مشاركة عبر

مرجع تحسين SOC للتوصيات

  • مقالة
  • ينطبق على:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

استخدم توصيات تحسين SOC لمساعدتك على سد فجوات التغطية ضد تهديدات محددة وتشديد معدلات الاستيعاب مقابل البيانات التي لا توفر قيمة أمان. تساعدك تحسينات SOC على تحسين مساحة عمل Microsoft Sentinel، دون أن تقضي فرق SOC بعض الوقت في التحليل اليدوي والبحث.

تتضمن تحسينات Microsoft Sentinel SOC الأنواع التالية من التوصيات:

  • توصي التحسينات المستندة إلى التهديدات بإضافة عناصر تحكم الأمان التي تساعدك على سد فجوات التغطية.

  • توصي تحسينات قيمة البيانات بطرق لتحسين استخدام البيانات، مثل خطة بيانات أفضل لمؤسستك.

توفر هذه المقالة مرجعا لتوصيات تحسين SOC المتوفرة.

هام

يتوفر Microsoft Sentinel الآن بشكل عام داخل النظام الأساسي لعمليات الأمان الموحدة من Microsoft في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.

تحسينات قيمة البيانات

لتحسين التكلفة إلى نسبة قيمة الأمان، فإن تحسين SOC لا يستخدم موصلات البيانات أو الجداول، ويقترح طرقا إما لتقليل تكلفة الجدول أو تحسين قيمته، اعتمادا على تغطيتك. يسمى هذا النوع من التحسين أيضا تحسين قيمة البيانات.

لا تنظر تحسينات قيمة البيانات إلا إلى الجداول القابلة للفوترة التي ا استيعاب البيانات في آخر 30 يوما.

يسرد الجدول التالي توصيات تحسين SOC لقيمة البيانات المتوفرة:

المراقبة الإجراء
لم يتم استخدام الجدول من قبل القواعد التحليلية أو عمليات الكشف في آخر 30 يوما ولكن تم استخدامه من قبل مصادر أخرى، مثل المصنفات واستعلامات السجل واستعلامات التتبع. تشغيل قوالب قواعد التحليلات
OR
الانتقال إلى السجلات الأساسية إذا كان الجدول مؤهلا
لم يتم استخدام الجدول على الإطلاق في آخر 30 يوما تشغيل قوالب قواعد التحليلات
OR
إيقاف استيعاب البيانات أو أرشفة الجدول
تم استخدام الجدول فقط من قبل Azure Monitor تشغيل أي قوالب قواعد تحليلات ذات صلة للجداول ذات قيمة الأمان
OR
الانتقال إلى مساحة عمل Log Analytics غير متعلقة بالأمان

إذا تم اختيار جدول ل UEBA أو قاعدة تحليلات مطابقة التحليلات الخاصة بالتهديدات، فإن تحسين SOC لا يوصي بأي تغييرات في الاستيعاب.

هام

عند إجراء تغييرات على خطط الاستيعاب، نوصي دائما بالتأكد من أن حدود خطط الاستيعاب واضحة، وأن الجداول المتأثرة لا يتم استيعابها لأسباب تتعلق بالتوافق أو لأسباب أخرى مشابهة.

التحسين المستند إلى التهديد

لتحسين قيمة البيانات، يوصي تحسين SOC بإضافة عناصر التحكم في الأمان إلى بيئتك في شكل اكتشافات ومصادر بيانات إضافية، باستخدام نهج قائم على التهديد.

لتقديم توصيات تستند إلى التهديدات، يبحث تحسين SOC في السجلات التي تم استيعابها وقواعد التحليلات الممكنة، ويقارنها بالسجلات والكشف المطلوبة لحماية أنواع معينة من الهجمات واكتشافها والاستجابة لها. يعرف نوع التحسين هذا أيضا باسم تحسين التغطية، ويستند إلى أبحاث الأمان الخاصة ب Microsoft. يأخذ تحسين SOC في الاعتبار كل من الاكتشافات المعرفة من قبل المستخدم وخارج الصندوق.

يسرد الجدول التالي توصيات تحسين SOC المستندة إلى التهديدات المتوفرة:

المراقبة الإجراء
هناك مصادر بيانات، ولكن عمليات الكشف مفقودة. قم بتشغيل قوالب قواعد التحليلات استنادا إلى التهديد.
يتم تشغيل القوالب، ولكن مصادر البيانات مفقودة. توصيل مصادر بيانات جديدة.
لا توجد أية اكتشافات أو مصادر بيانات موجودة. قم بتوصيل عمليات الكشف ومصادر البيانات أو تثبيت حل.

المحتوى ذو الصلة

الخطوة التالية