你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
优化安全运营
安全运营中心 (SOC) 团队积极寻找优化流程和结果的机会。 你需要确保拥有针对环境中的风险采取行动所需的所有数据,同时还要确保你不会对引入超出所需的数据付费。 同时,你的团队必须随着威胁形势和业务优先级的变化定期调整安全控制,快速有效地进行调整,以保持较高的投资回报率。
SOC 优化揭示了优化安全控制的方法,随着时间的推移,从 Microsoft 安全服务中获得更多价值。
SOC 优化是高保真且可操作的建议,可帮助你确定可以降低成本、不影响 SOC 需求或覆盖范围的领域,或者可以在发现缺失的地方添加安全控制和数据的领域。 SOC 优化是根据你的环境并根据你当前的覆盖范围和威胁情况量身定制的。
使用 SOC 优化建议来帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据收紧引入速率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。
重要
Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 已在 Defender 门户中可用,并且无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
请观看以下视频,以了解 Microsoft Defender 门户中 SOC 优化的概述和演示。 如果只想观看演示,请跳到 8:14。
先决条件
SOC 优化使用标准 Microsoft Sentinel 角色和权限。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
要在 Defender 门户中使用 SOC 优化,请将 Microsoft Sentinel 载入到 Defender 门户。 有关详细信息,请参阅将 Microsoft Sentinel 连接到 Microsoft Defender 门户。
访问 SOC 优化页
使用以下选项卡之一,具体取决于你是在使用 Azure 门户还是 Defender 门户:
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“SOC 优化”。
了解 SOC 优化概述指标
“概述”选项卡顶部显示的优化指标可让你大致了解数据的使用效率,并在实施建议时随时间变化。
“概述”选项卡顶部支持的指标包括:
标题 | 说明 |
---|---|
过去 3 个月引入的数据 | 显示过去三个月工作区中引入的总数据。 |
优化状态 | 显示当前处于活动、已完成和已关闭状态的建议优化数量。 |
选择“查看所有威胁方案”可查看相关威胁、主动和建议的检测以及覆盖范围级别的完整列表。
查看和管理优化建议
在 Azure 门户中,SOC 优化建议在“SOC 优化”>“概述”选项卡上列出。
例如:
每个优化卡都包含状态、标题、创建日期、简要描述及其适用的工作区。
注意
SOC 优化建议将每 24 小时计算一次。
筛选器优化
根据优化类型筛选优化,或使用侧面的搜索框搜索特定的优化标题。 优化类型包括:
覆盖范围:包括基于威胁的建议,用于添加安全控制,以帮助缩小各种类型攻击的覆盖范围差距。
数据值:包括建议改进数据使用的建议,以最大限度地提高引入数据的安全性价值,或为组织提出更好的数据计划。
查看优化详细信息并采取措施
在每个优化卡中,选择“查看完整详细信息”以查看导致建议的观察结果的完整描述,以及实施该建议后你在环境中看到的价值。
向下滚动到细节窗格底部,获取指向可执行建议操作的链接。 例如:
- 如果优化包括添加分析规则的建议,请选择“转到内容中心”。
- 如果优化包括将表移动到基本日志的建议,请选择“更改计划”。
如果选择从内容中心安装分析规则模板,并且尚未安装解决方案,则完成后解决方案中只会显示安装的分析规则模板。 安装完整的解决方案以查看所选解决方案中的所有可用内容项。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容。
管理优化
默认情况下,优化状态为“活动”。 随着团队通过分类和实施建议取得进展,其状态将更改。
选择选项菜单或“查看完整详细信息”执行以下操作之一:
操作 | 说明 |
---|---|
完成 | 完成每项建议的操作时,即完成优化。 如果检测到环境发生变化导致建议变得无关紧要,优化将自动完成并移至“已完成”选项卡。 例如,你可能具有与以前未使用的表相关的优化。 如果表现在用于新的分析规则,则优化建议现在无关紧要。 在这种情况下,“概述”选项卡中显示横幅,其中包含自上次访问以来自动完成的优化次数。 |
标记为正在进行 / 标记为活动 | 将优化标记为正在进行或处于活动状态,以通知其他团队成员你正在积极处理该优化。 根据组织需要灵活、但一致地使用这两种状态。 |
关闭 | 如果你不打算执行建议的操作并且不再希望在列表中看到它,请关闭优化。 |
提供反馈 | 我们邀请你与 Microsoft 团队分享你对建议操作的想法! 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。 |
查看已完成和已关闭的优化
如果将特定优化标记为“已完成”或“已关闭”,或者优化已自动完成,则该优化将分别列在“已完成”和“已关闭”选项卡上。
在此处,选择选项菜单或“查看完整详细信息”执行以下操作之一:
重新激活优化,将其发送回“概述”选项卡。重新激活的优化将重新计算以提供最新的值和操作。 重新计算这些详细信息最多可能需要一小时,因此在再次检查详细信息和建议的操作之前请等待。
如果在重新计算详细信息后发现它们不再相关,则重新激活的优化也可能会直接移至“已完成”选项卡。
向 Microsoft 团队提供进一步反馈。 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。
SOC 优化使用流
本部分提供了从 Defender 或 Azure 门户使用 SOC 优化的示例流:
在“SOC 优化”页上,首先了解仪表板:
- 观察总体优化状态的顶层指标。
- 查看针对数据值和基于威胁的覆盖范围的优化建议。
使用优化建议来识别使用率较低的表,指示它们不用于检测。 选择“查看完整详细信息”以查看未使用数据的大小和成本。 请考虑以下操作之一:
添加分析规则以使用表进行增强保护。 若要使用此选项,请选择“转到内容中心”以查看和配置使用所选表的特定现成分析规则模板。 在内容中心,无需搜索相关规则,因为直接转到相关规则。
如果新的分析规则需要其他日志源,请考虑引入它们以提高威胁覆盖范围。
有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容以及直接检测威胁。
更改承诺层级以节省成本。 有关详细信息,请参阅降低 Microsoft Sentinel 的成本。
使用优化建议来提高针对特定威胁的覆盖范围。 例如,对于人为操作的勒索软件优化:
选择“查看完整详细信息”以查看当前覆盖范围和建议的改进。
选择“查看所有 MITRE ATT&CK 技术改进”来向下钻取和分析相关策略和技术,帮助你了解覆盖范围差距。
选择“转到内容中心”以查看专门为此优化筛选的所有建议的安全内容。
配置新规则或进行更改后,将建议标记为已完成或让系统自动更新。