تحسين عمليات الأمان
تبحث فرق مركز عمليات الأمان (SOC) بنشاط عن فرص لتحسين كل من العمليات والنتائج. تريد التأكد من أن لديك جميع البيانات التي تحتاجها لاتخاذ إجراء ضد المخاطر في بيئتك، مع التأكد أيضا من أنك لا تدفع لاستيعاب بيانات أكثر مما تحتاج إليه. في الوقت نفسه، يجب على فرقك ضبط عناصر التحكم في الأمان بانتظام مع تغير مشهد التهديدات وأولويات الأعمال، والضبط بسرعة وكفاءة للحفاظ على عائد الاستثمار مرتفعا.
يسطح تحسين SOC الطرق التي يمكنك من خلالها تحسين عناصر التحكم في الأمان، واكتساب قيمة أكبر من خدمات أمان Microsoft مع مرور الوقت.
تحسينات SOC هي توصيات عالية الدقة وقابلة للتنفيذ لمساعدتك في تحديد المجالات التي يمكنك فيها تقليل التكاليف، دون التأثير على احتياجات SOC أو تغطيتها، أو حيث يمكنك إضافة عناصر التحكم في الأمان والبيانات حيث وجدت أنها مفقودة. تم تصميم تحسينات SOC وفقا للبيئة الخاصة بك واستنادا إلى التغطية الحالية والمناظر الطبيعية للمخاطر.
استخدم توصيات تحسين SOC لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستيعاب مقابل البيانات التي لا توفر قيمة أمان. تساعدك تحسينات SOC على تحسين مساحة عمل Microsoft Sentinel، دون أن تقضي فرق SOC بعض الوقت في التحليل اليدوي والبحث.
هام
يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
شاهد الفيديو التالي للحصول على نظرة عامة وعرض توضيحي لتحسين SOC في مدخل Defender. إذا كنت تريد فقط عرضا توضيحيا، فانتقل إلى الدقيقة 8:14.
المتطلبات الأساسية
يستخدم تحسين SOC أدوار وأذونات Microsoft Sentinel القياسية. لمزيد من المعلومات، راجع الأدوار والأذونات في Microsoft Sentinel.
لاستخدام تحسين SOC في مدخل Microsoft Defender، يجب أن يكون Microsoft Sentinel متكاملا مع Microsoft Defender XDR. لمزيد من المعلومات، راجع توصيل Microsoft Sentinel ب Microsoft Defender XDR.
الوصول إلى صفحة تحسين SOC
استخدم إحدى علامات التبويب التالية، اعتمادا على ما إذا كنت تعمل في النظام الأساسي الموحد لعمليات SOC أو في مدخل Microsoft Azure:
في Microsoft Sentinel في مدخل Microsoft Azure، ضمن Threat management، حدد SOC optimization.
فهم مقاييس نظرة عامة على تحسين SOC
تمنحك مقاييس التحسين المعروضة في أعلى علامة التبويب نظرة عامة فهما عالي المستوى لمدى كفاءة استخدامك لبياناتك، وستتغير بمرور الوقت أثناء تنفيذ التوصيات.
تتضمن المقاييس المدعومة في أعلى علامة التبويب Overview ما يلي:
| المسمى الوظيفي | الوصف |
|---|---|
| البيانات التي تم استيعابها على مدى الأشهر الثلاثة الماضية | إظهار إجمالي البيانات التي تم استيعابها في مساحة العمل الخاصة بك على مدى الأشهر الثلاثة الماضية. |
| حالة التحسينات | يعرض عدد التحسينات الموصى بها النشطة والمكتملة والمتجاهلة حاليا. |
حدد عرض جميع سيناريوهات التهديد لعرض القائمة الكاملة للتهديدات ذات الصلة، والكشف النشط والموصى به، ومستويات التغطية.
عرض توصيات التحسين وإدارتها
في مدخل Microsoft Azure، يتم سرد توصيات تحسين SOC في علامة التبويب نظرة عامة على تحسين > SOC.
