تحسين عمليات الأمان

تبحث فرق مركز عمليات الأمان (SOC) عن طرق لتحسين العمليات والنتائج والتأكد من أن لديك البيانات اللازمة لمعالجة المخاطر دون تكاليف استيعاب إضافية. SOC teams want to make sure that you have all the necessary data to act against risks, without paying for more data than needed. في الوقت نفسه، يجب على فرق SOC أيضا ضبط عناصر التحكم في الأمان مع تغير التهديدات وأولويات الأعمال، والقيام بذلك بسرعة وكفاءة لزيادة عائد الاستثمار إلى أقصى حد.

تحسينات SOC هي توصيات قابلة للتنفيذ تظهر طرقا يمكنك من خلالها تحسين عناصر التحكم في الأمان، والحصول على قيمة أكبر من خدمات أمان Microsoft مع مرور الوقت. تساعدك التوصيات على تقليل التكاليف دون التأثير على احتياجات SOC أو تغطيتها، ويمكن أن تساعدك على إضافة عناصر التحكم في الأمان والبيانات عند الحاجة. تم تصميم هذه التحسينات وفقا للبيئة الخاصة بك واستنادا إلى التغطية الحالية والمشهد الأفقي للمخاطر.

استخدم توصيات تحسين SOC لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستيعاب مقابل البيانات التي لا توفر قيمة أمان. تساعدك تحسينات SOC على تحسين مساحة عمل Microsoft Sentinel، دون أن تقضي فرق SOC بعض الوقت في التحليل اليدوي والبحث.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

شاهد الفيديو التالي للحصول على نظرة عامة وعرض توضيحي لتحسين SOC في مدخل Microsoft Defender. إذا كنت تريد فقط عرضا توضيحيا، فانتقل إلى الدقيقة 8:14.

Prerequisites

• يستخدم تحسين SOC أدوار وأذونات Microsoft Sentinel القياسية. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.

• لاستخدام تحسين SOC في مدخل Defender، قم بإلحاق Microsoft Sentinel بمدخل Defender. لمزيد من المعلومات، راجع توصيل Microsoft Sentinel بمدخل Microsoft Defender.

الوصول إلى صفحة تحسين SOC

استخدم إحدى علامات التبويب التالية، اعتمادا على ما إذا كنت تعمل في مدخل Microsoft Azure أو مدخل Defender. عند إلحاق مساحة العمل الخاصة بك إلى مدخل Defender، تتضمن تحسينات SOC تغطية من جميع خدمات أمان Microsoft.

Defender portal

In the Defender portal, select SOC optimization.

Azure portal

In Microsoft Sentinel in the Azure portal, under Threat management, select SOC optimization.

فهم مقاييس نظرة عامة على تحسين SOC

Optimization metrics shown at the top of the Overview tab give you a high level understanding of how efficiently you're using your data, and will change over time as you implement recommendations.

Supported metrics at the top of the Overview tab include:

Defender portal

Title	Description
قيمة التحسين الأخيرة	إظهار القيمة المكتسبة استنادا إلى التوصيات التي نفذتها مؤخرا
Data ingested	إظهار إجمالي البيانات التي تم استيعابها في مساحة العمل الخاصة بك خلال آخر 90 يوما.
تحسينات التغطية المستندة إلى التهديدات	يظهر أحد مؤشرات التغطية التالية، استنادا إلى عدد قواعد التحليلات الموجودة في مساحة العمل الخاصة بك، مقارنة بعدد القواعد الموصى بها من قبل فريق أبحاث Microsoft: - High: Over 75% of recommended rules are activated - Medium: 30%-74% of recommended rules are activated - Low: 0%-29% of recommended rules are activated. حدد عرض جميع سيناريوهات التهديد لعرض القائمة الكاملة للسيناريوهات ذات الصلة بالتهديدات والسيناريوهات المستندة إلى المخاطر، والكشف النشط والموصى به، ومستويات التغطية. ثم حدد سيناريو التهديد للتنقل لأسفل لمزيد من التفاصيل حول التوصية في صفحة تفاصيل سيناريو التهديد منفصلة.
Optimization status	يعرض عدد التحسينات الموصى بها النشطة والمكتملة والمتجاهلة حاليا.

Azure portal

Title	Description
البيانات التي تم استيعابها على مدى الأشهر الثلاثة الماضية	إظهار إجمالي البيانات التي تم استيعابها في مساحة العمل الخاصة بك على مدى الأشهر الثلاثة الماضية.
Optimizations status	يعرض عدد التحسينات الموصى بها النشطة والمكتملة والمتجاهلة حاليا.

