Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Využijte doporučení pro optimalizaci SOC, která vám pomůžou uzavřít mezery v pokrytí před konkrétními hrozbami a utáhnout míru příjmu dat, která neposkytují hodnotu zabezpečení. Optimalizace SOC vám pomohou optimalizovat pracovní prostor Microsoft Sentinelu, aniž by týmy SOC strávily čas ruční analýzou a výzkumem.
Optimalizace SOC služby Microsoft Sentinel zahrnují následující typy doporučení:
Doporučení k hodnotě dat navrhují způsoby, jak zlepšit využití dat, například lepší datový plán pro vaši organizaci.
Doporučení založená na pokrytí navrhují přidání kontrolních mechanismů, které brání mezerám v pokrytí, které můžou vést k ohrožení zabezpečení útokům nebo scénářům, které můžou vést k finanční ztrátě. Mezi doporučení pokrytí patří:
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- Doporučení pro označování AI MITRE ATT&CK (Preview):: Používá umělou inteligenci k navrhování detekcí zabezpečení pomocí taktik a technik MITRE ATT&CK.
- Doporučení založená na rizicích (Preview):: Doporučuje implementovat kontroly, které řeší mezery v pokrytí spojené s případy použití, které můžou vést k obchodním rizikům nebo finančním ztrátám, včetně provozních, finančních, reputací, dodržování předpisů a právních rizik.
Podobná doporučení organizací navrhují příjem dat z typů zdrojů používaných organizacemi, které mají podobné trendy příjmu dat a oborové profily pro vaše.
Tento článek obsahuje podrobné referenční informace o dostupných typech doporučení optimalizace SOC.
Important
Microsoft Sentinel je obecně dostupný na portálu Microsoft Defenderu, včetně pro zákazníky bez licence Microsoft Defender XDR nebo E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender. Další informace najdete v tématu Je čas přesunout: Vyřazování webu Azure Portal od Microsoft Sentinelu pro zajištění vyššího zabezpečení.
Doporučení pro optimalizaci hodnot dat
Aby byl optimalizován poměr mezi náklady a hodnotou zabezpečení, optimalizace SOC odhaluje zřídka používané datové konektory nebo tabulky. Optimalizace SOC navrhuje způsoby, jak snížit náklady na tabulku nebo zlepšit její hodnotu v závislosti na vašem pokrytí. Tento typ optimalizace se také nazývá optimalizace hodnot dat.
Optimalizace hodnot dat se dívají jenom na fakturovatelné tabulky, které ingestují data za posledních 30 dnů.
Následující tabulka uvádí dostupné typy doporučení pro optimalizaci SOC hodnot dat:
| Typ pozorování | Action |
|---|---|
| Tabulka nebyla používána analytickými pravidly nebo detekcemi za posledních 30 dnů, ale byla používána jinými zdroji, jako jsou sešity, dotazy na protokoly, dotazy proaktivního vyhledávání. | Zapnutí šablon analytických pravidel OR Pokud je tabulka způsobilá, přesuňte tabulku do základního plánu protokolů . |
| V posledních 30 dnech se tabulka vůbec nepoužila. | Zapnutí šablon analytických pravidel OR Zastavte příjem dat a odeberte tabulku nebo ji přesuňte do dlouhodobého uchovávání. |
| Tabulku používala jenom Služba Azure Monitor. | Zapnutí všech relevantních šablon analytických pravidel pro tabulky s hodnotou zabezpečení OR Přejděte do pracovního prostoru služby Log Analytics, který není zabezpečením. |
If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.
Nepoužité sloupce (Preview)
Optimalizace SOC také zobrazí nepoužívané sloupce v tabulkách. Následující tabulka uvádí dostupné typy sloupců dostupných pro doporučení optimalizace SOC:
| Typ pozorování | Action |
|---|---|
| The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. | Zastavte příjem dat pro sloupec. |
Important
Při provádění změn plánů příjmu dat doporučujeme vždy zajistit, aby limity vašich plánů příjmu byly jasné a že ovlivněné tabulky nejsou ingestované z důvodu dodržování předpisů nebo z jiných podobných důvodů.