على سبيل المثال:
تتضمن كل بطاقة تحسين الحالة والعنوان وتاريخ إنشائها ووصفا عالي المستوى ومساحة العمل التي تنطبق عليها.
إشعار
يتم حساب توصيات تحسين SOC كل 24 ساعة.
تحسينات التصفية
قم بتصفية التحسينات استنادا إلى نوع التحسين، أو ابحث عن عنوان تحسين معين باستخدام مربع البحث على الجانب. تتضمن أنواع التحسين ما يلي:
التغطية: تتضمن توصيات تستند إلى التهديدات لإضافة عناصر تحكم أمنية للمساعدة في سد فجوات التغطية لمختلف أنواع الهجمات.
قيمة البيانات: تتضمن توصيات تقترح طرقا لتحسين استخدام البيانات لتعظيم قيمة الأمان من البيانات التي تم استيعابها، أو اقتراح خطة بيانات أفضل لمؤسستك.
عرض تفاصيل التحسين واتخاذ إجراء
في كل بطاقة تحسين، حدد عرض التفاصيل الكاملة للاطلاع على وصف كامل للمراقبة التي أدت إلى التوصية، والقيمة التي تراها في بيئتك عند تنفيذ هذه التوصية.
مرر لأسفل إلى أسفل جزء التفاصيل للحصول على ارتباط إلى حيث يمكنك اتخاذ الإجراءات الموصى بها. على سبيل المثال:
- إذا كان التحسين يتضمن توصيات لإضافة قواعد التحليلات، فحدد الانتقال إلى مركز المحتوى.
- إذا كان التحسين يتضمن توصيات لنقل جدول إلى السجلات الأساسية، فحدد تغيير الخطة.
إذا اخترت تثبيت قالب قاعدة تحليلات من مركز المحتوى، ولم يكن الحل مثبتا لديك بالفعل، يتم عرض قالب قاعدة التحليلات الذي تقوم بتثبيته فقط في الحل عند الانتهاء. قم بتثبيت الحل الكامل لمشاهدة جميع عناصر المحتوى المتوفرة من الحل المحدد. لمزيد من المعلومات، راجع اكتشاف المحتوى الجاهز من Microsoft Sentinel وإدارته.
إدارة التحسينات
بشكل افتراضي، تكون حالات التحسين نشطة. غير حالاتهم مع تقدم فرقك من خلال الفرز وتنفيذ التوصيات.
حدد قائمة الخيارات أو حدد عرض التفاصيل الكاملة لاتخاذ أحد الإجراءات التالية:
| الإجراء | الوصف |
|---|---|
| إكمال | أكمل تحسينا عند إكمال كل إجراء موصى به. إذا تم الكشف عن تغيير في بيئتك يجعل التوصية غير ذات صلة، يتم إكمال التحسين تلقائيا ونقله إلى علامة التبويب مكتملة . على سبيل المثال، قد يكون لديك تحسين يتعلق بجدول غير مستخدم مسبقا. إذا تم استخدام الجدول الخاص بك الآن في قاعدة تحليلات جديدة، فإن توصية التحسين الآن غير ذات صلة. في مثل هذه الحالات، يظهر شعار في علامة التبويب نظرة عامة مع عدد التحسينات المكتملة تلقائيا منذ زيارتك الأخيرة. |
| وضع علامة كقيد التقدم / وضع علامة نشط | ضع علامة على التحسين على أنه قيد التقدم أو نشط لإعلام أعضاء الفريق الآخرين بأنك تعمل عليه بنشاط. استخدم هاتين الحالتين بمرونة، ولكن باستمرار، حسب الحاجة لمؤسستك. |
| تجاهل | تجاهل التحسين إذا كنت لا تخطط لاتخاذ الإجراء الموصى به ولم تعد ترغب في رؤيته في القائمة. |
| تقديم الملاحظات | ندعوك لمشاركة أفكارك حول الإجراءات الموصى بها مع فريق Microsoft! عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft. |
عرض التحسينات المكتملة والمستبعدة
إذا وضعت علامة على تحسين معين على أنه مكتمل أو مرفوض، أو إذا تم إكمال التحسين تلقائيا، يتم إدراجه في علامات التبويب مكتملة ومتجاهلة، على التوالي.