حدد عرض جميع سيناريوهات التهديد لعرض القائمة الكاملة للسيناريوهات ذات الصلة بالتهديدات والسيناريوهات المستندة إلى المخاطر والنسب المئوية لقواعد التحليلات النشطة والموصى بها ومستويات التغطية.

عرض توصيات التحسين وإدارتها

Defender portal

In the Defender portal, SOC optimization recommendations are listed in the Your Optimizations area on the SOC optimizations tab.

Azure portal

في مدخل Microsoft Azure، يتم سرد توصيات تحسين SOC في علامة التبويب نظرة عامة على تحسين > SOC .

For example:

يتم حساب توصيات تحسين SOC كل 24 ساعة. تتضمن كل بطاقة تحسين الحالة والعنوان وتاريخ إنشائها ووصفا عالي المستوى ومساحة العمل التي تنطبق عليها.

Filter optimizations

قم بتصفية التحسينات استنادا إلى نوع التحسين، أو ابحث عن عنوان تحسين معين باستخدام مربع البحث على الجانب. تتضمن أنواع التحسين ما يلي:

• Coverage : Includes recommendations to help you close coverage gaps against specific threats and tighten your ingestion rates against data that doesn't provide security value. وتشمل توصيات التغطية ما يلي:
  • Threat-based recommendations for adding security controls to help close coverage gaps for various types of attacks.
  • الذكاء الاصطناعي توصيات MITRE ATT&CK لإضافة توصيات وضع العلامات للمساعدة في سد فجوات التغطية للأنواع المختلفة من الهجمات، استنادا إلى إطار عمل MITRE ATT&CK.
  • Risk-based recommendations for adding security controls to help close coverage gaps for various types of business risks.
• Data value: Includes recommendations that suggest ways to improve your data usage for maximizing security value from ingested data, or suggest a better data plan for your organization.

عرض تفاصيل التحسين واتخاذ إجراء

حدد إحدى علامات التبويب التالية، استنادا إلى المدخل الذي تستخدمه:

Defender portal

1. In each optimization card, select View details to see a full description of the observation that led to the recommendation, and the value you see in your environment when that recommendation is implemented.

2. لتحسينات التغطية المستندة إلى التهديدات:

   • التبديل بين المخططات العنكبوتية لفهم التغطية الخاصة بك عبر تكتيكات وتقنيات مختلفة، استنادا إلى الاكتشافات المعرفة من قبل المستخدم وخارج الصندوق النشطة في بيئتك.
   • حدد عرض سيناريو التهديد في MITRE ATT&CK للانتقال إلى صفحة MITRE ATT&CK في Microsoft Sentinel، التصفية المسبقة لسيناريو التهديد الخاص بك. لمزيد من المعلومات، راجع [فهم تغطية الأمان بواسطة إطار عمل MITRE ATT&CK®].

3. مرر لأسفل إلى أسفل جزء التفاصيل للحصول على ارتباط إلى حيث يمكنك اتخاذ الإجراءات الموصى بها. For example:

• إذا كان التحسين يتضمن توصيات لإضافة قواعد التحليلات، فحدد الانتقال إلى مركز المحتوى.

• If an optimization includes recommendations to move a table to basic logs, select Change plan.

• للحصول على تحسينات التغطية المستندة إلى التهديدات، حدد عرض سيناريو التهديد الكامل للاطلاع على القائمة الكاملة للتهديدات ذات الصلة، والكشف النشط والموصى به، ومستويات التغطية. From there you can jump directly to the Content hub to activate any recommended detections, or to the MITRE ATT&CK page to view the full MITRE ATT&CK coverage for the selected scenario. For example:

  

Azure portal

In each optimization card, select View details to see a full description of the observation that led to the recommendation, and the value you see in your environment when that recommendation is implemented.

مرر لأسفل إلى أسفل جزء التفاصيل للحصول على ارتباط إلى حيث يمكنك اتخاذ الإجراءات الموصى بها. For example:

• إذا كان التحسين يتضمن توصيات لإضافة قواعد التحليلات، فحدد الانتقال إلى مركز المحتوى.
• If an optimization includes recommendations to move a table to basic logs, select Change plan.

إذا قمت بتثبيت قالب قاعدة تحليلات من مركز المحتوى دون تثبيت الحل، يظهر القالب المثبت فقط في الحل.

قم بتثبيت الحل الكامل لمشاهدة جميع عناصر المحتوى المتوفرة من الحل المحدد. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.

Manage optimizations

By default, optimization statuses are Active. غير حالاتهم مع تقدم فرقك من خلال الفرز وتنفيذ التوصيات.

