Otimize suas operações de segurança
As equipes do centro de operações de segurança (SOC) procuram maneiras de melhorar os processos e os resultados e garantir que você tenha os dados necessários para lidar com os riscos sem custos extras de ingestão. As equipes de SOC querem ter certeza de que você tem todos os dados necessários para agir contra riscos, sem pagar por mais dados do que o necessário. Ao mesmo tempo, as equipes SOC também devem ajustar os controles de segurança à medida que as ameaças e as prioridades de negócios mudam, fazendo isso de forma rápida e eficiente para maximizar o retorno do investimento.
As otimizações SOC são recomendações acionáveis que revelam maneiras de otimizar seus controles de segurança, ganhando mais valor dos serviços de segurança da Microsoft com o passar do tempo. As recomendações ajudam a reduzir custos sem afetar as necessidades ou a cobertura do SOC e podem ajudá-lo a adicionar controles de segurança e dados onde necessário. Essas otimizações são adaptadas ao seu ambiente e baseadas em sua cobertura atual e cenário de ameaças.
Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.
Importante
O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização SOC no portal do Microsoft Defender. Se você quiser apenas uma demonstração, pule para o minuto 8:14.
Pré-requisitos
A otimização SOC usa funções e permissões padrão do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Para usar a otimização SOC no portal do Defender, integre o Microsoft Sentinel ao portal do Defender. Para obter mais informações, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Acesse a página de otimização SOC
Use uma das guias a seguir, dependendo se você está trabalhando no portal do Azure ou no portal do Defender. Quando seu espaço de trabalho é integrado para operações de segurança unificadas, as otimizações de SOC incluem cobertura de todos os serviços de segurança da Microsoft.
No Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Otimização SOC.
Compreender as métricas de visão geral da otimização SOC
As métricas de otimização mostradas na parte superior da guia Visão geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e mudarão ao longo do tempo à medida que você implementa recomendações.
As métricas suportadas na parte superior da guia Visão geral incluem:
| Title | Description |
|---|---|
| Dados ingeridos nos últimos 3 meses | Mostra o total de dados ingeridos em seu espaço de trabalho nos últimos três meses. |
| Status das otimizações | Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento. |
Selecione Ver todos os cenários de ameaça para visualizar a lista completa de ameaças relevantes, as porcentagens de regras de análise ativas e recomendadas e os níveis de cobertura.
Visualizar e gerenciar recomendações de otimização
No portal do Azure, as recomendações de otimização SOC estão listadas na guia Visão geral da otimização > SOC.
Por exemplo:
As recomendações de otimização SOC são calculadas a cada 24 horas. Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o espaço de trabalho ao qual se aplica.
Otimizações de filtro
Filtre as otimizações com base no tipo de otimização ou procure um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:
Cobertura: Inclui recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.
Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso de dados para maximizar o valor de segurança dos dados ingeridos ou sugerem um plano de dados melhor para sua organização.
Veja os detalhes da otimização e tome medidas
Selecione uma das seguintes guias, dependendo do portal que você está usando:
Em cada cartão de otimização, selecione Exibir detalhes para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.
Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:
- Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de conteúdo.
- Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.
Se você instalar um modelo de regra de análise do hub de conteúdo sem a solução instalada, somente o modelo instalado aparecerá na solução.
Instale a solução completa para ver todos os itens de conteúdo disponíveis da solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Gerenciar otimizações
Por padrão, os status de otimização são Ativo. Altere seus status à medida que suas equipes progridem na triagem e na implementação de recomendações.
Selecione o menu de opções ou selecione Exibir detalhes para executar uma das seguintes ações:
| Ação | Descrição |
|---|---|
| Concluída | Conclua uma otimização quando concluir cada ação recomendada. Se for detetada uma alteração no seu ambiente que torne a recomendação irrelevante, a otimização será automaticamente concluída e movida para a guia Concluído . Por exemplo, você pode ter uma otimização relacionada a uma tabela não utilizada anteriormente. Se sua tabela agora é usada em uma nova regra de análise, a recomendação de otimização agora é irrelevante. Nesses casos, um banner é exibido na guia Visão geral com o número de otimizações concluídas automaticamente desde sua última visita. |
| Marcar como em andamento / Marcar como ativo | Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela. Use esses dois status de forma flexível, mas consistente, conforme necessário para sua organização. |
| Dispensar | Dispense uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista. |
| Enviar comentários | Convidamo-lo a partilhar a sua opinião sobre as ações recomendadas com a equipa da Microsoft! Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft. |
Ver otimizações concluídas e descartadas
Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização for concluída automaticamente, ela será listada nas guias Concluída e Descartada, respectivamente.
A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:
Reative a otimização, enviando-a de volta para a guia Visão geral . As otimizações reativadas são recalculadas para fornecer o valor e a ação mais atualizados. Recalcular esses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.
As otimizações reativadas também podem ser movidas diretamente para a guia Concluído se, depois de recalcular os detalhes, elas não forem mais relevantes.
Forneça mais comentários à equipe da Microsoft. Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.
Fluxo de uso de otimização de SOC
Esta seção fornece um fluxo de exemplo para usar otimizações SOC, do Defender ou do portal do Azure:
Na página de otimização SOC, comece entendendo o painel:
- Observe as principais métricas para o status geral de otimização.
- Analise as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.
Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para deteções. Selecione Ver detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:
Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar essa opção, selecione Ir para o Hub de Conteúdo para exibir e configurar modelos de regras analíticas prontos para uso específicos que usam a tabela selecionada. No hub de conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente para a regra relevante.
Se novas regras analíticas exigirem fontes de log extras, considere ingeri-las para melhorar a cobertura de ameaças.
Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detetar ameaças prontas para uso.
Altere seu nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.
Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:
Selecione Ver detalhes completos para ver a cobertura atual e as melhorias sugeridas.
Selecione Ver todas as melhorias da técnica MITRE ATT&CK para detalhar e analisar as táticas e técnicas relevantes, ajudando-o a entender a lacuna de cobertura.
Selecione Ir para o hub de conteúdo para visualizar todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.
Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou deixe o sistema atualizar automaticamente.