من هنا، حدد قائمة الخيارات أو حدد عرض التفاصيل الكاملة لاتخاذ أحد الإجراءات التالية:
إعادة تنشيط التحسين، وإرساله مرة أخرى إلى علامة التبويب نظرة عامة . تتم إعادة حساب التحسينات المعاد تنشيطها لتوفير القيمة والإجراءات الأكثر تحديثا. قد تستغرق إعادة حساب هذه التفاصيل ما يصل إلى ساعة، لذا انتظر قبل التحقق من التفاصيل والإجراءات الموصى بها مرة أخرى.
قد تنتقل التحسينات المعاد تنشيطها أيضا مباشرة إلى علامة التبويب مكتملة إذا تبين أنها لم تعد ذات صلة بعد إعادة حساب التفاصيل.
قدم المزيد من الملاحظات إلى فريق Microsoft. عند مشاركة ملاحظاتك، احرص على عدم مشاركة أي بيانات سرية. لمزيد من المعلومات، راجع بيان خصوصية Microsoft.
تدفق استخدام تحسين SOC
يوفر هذا القسم عينة من التدفق لاستخدام تحسينات SOC، إما من مدخل Defender أو Azure:
في صفحة تحسين SOC، ابدأ بفهم لوحة المعلومات:
- لاحظ أهم المقاييس لحالة التحسين الشاملة.
- راجع توصيات التحسين لقيمة البيانات والتغطية المستندة إلى التهديد.
استخدم توصيات التحسين لتحديد الجداول ذات الاستخدام المنخفض، مما يشير إلى أنها لا تستخدم للكشف. حدد عرض التفاصيل الكاملة للاطلاع على حجم البيانات غير المستخدمة وتكلفتها. خذ بعين الاعتبار أحد الإجراءات التالية:
أضف قواعد التحليلات لاستخدام الجدول لحماية محسنة. لاستخدام هذا الخيار، حدد الانتقال إلى مركز المحتوى لعرض وتكوين قوالب قواعد تحليلية محددة خارج الصندوق تستخدم الجدول المحدد. في مركز المحتوى، لا تحتاج إلى البحث عن القاعدة ذات الصلة، حيث يتم نقلك مباشرة إلى القاعدة ذات الصلة.
إذا كانت القواعد التحليلية الجديدة تتطلب مصادر سجل إضافية، ففكر في استيعابها لتحسين تغطية التهديدات.
لمزيد من المعلومات، راجع اكتشاف وإدارة محتوى Microsoft Sentinel الجاهز واكتشاف التهديدات الجاهزة.
تغيير مستوى التزامك لتحقيق وفورات في التكاليف. لمزيد من المعلومات، راجع تقليل تكاليف Microsoft Sentinel.
استخدم توصيات التحسين لتحسين التغطية ضد تهديدات محددة. على سبيل المثال، لتحسين برامج الفدية الضارة التي يديرها الإنسان:
حدد عرض التفاصيل الكاملة للاطلاع على التغطية الحالية والتحسينات المقترحة.
حدد عرض جميع تحسينات تقنية MITRE ATT&CK للتنقل لأسفل وتحليل التكتيكات والتقنيات ذات الصلة، مما يساعدك على فهم فجوة التغطية.
حدد الانتقال إلى مركز المحتوى لعرض جميع محتويات الأمان الموصى بها، التي تمت تصفيتها خصيصا لهذا التحسين.
بعد تكوين قواعد جديدة أو إجراء تغييرات، ضع علامة على التوصية كمكتملة أو اسمح للنظام بتحديثها تلقائيا.
المحتوى ذو الصلة
الملاحظات
قريبًا: خلال عام 2024، سنتخلص تدريجيًا من GitHub Issues بوصفها آلية إرسال ملاحظات للمحتوى ونستبدلها بنظام ملاحظات جديد. لمزيد من المعلومات، راجع https://aka.ms/ContentUserFeedback.
إرسال الملاحظات وعرضها المتعلقة بـ