將您的安全性作業最佳化
安全性作業中心 (SOC) 小組會尋找改善流程和結果的方法,並確保您有解決風險所需的數據,而不需要額外的擷取成本。 SOC 小組想要確定您擁有所有必要數據來防範風險,而不需要支付 比所需的更多 數據。 同時,SOC 小組也必須調整安全性控制,因為威脅和業務優先順序會變更,如此快速且有效率地發揮您的投資報酬率。
SOC 優化是可採取動作的建議,可呈現您可以優化安全性控件的方式,隨著時間的流逝,從Microsoft安全性服務取得更多價值。 建議可協助您降低成本,而不會影響SOC需求或涵蓋範圍,並可協助您視需要新增安全性控件和數據。 這些優化會根據您的環境量身打造,並根據您目前的涵蓋範圍和威脅環境。
使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
觀看下列影片,以取得 Microsoft Defender 入口網站中 SOC 優化的概觀和示範。 如果您只想要示範,請跳到 8:14 分鐘。
必要條件
SOC 最佳化會使用標準 Microsoft Sentinel 角色和權限。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和權限。
若要在 Defender 入口網站中使用 SOC 優化,請將Microsoft Sentinel 上線至 Defender 入口網站。 如需詳細資訊,請參閱 將Microsoft Sentinel 連線至 Microsoft Defender 入口網站。
存取 SOC 最佳化頁面
視您在 Azure 入口網站 或 Defender 入口網站中工作而定,請使用下列其中一個索引標籤。 當工作區上線以進行統一安全性作業時,SOC 優化會包含來自跨Microsoft安全性服務的涵蓋範圍。
在 Azure 入口網站的 Microsoft Sentinel 中,於 [威脅管理] 底下,選取 [SOC 最佳化]。
了解 SOC 最佳化概觀計量
[概觀] 索引標籤頂端顯示的最佳化計量可讓您深入了解您使用資料的效率,並將在您實作建議時隨著時間變更。
[概觀] 索引標籤頂端的支援計量包括:
| 標題 | 描述 |
|---|---|
| 過去 3 個月擷取的資料 | 顯示過去三個月在您工作區中擷取的資料總數。 |
| 最佳化狀態 | 顯示目前作用中、已完成和已關閉的建議最佳化數目。 |
選取 [ 查看所有威脅案例 ] 以檢視相關威脅的完整清單、作用中和建議分析規則的百分比,以及涵蓋範圍層級。
檢閱並管理最佳化建議
在 Azure 入口網站中,SOC 最佳化建議會列示在 [SOC 最佳化] > [概觀] 索引標籤上。
例如:
![Azure 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
![Defender 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
SOC 最佳化建議每 24 小時計算一次。 每個最佳化卡片都包含狀態、標題、建立日期、高階描述,以及其適用的工作區。
篩選最佳化
根據最佳化類型篩選最佳化,或使用側邊的搜尋方塊搜尋特定最佳化標題。 最佳化類型包括:
涵蓋範圍:包括新增安全性控制的威脅型建議,以協助封閉各種攻擊類型的涵蓋範圍缺口。
資料價值:包括建議如何改善資料使用方式的建議,以從擷取的資料獲取最大的安全性價值,或為您的組織建議更好的資料計劃。
檢視最佳化詳細資料並採取動作
根據您使用的入口網站,選取下列其中一個索引標籤:
在每個優化卡片中,選取 [檢視詳細 數據] 以查看導致建議之觀察的完整描述,以及您在環境中實作該建議時看到的值。
向下捲動至詳細資料窗格底部,以取得您可以採取建議動作的連結。 例如:
- 如果最佳化包括新增分析規則的建議,請選取 [移至內容中樞]。
- 如果最佳化包括將資料表移至基本記錄的建議,請選取 [變更計劃]。
如果您從未安裝解決方案的內容中樞安裝分析規則範本,則只會在方案中顯示已安裝的範本。
安裝完整解決方案,以查看所選解決方案中所有可用的內容項目。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
管理最佳化
根據預設,最佳化狀態為 [作用中]。 在小組逐步完成分級和實作建議時變更其狀態。
選取選項選單,或選取 [ 檢視詳細資料 ] 以採取下列其中一個動作:
| 動作 | 描述 |
|---|---|
| 完成 | 當您完成每個建議動作時,即完成最佳化。 如果偵測到您環境中有一個變更使建議無關緊要,則會自動完成最佳化,並移至 [已完成] 索引標籤。 例如,您可能具有一個最佳化與先前未使用的資料表相關。 如果您的資料表現在用於新的分析規則,則最佳化建議現在無關緊要。 在這類情況下,橫幅會顯示在 [概觀] 索引標籤中,其中包含自您上次造訪後自動完成的最佳化數目。 |
| 標示為進行中 / 標示為作用中 | 將最佳化標示為進行中或作用中,以通知其他小組成員您正在積極處理中。 視需要為您的組織彈性但一致地使用這兩種狀態。 |
| 關閉 | 如果您不打算採取建議的動作,且不再想要在清單中看到最佳化,請關閉最佳化。 |
| 提供意見反應 | 我們邀請您與 Microsoft 小組分享您對建議動作的想法! 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。 |
檢視已完成和已關閉的最佳化
如果您將特定優化標示為 [已完成] 或 [已關閉],或是自動完成優化,則會分別列在 [已完成] 和 [已關閉] 索引卷標上。
從這裡選取選項功能表,或選取 [檢視完整詳細資料],以採取下列其中一項動作:
重新啟用最佳化,將其傳回至 [概觀] 索引標籤。重新啟用的最佳化會重新計算,以提供更新的值和動作。 重新計算這些詳細資料最多可能需要一小時的時間,因此請等候,然後再重新檢查詳細資料和建議動作。
如果在重新計算詳細資料之後發現重新啟用的最佳化不再相關,則這些最佳化也可能直接移至 [已完成] 索引標籤。
向 Microsoft 小組提供進一步的意見反應。 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。
SOC 最佳化使用流程
本節提供從 Defender 或 Azure 入口網站使用 SOC 最佳化的範例流程:
在 [SOC 最佳化] 頁面上,從了解儀表板開始:
- 觀察整體最佳化狀態的最重要計量。
- 檢閱數資料價值和威脅型涵蓋範圍的最佳化建議。
使用最佳化建議來識別使用量低的資料表,指出其不會用於偵測。 選取 [檢視完整詳細資料],以查看未用資料的大小和成本。 請考慮下列其中一個動作:
新增分析規則以使用資料表來增強保護。 若要使用此選項,請選取 [移至內容中樞],以檢視並設定使用所選資料表的特定現用分析規則範本。 在內容中樞中,您不需要搜尋相關規則,因為您會直接被帶至相關規則。
如果新的分析規則需要額外的記錄來源,請考慮擷取它們以改善威脅涵蓋範圍。
如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容及立即偵測威脅。
變更您的承諾用量層以節省成本。 如需詳細資訊,請參閱降低 Microsoft Sentinel 的成本。
使用最佳化建議來針對特定威脅改善涵蓋範圍。 例如,針對人為操作的勒索軟體最佳化:
選取 [檢視完整詳細資料],以查看目前的涵蓋範圍和建議的改善。
選取 [檢視所有 MITRE ATT&CK 技術改善],以向下切入並分析相關的策略和技術,協助您了解涵蓋範圍缺口。
選取 [移至內容中樞],以檢視所有建議的安全性內容,特別針對此最佳化進行篩選。
在設定新規則或進行變更之後,請將建議標示為已完成,或讓系統自動更新。