مشاركة عبر

أنواع توصيات تحسين SOC

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

استخدم توصيات تحسين SOC لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستيعاب مقابل البيانات التي لا توفر قيمة أمان. تساعدك تحسينات SOC على تحسين مساحة عمل Microsoft Sentinel، دون أن تقضي فرق SOC بعض الوقت في التحليل اليدوي والبحث.

تتضمن تحسينات Microsoft Sentinel SOC الأنواع التالية من التوصيات:

  • تقترح توصيات قيمة البيانات طرقا لتحسين استخدام البيانات، مثل خطة بيانات أفضل لمؤسستك.

  • تقترح التوصيات المستندة إلى التغطية إضافة عناصر تحكم لمنع فجوات التغطية التي يمكن أن تؤدي إلى التعرض للهجمات أو السيناريوهات التي يمكن أن تؤدي إلى خسارة مالية. وتشمل توصيات التغطية ما يلي:

    • التوصيات المستندة إلى التهديدات: توصي بإضافة عناصر تحكم أمنية تساعدك على اكتشاف فجوات التغطية لمنع الهجمات والثغرات الأمنية.
    • الذكاء الاصطناعي توصيات وضع علامات MITRE ATT&CK (معاينة): يستخدم الذكاء الاصطناعي لاقتراح علامات اكتشافات الأمان باستخدام تكتيكات وتقنيات MITRE ATT&CK.
    • التوصيات المستندة إلى المخاطر (معاينة): توصي بتنفيذ ضوابط لمعالجة فجوات التغطية المرتبطة بحالات الاستخدام التي قد تؤدي إلى مخاطر تجارية أو خسائر مالية، بما في ذلك المخاطر التشغيلية والمالية والسمعية والتوافق والمخاطر القانونية.

  • تقترح توصيات المؤسسات المماثلة استيعاب البيانات من أنواع المصادر المستخدمة من قبل المؤسسات التي لديها اتجاهات استيعاب مماثلة وملفات تعريف الصناعة الخاصة بك.

توفر هذه المقالة مرجعا مفصلا أنواع توصيات تحسين SOC المتوفرة.

هام

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، سيتم دعم Microsoft Sentinel في مدخل Defender فقط، وسيتم إعادة توجيه أي عملاء متبقين يستخدمون مدخل Microsoft Azure تلقائيا.

نوصي بأن يبدأ أي عملاء يستخدمون Microsoft Sentinel في Azure في التخطيط للانتقال إلى مدخل Defender للحصول على تجربة عمليات الأمان الموحدة الكاملة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع التخطيط للانتقال إلى مدخل Microsoft Defender لجميع عملاء Microsoft Sentinel.

توصيات تحسين قيمة البيانات

لتحسين نسبة قيمة التكلفة/الأمان، أسطح تحسين SOC بالكاد تستخدم موصلات البيانات أو الجداول. يقترح تحسين SOC طرقا إما لتقليل تكلفة الجدول أو تحسين قيمته، اعتمادا على تغطيتك. يسمى هذا النوع من التحسين أيضا تحسين قيمة البيانات.

لا تنظر تحسينات قيمة البيانات إلا إلى الجداول القابلة للفوترة التي ا استيعاب البيانات في آخر 30 يوما.

يسرد الجدول التالي الأنواع المتوفرة من توصيات تحسين SOC لقيمة البيانات:

نوع الملاحظة الإجراء
لم يتم استخدام الجدول من قبل قواعد التحليلات أو عمليات الكشف في آخر 30 يوما ولكن تم استخدامه من قبل مصادر أخرى، مثل المصنفات واستعلامات السجل واستعلامات التتبع. تشغيل قوالب قواعد التحليلات
أو
انقل الجدول إلى خطة سجلات أساسية إذا كان الجدول مؤهلا.
لم يتم استخدام الجدول على الإطلاق في آخر 30 يوما. تشغيل قوالب قواعد التحليلات
أو
أوقف استيعاب البيانات وأزل الجدول أو انقل الجدول إلى الاستبقاء على المدى الطويل.
تم استخدام الجدول فقط من قبل Azure Monitor. تشغيل أي قوالب قواعد تحليلات ذات صلة للجداول ذات قيمة الأمان
أو
الانتقال إلى مساحة عمل Log Analytics غير متعلقة بالأمان.

