma tabela for escolhida para UEBA ou uma regra de análise correspondente de inteligência contra ameaças, a otimização do SOC não recomendará nenhuma alteração na ingestão.
Importante
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites de seus planos de ingestão estejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Recomendações de otimização baseadas em ameaças
Para otimizar o valor dos dados, a otimização do SOC recomenda adicionar controles de segurança ao seu ambiente na forma de detecções e fontes de dados extras, usando uma abordagem baseada em ameaças. Esse tipo de otimização também é conhecido como otimização de cobertura e se baseia na pesquisa de segurança da Microsoft.
Para fornecer recomendações baseadas em ameaças, a otimização do SOC examina seus logs ingeridos e regras de análise habilitadas e os compara com os logs e detecções necessários para proteger, detectar e responder a tipos específicos de ataques.
As otimizações baseadas em ameaças consideram detecções predefinidas e definidas pelo usuário.
A tabela a seguir lista as recomendações de otimização de SOC baseadas em ameaças disponíveis:
| Observação | Ação |
|---|---|
| Existem fontes de dados, mas faltam detecções. | Ativar modelos de regra de análise com base na ameaça: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para se adequar ao seu ambiente. Para obter mais informações, consulte Detecção de ameaças no Microsoft Sentinel. |
| Os modelos estão ativados, mas as fontes de dados estão ausentes. | Conecte novas fontes de dados. |
| Não há detecções ou fontes de dados existentes. | Conecte detecções e fontes de dados ou instale uma solução. |
Recomendações de organizações semelhantes
A otimização do SOC usa aprendizado de máquina avançado para identificar tabelas que estão ausentes do seu workspace, mas são usadas por organizações com tendências de ingestão e perfis do setor semelhantes aos seus. Ele mostra como outras organizações usam essas tabelas e recomenda a você as fontes de dados relevantes, juntamente com as regras relacionadas, para melhorar sua cobertura de segurança.
| Observação | Ação |
|---|---|
| As fontes de log ingeridas por clientes semelhantes estão ausentes | Conecte as fontes de dados sugeridas. Esta recomendação não inclui:
|
Considerações
Nem todos os workspaces recebem recomendações de organizações semelhantes. Um workspace recebe essas recomendações somente se nosso modelo de aprendizado de máquina identificar semelhanças significativas com outras organizações e descobrir tabelas que eles têm, mas você não. Os SOCs em seus estágios iniciais ou de integração geralmente têm maior probabilidade de receber essas recomendações do que os SOCs com um nível mais alto de maturidade.
As recomendações são baseadas em modelos de aprendizado de máquina que dependem exclusivamente de informações de identificação organizacional (OII) e metadados do sistema. Os modelos nunca acessam ou analisam o conteúdo dos logs do cliente ou os ingerem em nenhum momento. Nenhum dado do cliente, conteúdo ou informações de identificação do usuário final (EUII) são expostos à análise.
Conteúdo relacionado
- Usando otimizações de SOC programaticamente (versão prévia)
- Blog: Otimização do SOC: aproveite o poder do gerenciamento de segurança controlado por precisão