Оптимизация операций безопасности
Команды центра безопасности (SOC) ищут способы улучшения процессов и результатов и обеспечивают наличие данных, необходимых для решения рисков без дополнительных затрат на прием. Команды SOC хотят убедиться, что у вас есть все необходимые данные для борьбы с рисками, не оплачивая больше данных, чем требуется. В то же время команды SOC также должны настраивать элементы управления безопасностью в качестве угроз и бизнес-приоритетов изменения, что делает это быстро и эффективно, чтобы максимально повысить рентабельность инвестиций.
Оптимизация SOC — это практические рекомендации, которые позволяют оптимизировать элементы управления безопасностью, получать большее значение от служб безопасности Майкрософт по мере того как время продолжается. Рекомендации помогут сократить затраты, не влияя на потребности или охват SOC, и помочь вам добавить элементы управления безопасностью и данные, где это необходимо. Эти оптимизации адаптированы к вашей среде и основаны на текущем охвате и ландшафте угроз.
Используйте рекомендации по оптимизации SOC, чтобы помочь вам закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не вынуждая группы по SOC тратить время на выполнение анализа и исследований в ручном режиме.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Просмотрите следующее видео, чтобы просмотреть обзор и демонстрацию оптимизации SOC на портале Microsoft Defender. Если вы просто хотите демонстрацию, перейдите к минуте 8:14.
Необходимые компоненты
Оптимизация SOC использует стандартные роли и разрешения Microsoft Sentinel. Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.
Чтобы использовать оптимизацию SOC на портале Defender, перейдите на портал Microsoft Sentinel. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel" к порталу Microsoft Defender.
Доступ к странице оптимизации SOC
Используйте одну из следующих вкладок в зависимости от того, работаете ли вы на портале портал Azure или Defender. При подключении рабочей области для унифицированных операций безопасности оптимизация SOC включает покрытие из служб безопасности Майкрософт.
В Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите оптимизацию SOC.
Общие сведения о метриках оптимизации SOC
Метрики оптимизации, отображаемые в верхней части вкладки "Обзор ", дают вам общее представление о том, насколько эффективно вы используете данные, и изменится с течением времени при реализации рекомендаций.
Поддерживаемые метрики в верхней части вкладки "Обзор " включают:
| Заголовок | Description |
|---|---|
| Прием данных за последние 3 месяца | Отображает общий объем данных, которые будут приемированы в рабочей области за последние три месяца. |
| Состояние оптимизации | Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены. |
Выберите "Просмотреть все сценарии угроз" , чтобы просмотреть полный список соответствующих угроз, проценты активных и рекомендуемых правил аналитики и уровни покрытия.
Просмотр рекомендаций по оптимизации и управление ими
В портал Azure рекомендации по оптимизации SOC перечислены на вкладке "Обзор оптимизации > SOC".
Например:
Рекомендации по оптимизации SOC вычисляются каждые 24 часа. Каждая карточка оптимизации включает состояние, название, дату его создания, высокоуровневое описание и рабочую область, к ней относится.
Оптимизация фильтров
Отфильтруйте оптимизацию на основе типа оптимизации или выполните поиск определенного заголовка оптимизации с помощью поля поиска на стороне. Типы оптимизации включают:
Охват: включает рекомендации по добавлению средств управления безопасностью для закрытия пробелов в охвате для различных типов атак.
Значение данных. Включает рекомендации, которые предлагают способы улучшения использования данных для максимизации ценности безопасности от приема данных или предложения лучшего плана данных для вашей организации.
Просмотр сведений о оптимизации и принятие действий
Выберите одну из следующих вкладок в зависимости от используемого портала:
На каждой карточке оптимизации выберите "Просмотреть сведения" , чтобы увидеть полное описание наблюдения, которое привело к рекомендации, и значение, которое отображается в вашей среде при реализации этой рекомендации.
Прокрутите вниз до нижней части области сведений ссылку, в которой можно выполнить рекомендуемые действия. Например:
- Если оптимизация содержит рекомендации по добавлению правил аналитики, выберите "Перейти в Центр содержимого".
- Если оптимизация содержит рекомендации по перемещению таблицы в базовые журналы, выберите "Изменить план".
Если вы устанавливаете шаблон правила аналитики из концентратора контента без установленного решения, в решении отображается только установленный шаблон.
Установите полное решение, чтобы просмотреть все доступные элементы содержимого из выбранного решения. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".