إذا تم اختيار جدول ل UEBA أو قاعدة تحليلات مطابقة التحليلات الخاصة بالتهديدات، فإن تحسين SOC لا يوصي بأي تغييرات في الاستيعاب.

أعمدة غير مستخدمة (معاينة)

كما أن تحسين SOC يسطح أعمدة غير مستخدمة في الجداول. يسرد الجدول التالي أنواع الأعمدة المتوفرة لتوصيات تحسين SOC:

نوع الملاحظة الإجراء
العمود ConditionalAccessPolicies في جدول SignInLogs أو جدول AADNonInteractiveUserSignInLogs غير قيد الاستخدام. إيقاف استيعاب البيانات للعمود.

هام

عند إجراء تغييرات على خطط الاستيعاب، نوصي دائما بالتأكد من أن حدود خطط الاستيعاب واضحة، وأن الجداول المتأثرة لا يتم استيعابها لأسباب تتعلق بالتوافق أو لأسباب أخرى مشابهة.

توصيات التحسين المستندة إلى التغطية

تساعدك توصيات التحسين المستندة إلى التغطية على سد فجوات التغطية ضد تهديدات محددة أو السيناريوهات التي يمكن أن تؤدي إلى مخاطر الأعمال والخسارة المالية.

توصيات التحسين المستندة إلى التهديد

لتحسين قيمة البيانات، يوصي تحسين SOC بإضافة عناصر التحكم في الأمان إلى بيئتك في شكل اكتشافات ومصادر بيانات إضافية، باستخدام نهج قائم على التهديد. يعرف نوع التحسين هذا أيضا باسم تحسين التغطية، ويستند إلى أبحاث الأمان الخاصة ب Microsoft.

يوفر تحسين SOC توصيات قائمة على التهديدات من خلال تحليل السجلات التي تم استيعابها وقواعد التحليلات الممكنة، ثم مقارنتها بالسجلات والكشف اللازمة لمعالجة أنواع محددة من الهجمات.

تأخذ التحسينات المستندة إلى التهديدات في الاعتبار كلا من الاكتشافات المعرفة مسبقا والمعرفة من قبل المستخدم.

يسرد الجدول التالي الأنواع المتوفرة من توصيات تحسين SOC المستندة إلى التهديدات:

نوع الملاحظة الإجراء
هناك مصادر بيانات، ولكن عمليات الكشف مفقودة. قم بتشغيل قوالب قواعد التحليلات استنادا إلى التهديد: إنشاء قاعدة باستخدام قالب قاعدة تحليلات، وضبط الاسم والوصف ومنطق الاستعلام ليناسب بيئتك.

لمزيد من المعلومات، راجع الكشف عن التهديدات في Microsoft Sentinel.
يتم تشغيل القوالب، ولكن مصادر البيانات مفقودة. توصيل مصادر بيانات جديدة.
لا توجد أية اكتشافات أو مصادر بيانات موجودة. قم بتوصيل عمليات الكشف ومصادر البيانات أو تثبيت حل.

الذكاء الاصطناعي توصيات وضع علامات MITRE ATT&CK (معاينة)

تستخدم ميزة وضع العلامات الذكاء الاصطناعي MITRE ATT&CK الذكاء الاصطناعي لوضع علامة تلقائيا على اكتشافات الأمان. يعمل نموذج الذكاء الاصطناعي على مساحة عمل العميل لإنشاء توصيات وضع العلامات للكشف غير المحدد بتكتيكات وتقنيات MITRE ATT&CK ذات الصلة.

يمكن للعملاء تطبيق هذه التوصيات لضمان أن تغطيتهم الأمنية شاملة ودقيقة. وهذا يضمن تغطية أمنية كاملة ودقيقة، وتعزيز قدرات الكشف عن التهديدات والاستجابة لها.

