Referência de recomendações de otimização SOC
Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.
As otimizações SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
As recomendações baseadas em ameaças sugerem a adição de controlos de segurança que o ajudam a colmatar lacunas de cobertura.
As recomendações de valor de dados sugerem maneiras de melhorar o uso de dados, como um melhor plano de dados para sua organização.
Recomendações de organizações semelhantes sugerem a ingestão de dados dos tipos de fontes usadas por organizações que têm tendências de ingestão e perfis de setor semelhantes aos seus.
Este artigo fornece uma referência das recomendações de otimização de SOC disponíveis.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Recomendações de otimização do valor dos dados
Para otimizar sua relação custo/valor de segurança, a otimização SOC apresenta conectores de dados ou tabelas pouco utilizados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados examinam apenas tabelas faturáveis que ingeriram dados nos últimos 30 dias.
A tabela a seguir lista o valor de dados disponível recomendações de otimização SOC:
| Observação | Ação |
|---|---|
| A tabela não foi usada por regras de análise ou deteções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de caça. | Ativar modelos de regras de análise OU Mover para logs básicos se a tabela for elegível. |
| A tabela não foi usada nos últimos 30 dias. | Ativar modelos de regras de análise OU Pare a ingestão de dados ou arquive a tabela. |
| A tabela foi usada apenas pelo Azure Monitor. | Ative todos os modelos de regras de análise relevantes para tabelas com valor de segurança OU Mover para um espaço de trabalho do Log Analytics que não seja de segurança. |
Se uma tabela for escolhida para UEBA ou uma regra de análise de correspondência de inteligência de ameaça, a otimização SOC não recomenda nenhuma alteração na ingestão.
Importante
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites dos seus planos de ingestão sejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Recomendações de otimização baseadas em ameaças
Para otimizar o valor dos dados, a otimização SOC recomenda adicionar controles de segurança ao seu ambiente na forma de deteções e fontes de dados extras, usando uma abordagem baseada em ameaças. Esse tipo de otimização também é conhecido como otimização de cobertura e é baseado na pesquisa de segurança da Microsoft.
Para fornecer recomendações baseadas em ameaças, a otimização SOC analisa seus logs ingeridos e regras de análise habilitadas e os compara com os logs e deteções necessários para proteger, detetar e responder a tipos específicos de ataques.
As otimizações baseadas em ameaças consideram deteções predefinidas e definidas pelo usuário.
A tabela a seguir lista as recomendações de otimização de SOC baseadas em ameaças disponíveis:
| Observação | Ação |
|---|---|
| Existem fontes de dados, mas faltam deteções. | Ativar modelos de regra de análise com base na ameaça: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para se adequar ao seu ambiente. Para obter mais informações, consulte Deteção de ameaças no Microsoft Sentinel. |
| Os modelos estão ativados, mas faltam fontes de dados. | Conecte novas fontes de dados. |
| Não existem deteções ou fontes de dados existentes. | Conecte deteções e fontes de dados ou instale uma solução. |
Recomendações de organizações semelhantes
A otimização SOC usa aprendizado de máquina avançado para identificar tabelas que estão faltando em seu espaço de trabalho, mas são usadas por organizações com tendências de ingestão e perfis de setor semelhantes aos seus. Ele mostra como outras organizações usam essas tabelas e recomenda as fontes de dados relevantes, juntamente com as regras relacionadas, para melhorar sua cobertura de segurança.
| Observação | Ação |
|---|---|
| Fontes de log ingeridas por clientes semelhantes estão ausentes | Conecte as fontes de dados sugeridas. Esta recomendação não inclui:
|
Considerações
Nem todos os espaços de trabalho recebem recomendações semelhantes de organizações. Um espaço de trabalho recebe essas recomendações somente se nosso modelo de aprendizado de máquina identificar semelhanças significativas com outras organizações e descobrir tabelas que elas têm, mas você não tem. As SOC nas suas fases iniciais ou de integração são geralmente mais propensas a receber estas recomendações do que as SOC com um nível mais elevado de maturidade.
As recomendações são baseadas em modelos de aprendizado de máquina que dependem exclusivamente de Informações Identificáveis Organizacionais (OII) e metadados do sistema. Os modelos nunca acessam ou analisam o conteúdo dos logs de clientes ou os ingerem em nenhum momento. Nenhum dado de cliente, conteúdo ou Informações de Identificação do Usuário Final (EUII) é exposto à análise.
Conteúdos relacionados
- Usando otimizações SOC programaticamente (Visualização)
- Blog: Otimização SOC: desbloqueie o poder do gerenciamento de segurança orientado por precisão