Either select the options menu or select View details to take one of the following actions:

Action	Description
Complete	أكمل تحسينا عند إكمال كل إجراء موصى به. If a change in your environment is detected that makes the recommendation irrelevant, the optimization is automatically completed and moved to the Completed tab. على سبيل المثال، قد يكون لديك تحسين يتعلق بجدول غير مستخدم مسبقا. إذا تم استخدام الجدول الخاص بك الآن في قاعدة تحليلات جديدة، فإن توصية التحسين الآن غير ذات صلة. In such cases, a banner shows in the Overview tab with the number of automatically completed optimizations since your last visit.
وضع علامة كقيد التقدم / وضع علامة نشط	ضع علامة على التحسين على أنه قيد التقدم أو نشط لإعلام أعضاء الفريق الآخرين بأنك تعمل عليه بنشاط. استخدم هاتين الحالتين بمرونة، ولكن باستمرار، حسب الحاجة لمؤسستك.
Dismiss	تجاهل التحسين إذا كنت لا تخطط لاتخاذ الإجراء الموصى به ولم تعد ترغب في رؤيته في القائمة.
Provide feedback	ندعوك لمشاركة أفكارك حول الإجراءات الموصى بها مع فريق Microsoft! عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft.

عرض التحسينات المكتملة والمستبعدة

If you marked a specific optimization as Completed or Dismissed, or if an optimization is automatically completed, it's listed on the Completed and Dismissed tabs, respectively.

من هنا، حدد قائمة الخيارات أو حدد عرض التفاصيل الكاملة لاتخاذ أحد الإجراءات التالية:

• إعادة تنشيط التحسين، وإرساله مرة أخرى إلى علامة التبويب نظرة عامة . تتم إعادة حساب التحسينات المعاد تنشيطها لتوفير القيمة والإجراءات الأكثر تحديثا. قد تستغرق إعادة حساب هذه التفاصيل ما يصل إلى ساعة، لذا انتظر قبل التحقق من التفاصيل والإجراءات الموصى بها مرة أخرى.

  Reactivated optimizations might also move directly to the Completed tab if, after recalculating the details, they're found to be no longer relevant.

• قدم المزيد من الملاحظات إلى فريق Microsoft. عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft.

تدفق استخدام تحسين SOC

يوفر هذا القسم عينة من التدفق لاستخدام تحسينات SOC، إما من مدخل Defender أو Azure:

1. On the SOC optimization page, start by understanding the dashboard:

   • لاحظ أهم المقاييس لحالة التحسين الشاملة.
   • راجع توصيات التحسين لقيمة البيانات والتغطية المستندة إلى التهديد.

2. استخدم توصيات التحسين لتحديد الجداول ذات الاستخدام المنخفض، مما يشير إلى أنها لا تستخدم للكشف. حدد عرض التفاصيل الكاملة للاطلاع على حجم البيانات غير المستخدمة وتكلفتها. خذ بعين الاعتبار أحد الإجراءات التالية:

   • أضف قواعد التحليلات لاستخدام الجدول لحماية محسنة. لاستخدام هذا الخيار، حدد الانتقال إلى مركز المحتوى لعرض وتكوين قوالب قواعد تحليلية محددة خارج الصندوق تستخدم الجدول المحدد. في مركز المحتوى، لا تحتاج إلى البحث عن القاعدة ذات الصلة، حيث يتم نقلك مباشرة إلى القاعدة ذات الصلة.

     إذا كانت القواعد التحليلية الجديدة تتطلب مصادر سجل إضافية، ففكر في استيعابها لتحسين تغطية التهديدات.

     لمزيد من المعلومات، راجع اكتشاف وإدارة محتوى Microsoft Sentinel الجاهز واكتشاف التهديدات الجاهزة.

   • تغيير مستوى التزامك لتحقيق وفورات في التكاليف. لمزيد من المعلومات، راجع تقليل تكاليف Microsoft Sentinel.

3. استخدم توصيات التحسين لتحسين التغطية ضد تهديدات محددة. على سبيل المثال، لتحسين برامج الفدية الضارة التي يديرها الإنسان:

   1. حدد عرض التفاصيل الكاملة للاطلاع على التغطية الحالية والتحسينات المقترحة.

   2. حدد عرض جميع تحسينات تقنية MITRE ATT&CK للتنقل لأسفل وتحليل التكتيكات والتقنيات ذات الصلة، مما يساعدك على فهم فجوة التغطية.

   3. حدد الانتقال إلى مركز المحتوى لعرض جميع محتويات الأمان الموصى بها، التي تمت تصفيتها خصيصا لهذا التحسين.

4. بعد تكوين قواعد جديدة أو إجراء تغييرات، ضع علامة على التوصية كمكتملة أو اسمح للنظام بتحديثها تلقائيا.

Related content

• مرجع تحسين SOC للتوصيات
• استخدام تحسينات SOC برمجيا
• المدونة: تحسين SOC: إلغاء تأمين قوة إدارة الأمان المستندة إلى الدقة