هذه هي 3 طرق لتطبيق توصيات وضع علامات الذكاء الاصطناعي MITRE ATT&CK:

  • تطبيق التوصية على قاعدة تحليلات محددة.
  • تطبيق التوصية على جميع قواعد التحليلات في مساحة العمل.
  • لا تطبق التوصية على أي قواعد تحليلات.

توصيات التحسين المستندة إلى المخاطر (معاينة)

تأخذ التحسينات المستندة إلى المخاطر في الاعتبار سيناريوهات الأمان في العالم الحقيقي مع مجموعة من مخاطر الأعمال المرتبطة به، بما في ذلك المخاطر التشغيلية والمالية والسمعية والتوافقية والقانونية. تستند التوصيات إلى نهج الأمان المستند إلى المخاطر في Microsoft Sentinel.

لتقديم توصيات تستند إلى المخاطر، يبحث تحسين SOC في سجلاتك وقواعد التحليلات التي تم استيعابها، ويقارنها بالسجلات والكشف المطلوبة لحماية أنواع معينة من الهجمات التي قد تسبب مخاطر تجارية واكتشافها والاستجابة لها. تأخذ تحسينات التوصيات المستندة إلى المخاطر في الاعتبار كلا من الاكتشافات المعرفة مسبقا والمحددة من قبل المستخدم.

يسرد الجدول التالي الأنواع المتوفرة من توصيات تحسين SOC المستندة إلى المخاطر:

نوع الملاحظة الإجراء
هناك مصادر بيانات، ولكن عمليات الكشف مفقودة. قم بتشغيل قوالب قواعد التحليلات استنادا إلى مخاطر العمل: إنشاء قاعدة باستخدام قالب قاعدة تحليلات، وضبط الاسم والوصف ومنطق الاستعلام ليناسب بيئتك.
يتم تشغيل القوالب، ولكن مصادر البيانات مفقودة. توصيل مصادر بيانات جديدة.
لا توجد أية اكتشافات أو مصادر بيانات موجودة. قم بتوصيل عمليات الكشف ومصادر البيانات أو تثبيت حل.

توصيات المؤسسات المماثلة

يستخدم تحسين SOC التعلم الآلي المتقدم لتحديد الجداول المفقودة من مساحة العمل الخاصة بك، ولكن يتم استخدامها من قبل المؤسسات ذات اتجاهات الاستيعاب المماثلة وملفات تعريف الصناعة. وهو يوضح كيفية استخدام المؤسسات الأخرى لهذه الجداول ويوصي بمصادر البيانات ذات الصلة، جنبا إلى جنب مع القواعد ذات الصلة، لتحسين تغطية الأمان الخاصة بك.

نوع الملاحظة الإجراء
مصادر السجل التي تناولها عملاء مماثلون مفقودة قم بتوصيل مصادر البيانات المقترحة.

لا تتضمن هذه التوصية ما يلي:
  • الموصلات المخصصة
  • جداول مخصصة
  • الجداول التي تم استيعابها بواسطة أقل من 10 مساحات عمل
  • الجداول التي تحتوي على مصادر سجل متعددة، مثل Syslog الجداول أو CommonSecurityLog

الاعتبارات

  • لا تتلقى مساحة العمل توصيات مؤسسة مماثلة إلا إذا حدد نموذج التعلم الآلي أوجه تشابه كبيرة مع المؤسسات الأخرى واكتشف الجداول التي لديهم ولكن لم تقم بذلك. ومن المرجح أن تتلقى الشركات SOCs في مراحلها المبكرة أو الإعدادية هذه التوصيات أكثر من الشركات SOCs ذات مستوى أعلى من النضج. لا تحصل جميع مساحات العمل على توصيات المؤسسات المماثلة.

  • لا تصل نماذج التعلم الآلي أبدا إلى محتوى سجلات العملاء أو تحلله أو استيعابها في أي وقت. لا يتم عرض أي بيانات العملاء أو المحتوى أو البيانات الشخصية (EUII) للتحليل. تستند التوصيات إلى نماذج التعلم الآلي التي تعتمد فقط على معلومات التعريف التنظيمية (OII) وبيانات تعريف النظام.

المحتوى ذو الصلة

الخطوة التالية