建議的 SOC 最佳化參考
使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
Microsoft Sentinel SOC 優化包含下列建議類型:
威脅型建議 建議建議新增安全性控制,以協助您縮小涵蓋範圍差距。
數據價值建議 建議建議改善數據使用方式,例如為組織提供更好的數據計劃。
類似的組織建議 建議從具有類似擷取趨勢和產業配置檔的組織所使用的來源類型擷取數據。
本文提供可用的 SOC 優化建議參考。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
數據價值優化建議
為了優化您的成本/安全性值比率,SOC 優化會呈現很少使用的數據連接器或數據表,並建議根據涵蓋範圍來降低成本或改善其值的方法。 這種類型的優化也稱為 數據值優化。
數據值優化只會查看過去 30 天內內嵌數據的可計費數據表。
下表列出可用的數據值 SOC 優化建議:
| 觀測 | 動作 |
|---|---|
| 過去 30 天內,分析規則或偵測並未使用數據表,但其他來源會使用數據表,例如活頁簿、記錄查詢、搜捕查詢。 | 開啟分析規則範本 OR 如果數據表符合資格,請移至 輔助記錄 (預覽) 或基本記錄 。 |
| 在過去 30 天內,數據表完全沒有使用。 | 開啟分析規則範本 OR 停止數據擷取並移除數據表,或將數據表移至長期保留。 |
| 數據表僅供 Azure 監視器使用。 | 開啟具有安全性值之數據表的任何相關分析規則範本 OR 移至非安全性Log Analytics工作區。 |
如果針對 UEBA 或威脅情報比對分析規則選擇數據表,SOC 優化不會建議對擷取進行任何變更。
重要
對擷取計劃進行變更時,建議您一律確保擷取計劃的限制是清楚的,而且受影響的數據表不會因為合規性或其他類似的原因而內嵌。
威脅型優化建議
為了優化數據值,SOC 優化建議使用威脅型方法,以額外的偵測和數據源形式,將安全性控制新增至您的環境。 此優化類型也稱為 涵蓋範圍優化,且是以Microsoft的安全性研究為基礎。
為了提供威脅型建議,SOC 優化會查看您擷取的記錄和啟用的分析規則,並將其與保護、偵測及回應特定攻擊類型所需的記錄和偵測進行比較。
威脅型優化會考慮預先定義和用戶定義的偵測。
下表列出可用的威脅型SOC優化建議:
| 觀測 | 動作 |
|---|---|
| 有數據源,但偵測遺失。 | 根據威脅開啟分析規則範本:使用分析規則範本建立規則,並調整名稱、描述和查詢邏輯以符合您的環境。 如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅偵測。 |
| 範本已開啟,但數據源遺失。 | 連接新的數據源。 |
| 沒有現有的偵測或數據源。 | 連接偵測和數據源,或安裝解決方案。 |
類似的組織建議
SOC 優化會使用進階機器學習來識別工作區中遺漏的數據表,但由具有類似擷取趨勢和產業配置檔的組織使用。 它會顯示其他組織如何使用這些數據表,並建議您使用相關的數據源,以及相關規則,以改善安全性涵蓋範圍。
| 觀測 | 動作 |
|---|---|
| 類似客戶所擷取的記錄來源遺失 | 連接建議的數據源。 這項建議不包含:
|
考量
並非所有工作區都會收到類似的組織建議。 只有當我們的機器學習模型識別其他組織的重大相似性,並探索其擁有但您沒有的數據表時,工作區才會收到這些建議。 SOC 在早期或上線階段通常會比具有較高成熟度層級的SOC接收這些建議。
建議是以僅依賴組織標識資訊 (OII) 和系統元數據的機器學習模型為基礎。 模型永遠不會存取或分析客戶記錄的內容,或隨時擷取它們。 不會向分析公開任何客戶數據、內容或使用者標識資訊(EUII)。