共用方式為


建議的 SOC 最佳化參考

使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。

Microsoft Sentinel SOC 優化包含下列建議類型:

  • 威脅型優化 建議新增可協助您縮小涵蓋範圍差距的安全性控制。

  • 數據價值優化 建議改善數據使用的方法,例如為組織提供更好的數據計劃。

本文提供可用的 SOC 優化建議參考。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

數據值優化

為了將您的成本與安全性值比率優化,SOC 優化會呈現很少使用的數據連接器或數據表,並建議根據您的涵蓋範圍來降低成本或改善其值的方法。 這種類型的優化也稱為 數據值優化

數據值優化只會查看過去 30 天內內嵌數據的可計費數據表。

下表列出可用的數據值 SOC 優化建議:

觀測 動作
過去 30 天內,分析規則或偵測並未使用數據表,但其他來源會使用數據表,例如活頁簿、記錄查詢、搜捕查詢。 開啟分析規則範本
OR
如果數據表符合資格,請移至基本記錄
過去 30 天內完全不使用數據表 開啟分析規則範本
OR
停止數據擷取或封存數據表
數據表僅供 Azure 監視器使用 開啟具有安全性值之數據表的任何相關分析規則範本
OR
移至不安全的Log Analytics工作區

如果針對 UEBA威脅情報比對分析規則選擇數據表,SOC 優化不會建議對擷取進行任何變更。

重要

對擷取計劃進行變更時,建議您一律確保擷取計劃的限制是清楚的,而且受影響的數據表不會因為合規性或其他類似的原因而內嵌。

威脅型優化

為了優化數據值,SOC 優化建議使用威脅型方法,以額外的偵測和數據源形式,將安全性控制新增至您的環境。

為了提供威脅型建議,SOC 優化會查看您擷取的記錄和啟用的分析規則,並將它與保護、偵測及回應特定攻擊類型所需的記錄和偵測進行比較。 此優化類型也稱為 涵蓋範圍優化,且是以Microsoft的安全性研究為基礎。 SOC 優化會同時考慮使用者定義的和現用的偵測。

下表列出可用的威脅型SOC優化建議:

觀測 動作
有數據源,但偵測遺失。 根據威脅開啟分析規則範本:使用分析規則範本建立規則,並調整名稱、描述和查詢邏輯以符合您的環境。

如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅偵測。
範本已開啟,但數據源遺失。 連接新的數據源。
沒有現有的偵測或數據源。 連接偵測和數據源,或安裝解決方案。

後續步驟