Управление оптимизацией
По умолчанию состояния оптимизации являются активными. Измените их состояние по мере выполнения команд с помощью трех и реализации рекомендаций.
Выберите меню параметров или выберите сведения о представлении, чтобы выполнить одно из следующих действий:
| Действие | Description |
|---|---|
| Завершен | Выполните оптимизацию после завершения каждого рекомендуемого действия. Если в вашей среде обнаружено изменение, которое делает рекомендацию неуместным, оптимизация будет автоматически завершена и перемещена на вкладку "Завершено ". Например, у вас может быть оптимизация, связанная с ранее неиспользуемой таблицей. Если таблица теперь используется в новом правиле аналитики, рекомендация по оптимизации теперь не имеет значения. В таких случаях баннер отображается на вкладке "Обзор " с количеством автоматически завершенных оптимизаций с момента последнего визита. |
| Пометить как выполняющиеся / отметки как активные | Пометьте оптимизацию как выполняющуюся или активную, чтобы уведомить других участников команды о том, что вы активно работаете над ней. Используйте эти два состояния гибко, но последовательно, по мере необходимости для вашей организации. |
| Закрыть | Отклоните оптимизацию, если вы не планируете принять рекомендуемое действие и больше не хотите видеть его в списке. |
| Отправить отзыв | Мы предлагаем вам поделиться своими мыслями о рекомендуемых действиях с командой Майкрософт! При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в разделе Заявление о конфиденциальности корпорации Майкрософт. |
Просмотр завершенных и отклоненных оптимизаций
Если вы помечаете определенную оптимизацию как завершенную или уволенную или автоматически завершенную оптимизацию, она отображается на вкладках "Завершено" и "Отклонено" соответственно.
В этом разделе выберите меню параметров или выберите "Просмотреть полные сведения ", чтобы выполнить одно из следующих действий:
Повторно активируйте оптимизацию, отправив ее обратно на вкладку "Обзор ". Повторно активируемые оптимизации пересчитываются для предоставления наиболее обновленного значения и действия. Пересчет этих сведений может занять до часа, поэтому дождитесь проверки сведений и рекомендуемых действий еще раз.
При повторной активации оптимизации можно также перейти непосредственно на вкладку "Завершено ", если после пересчета сведений они больше не относятся.
Укажите дополнительные отзывы в команде Майкрософт. При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в разделе Заявление о конфиденциальности корпорации Майкрософт.
Поток использования оптимизации SOC
В этом разделе представлен пример потока для использования оптимизаций SOC из Defender или портал Azure:
На странице оптимизации SOC начните с понимания панели мониторинга:
- Просмотрите основные метрики для общего состояния оптимизации.
- Ознакомьтесь с рекомендациями по оптимизации для значения данных и охвата на основе угроз.
Используйте рекомендации по оптимизации для идентификации таблиц с низким уровнем использования, указывая, что они не используются для обнаружения. Выберите "Просмотреть полные сведения" , чтобы просмотреть размер и стоимость неиспользуемых данных. Рассмотрим одно из следующих действий:
Добавьте правила аналитики для использования таблицы для расширенной защиты. Чтобы использовать этот параметр, выберите "Перейти в Центр контента", чтобы просмотреть и настроить определенные шаблоны правил аналитики вне поля, использующие выбранную таблицу. В центре контента вам не нужно искать соответствующее правило, так как вы непосредственно перейдете к соответствующему правилу.
Если для новых правил аналитики требуются дополнительные источники журналов, рассмотрите возможность приема их для улучшения покрытия угроз.
Дополнительные сведения см. в статье "Обнаружение и управление содержимое Microsoft Sentinel вне поля" и "Обнаружение угроз" вне поля.
Измените уровень обязательств для экономии затрат. Дополнительные сведения см. в разделе "Сокращение затрат на Microsoft Sentinel".
Используйте рекомендации по оптимизации для повышения охвата конкретных угроз. Например, для оптимизации программ-шантажистов, управляемых человеком:
Выберите "Просмотреть полные сведения" , чтобы просмотреть текущее покрытие и предлагаемые улучшения.
Выберите "Просмотреть все улучшения метода MITRE ATT&CK", чтобы детализировать и проанализировать соответствующие тактики и методы, помогая вам понять разрыв покрытия.
Выберите "Перейти к центру контента", чтобы просмотреть все рекомендуемое содержимое безопасности, отфильтрованное специально для этой оптимизации.
После настройки новых правил или внесения изменений пометьте рекомендацию как завершенную или допустите автоматическое обновление системы.