REFERENS för SOC-optimering av rekommendationer
Använd rekommendationer för SOC-optimering för att hjälpa dig att minska täckningsluckorna mot specifika hot och skärpa dina inmatningshastigheter mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel-arbetsyta, utan att SOC-teamen lägger tid på manuell analys och forskning.
Microsoft Sentinel SOC-optimeringar innehåller följande typer av rekommendationer:
Hotbaserade rekommendationer föreslår att du lägger till säkerhetskontroller som hjälper dig att stänga täckningsluckor.
Rekommendationer för datavärde föreslår sätt att förbättra dataanvändningen, till exempel en bättre dataplan för din organisation.
Liknande organisationsrekommendationer föreslår att data matas in från de typer av källor som används av organisationer som har liknande inmatningstrender och branschprofiler som dina.
Den här artikeln innehåller en detaljerad referens till de typer av rekommendationer för SOC-optimering som är tillgängliga.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Rekommendationer för datavärdesoptimering
För att optimera ditt kostnads-/säkerhetsvärdesförhållande använder SOC-optimering knappast dataanslutningar eller tabeller, och föreslår sätt att antingen minska kostnaden för en tabell eller förbättra dess värde, beroende på din täckning. Den här typen av optimering kallas även för datavärdesoptimering.
Datavärdeoptimeringar tittar bara på fakturerbara tabeller som har matat in data under de senaste 30 dagarna.
I följande tabell visas de tillgängliga typerna av rekommendationer för SOC-optimering av datavärden:
| Typ av observation | Åtgärd |
|---|---|
| Tabellen användes inte av analysregler eller identifieringar under de senaste 30 dagarna, men användes av andra källor, till exempel arbetsböcker, loggfrågor, jaktfrågor. | Aktivera mallar för analysregler ELLER Flytta till hjälploggar (förhandsversion) eller grundläggande loggar om tabellen är berättigad. |
| Tabellen användes inte alls under de senaste 30 dagarna. | Aktivera mallar för analysregler ELLER Stoppa datainmatning och ta bort tabellen eller flytta tabellen till långsiktig kvarhållning. |
| Tabellen användes endast av Azure Monitor. | Aktivera relevanta analysregelmallar för tabeller med säkerhetsvärde ELLER Flytta till en Log Analytics-arbetsyta som inte är säkerhetsskyddad. |
Om en tabell väljs för UEBA eller en matchande analysregel för hotinformation rekommenderar SOC-optimering inte några ändringar i inmatningen.
Viktigt!
När du gör ändringar i inmatningsplaner rekommenderar vi att du alltid ser till att gränserna för dina inmatningsplaner är tydliga och att de berörda tabellerna inte matas in av kompatibilitetsskäl eller andra liknande orsaker.
Rekommendationer för hotbaserad optimering
För att optimera datavärdet rekommenderar SOC-optimering att du lägger till säkerhetskontroller i din miljö i form av extra identifieringar och datakällor med hjälp av en hotbaserad metod. Den här optimeringstypen kallas även täckningsoptimering och baseras på Microsofts säkerhetsforskning.
För att tillhandahålla hotbaserade rekommendationer tittar SOC-optimeringen på dina inmatade loggar och aktiverade analysregler och jämför dem med de loggar och identifieringar som krävs för att skydda, identifiera och svara på specifika typer av attacker.
Hotbaserade optimeringar beaktar både fördefinierade och användardefinierade identifieringar.
I följande tabell visas tillgängliga typer av hotbaserade optimeringsrekommendationer för SOC:
| Typ av observation | Åtgärd |
|---|---|
| Det finns datakällor, men identifieringar saknas. | Aktivera analysregelmallar baserat på hotet: Skapa en regel med hjälp av en analysregelmall och justera namn, beskrivning och frågelogik efter din miljö. Mer information finns i Hotidentifiering i Microsoft Sentinel. |
| Mallar är aktiverade, men datakällor saknas. | Anslut nya datakällor. |
| Det finns inga befintliga identifieringar eller datakällor. | Anslut identifieringar och datakällor eller installera en lösning. |
Rekommendationer för liknande organisationer
SOC-optimering använder avancerad maskininlärning för att identifiera tabeller som saknas på din arbetsyta, men används av organisationer med liknande inmatningstrender och branschprofiler som dina. Den visar hur andra organisationer använder dessa tabeller och rekommenderar relevanta datakällor, tillsammans med relaterade regler, för att förbättra din säkerhetstäckning.
| Typ av observation | Åtgärd |
|---|---|
| Loggkällor som matas in av liknande kunder saknas | Anslut de föreslagna datakällorna. Den här rekommendationen omfattar inte:
|
Att tänka på
Alla arbetsytor får inte liknande organisationsrekommendationer. En arbetsyta får endast dessa rekommendationer om vår maskininlärningsmodell identifierar betydande likheter med andra organisationer och identifierar tabeller som de har men inte du. Socs i sina tidiga eller onboarding faser är i allmänhet mer benägna att få dessa rekommendationer än SOC med en högre mognadsnivå.
Rekommendationerna baseras på maskininlärningsmodeller som enbart förlitar sig på organisations identifierbar information (OII) och systemmetadata. Modellerna kommer aldrig åt eller analyserar innehållet i kundloggar eller matar in dem när som helst. Inga kunddata, innehåll eller identifierbar information för slutanvändare (EUII) exponeras för analysen.
Relaterat innehåll
- Använda SOC-optimeringar programmatiskt (förhandsversion)
- Blogg: SOC-optimering: lås upp kraften i precisionsdriven säkerhetshantering