Справочник по оптимизации SOC типов рекомендаций
Используйте рекомендации по оптимизации SOC, чтобы помочь вам закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не вынуждая группы по SOC тратить время на выполнение анализа и исследований в ручном режиме.
Оптимизация SOC Microsoft Sentinel включает следующие типы рекомендаций:
Рекомендации на основе угроз предлагают добавить элементы управления безопасностью, которые помогают закрыть пробелы в охвате.
Рекомендации по значению данных предлагают способы улучшения использования данных, например лучшего плана данных для вашей организации.
Аналогичные рекомендации организаций предлагают прием данных из типов источников, используемых организациями, которые имеют аналогичные тенденции приема и отраслевые профили для ваших.
В этой статье приведены подробные сведения о типах доступных рекомендаций по оптимизации SOC.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Рекомендации по оптимизации значений данных
Чтобы оптимизировать соотношение стоимости и безопасности, оптимизация SOC вряд ли использует соединители данных или таблицы, и предлагает способы снижения стоимости таблицы или повышения его стоимости в зависимости от вашего покрытия. Этот тип оптимизации также называется оптимизацией значений данных.
Оптимизация значений данных просматривает только оплачиваемые таблицы, которые за последние 30 дней были приема данных.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации значения данных SOC:
| Тип наблюдения | Действие |
|---|---|
| Таблица не использовалась правилами аналитики или обнаружениями за последние 30 дней, но использовалась другими источниками, такими как книги, запросы журналов, поисковые запросы. | Включение шаблонов правил аналитики ИЛИ Перейдите к вспомогательным журналам (предварительная версия) или базовым журналам , если таблица имеет право. |
| Таблица не использовалась вообще за последние 30 дней. | Включение шаблонов правил аналитики ИЛИ Остановите прием данных и удалите таблицу или переместите таблицу в долгосрочное хранение. |
| Таблица использовалась только в Azure Monitor. | Включение всех соответствующих шаблонов правил аналитики для таблиц со значением безопасности ИЛИ Перейдите в рабочую область Log Analytics, не относясь к безопасности. |
Если таблица выбрана для UEBA или правила аналитики угроз, оптимизация SOC не рекомендует никаких изменений в приеме.
Внимание
При внесении изменений в планы приема мы всегда рекомендуем убедиться, что ограничения планов приема понятны, и что затронутые таблицы не будут приниматься по соответствию или другим аналогичным причинам.
Рекомендации по оптимизации на основе угроз
Чтобы оптимизировать значение данных, оптимизация SOC рекомендует добавлять элементы управления безопасностью в среду в виде дополнительных обнаружений и источников данных, используя подход на основе угроз. Этот тип оптимизации также называется оптимизацией покрытия и основан на исследованиях по безопасности Майкрософт.
Чтобы предоставить рекомендации на основе угроз, оптимизация SOC просматривает журналы приема и правила аналитики, а также сравнивает их с журналами и обнаружениями, необходимыми для защиты, обнаружения и реагирования на определенные типы атак.
Оптимизации на основе угроз рассматриваются как предопределенные, так и определяемые пользователем обнаружения.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC на основе угроз:
| Тип наблюдения | Действие |
|---|---|
| Существуют источники данных, но обнаружения отсутствуют. | Включите шаблоны правил аналитики на основе угрозы: создайте правило с помощью шаблона правила аналитики и настройте имя, описание и логику запроса, чтобы соответствовать вашей среде. Дополнительные сведения см. в разделе "Обнаружение угроз" в Microsoft Sentinel. |
| Шаблоны включены, но отсутствуют источники данных. | Подключение новых источников данных. |
| Нет существующих обнаружений или источников данных. | Подключите обнаружения и источники данных или установите решение. |
Рекомендации аналогичных организаций
Оптимизация SOC использует расширенное машинное обучение для идентификации таблиц, которые отсутствуют в рабочей области, но используются организациями с аналогичными тенденциями приема и отраслевыми профилями для ваших. В нем показано, как другие организации используют эти таблицы и рекомендуют вам соответствующие источники данных, а также связанные правила для улучшения покрытия безопасности.
| Тип наблюдения | Действие |
|---|---|
| Источники журналов, принятые аналогичными клиентами, отсутствуют | Подключите предлагаемые источники данных. Эта рекомендация не включает:
|
Рекомендации
Не все рабочие области получают аналогичные рекомендации организаций. Рабочая область получает эти рекомендации только в том случае, если модель машинного обучения определяет значительные сходства с другими организациями и обнаруживает таблицы, которые у них нет. SoCs на ранних стадиях или стадиях адаптации, как правило, чаще получают эти рекомендации, чем SOCs с более высоким уровнем зрелости.
Рекомендации основаны на моделях машинного обучения, которые полагаются исключительно на информацию, определяемую организацией (OII) и системные метаданные. Модели никогда не обращаются к содержимому журналов клиентов или не получают их в любой момент. Данные клиента, содержимое или определяемые пользователем сведения (EUII) не предоставляются анализу.
Связанный контент
- Использование оптимизаций SOC программным способом (предварительная версия)
- Блог: оптимизация SOC: разблокировка возможностей управления безопасностью на основе точности