你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

SOC 优化建议参考

使用 SOC 优化建议来帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据收紧引入速率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。

Microsoft Sentinel SOC 优化包括以下类型的建议:

  • 基于威胁的建议 建议建议添加有助于缩小覆盖范围差距的安全控制。

  • 数据价值建议 建议用于改进数据使用的方法,例如为组织制定更好的数据计划。

  • 类似的组织建议 建议从具有类似引入趋势和行业配置文件的组织使用的源类型引入数据。

本文提供了可用的 SOC 优化建议的参考。

重要

Microsoft Sentinel 已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需 Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

数据值优化建议

为了优化成本/安全价值比率,SOC 优化显示很少使用的数据连接器或表,并建议根据覆盖范围,降低表的成本或提高其值的方法。 这种类型的优化也称为 数据值优化

数据值优化仅查看过去 30 天内引入数据的计费表。

下表列出了可用的数据值 SOC 优化建议:

观测 操作
在过去 30 天内,分析规则或检测未使用该表,但其他源(如工作簿、日志查询、搜寻查询)使用。 启用分析规则模板
OR
如果表符合条件,请转到基本日志。
在过去 30 天内根本不使用该表。 启用分析规则模板
OR
停止数据引入或存档表。
该表仅供 Azure Monitor 使用。 为具有安全值的表启用任何相关的分析规则模板
OR
移动到非安全 Log Analytics 工作区。

如果为 UEBA威胁情报匹配分析规则选择了表,SOC 优化不建议在引入时进行任何更改。

重要

更改引入计划时,我们建议始终确保引入计划的限制是明确的,并且由于符合性或其他类似原因,不会引入受影响的表。

基于威胁的优化建议

为了优化数据值,SOC 优化建议使用基于威胁的方法以额外的检测和数据源的形式向环境添加安全控制。 此优化类型也称为 覆盖优化,基于Microsoft的安全研究。

为了提供基于威胁的建议,SOC 优化将查看引入的日志和启用的分析规则,并将其与保护、检测和响应特定类型的攻击所需的日志和检测进行比较。

基于威胁的优化同时考虑预定义的检测和用户定义的检测。

下表列出了可用的基于威胁的 SOC 优化建议:

观测 操作
存在数据源,但缺少检测。 基于威胁启用分析规则模板:使用分析规则模板创建规则,并调整名称、说明和查询逻辑,以适应环境。

有关详细信息,请参阅 sentinel 中的Microsoft威胁检测。
模板已打开,但缺少数据源。 连接新的数据源。
没有现有的检测或数据源。 连接检测和数据源或安装解决方案。

类似的组织建议

SOC 优化使用高级机器学习来识别工作区中缺少的表,但由具有与你类似的引入趋势和行业配置文件的组织使用。 它显示了其他组织如何使用这些表,并向你推荐相关数据源以及相关规则,以提高安全覆盖范围。

观测 操作
缺少类似客户引入的日志源 连接建议的数据源。

此建议不包括:
  • 自定义连接器
  • 自定义表
  • 引入的表少于 10 个工作区
  • 包含多个日志源的表,如 SyslogCommonSecurityLog

注意事项

  • 并非所有工作区都会收到类似的组织建议。 仅当机器学习模型识别与其他组织的显著相似性并发现它们具有但你没有的表时,工作区才会收到这些建议。 在早期或载入阶段的 SOC 通常比成熟度较高的 SOC 接收这些建议的可能性更大。

  • 建议基于仅依赖于组织可识别信息(OII)和系统元数据的机器学习模型。 模型永远不会访问或分析客户日志的内容,也不会在任何时刻引入它们。 不会向分析公开任何客户数据、内容或最终用户身份信息(EUII)。

下一步