Doporučení pro optimalizaci na základě pokrytí
Doporučení pro optimalizaci na základě pokrytí vám pomůžou uzavřít mezery v pokrytí před konkrétními hrozbami nebo scénáři, které můžou vést k obchodním rizikům a finanční ztrátě.
Doporučení pro optimalizaci na základě hrozeb
Pro optimalizaci hodnoty dat doporučuje optimalizace SOC přidat do vašeho prostředí bezpečnostní prvky ve formě dodatečných detekcí a zdrojů dat pomocí přístupu založeného na hrozbách. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.
Optimalizace SOC poskytuje doporučení založená na hrozbách díky analýze přijatých protokolů a povolených analytických pravidel a jejich porovnání s protokoly a detekcemi potřebnými k řešení konkrétních typů útoků.
Optimalizace založené na hrozbách zvažují předdefinované i uživatelem definované detekce.
Následující tabulka uvádí dostupné typy doporučení pro optimalizaci SOC založené na hrozbách:
| Typ pozorování | Action |
|---|---|
| Existují zdroje dat, ale chybí detekce. | Zapněte šablony analytických pravidel na základě hrozby: Vytvořte pravidlo pomocí šablony analytického pravidla a upravte název, popis a logiku dotazu tak, aby vyhovovala vašemu prostředí. Další informace najdete v tématu Detekce hrozeb v Microsoft Sentinelu. |
| Šablony jsou zapnuté, ale chybí zdroje dat. | Připojte nové zdroje dat. |
| Neexistují žádné detekce ani zdroje dat. | Připojte detekce a zdroje dat nebo nainstalujte řešení. |
Doporučení pro označování AI MITRE ATT&CK (Preview)
Funkce označování AI MITRE ATT&CK používá umělou inteligenci k automatickému označování bezpečnostních detekcí. Model AI běží v pracovním prostoru zákazníka a vytváří doporučení označování pro neoznačené detekce s příslušnými taktikami a technikami MITRE ATT&CK.
Zákazníci můžou tato doporučení použít k zajištění důkladného a přesného pokrytí zabezpečení. Tím zajistíte úplné a přesné pokrytí zabezpečení, zvýšíte možnosti detekce hrozeb a reakce.
Toto jsou 3 způsoby použití doporučení pro označování AI MITRE ATT&CK:
- Použijte doporučení na konkrétní analytické pravidlo.
- Doporučení použijte u všech analytických pravidel v pracovním prostoru.
- Doporučení nepoužívejte u žádných analytických pravidel.
Doporučení pro optimalizaci na základě rizik (Preview)
Optimalizace založené na rizicích berou v úvahu reálné scénáře zabezpečení se sadou obchodních rizik spojených s ním, včetně provozních, finančních, reputací, dodržování předpisů a právních rizik. Doporučení vycházejí z přístupu microsoft Sentinelu k zabezpečení na základě rizik.
Pokud chcete poskytovat doporučení založená na rizicích, optimalizace SOC se podívá na vaše ingestované protokoly a analytická pravidla a porovná je s protokoly a detekcemi, které jsou potřeba k ochraně, zjišťování a reakci na konkrétní typy útoků, které můžou způsobit obchodní rizika. Optimalizace doporučení na základě rizik zvažují předdefinované i uživatelem definované detekce.
Následující tabulka uvádí dostupné typy doporučení pro optimalizaci SOC na základě rizik:
| Typ pozorování | Action |
|---|---|
| Existují zdroje dat, ale chybí detekce. | Zapněte šablony analytických pravidel na základě obchodních rizik: Vytvořte pravidlo pomocí šablony analytického pravidla a upravte název, popis a logiku dotazu tak, aby vyhovovala vašemu prostředí. |
| Šablony jsou zapnuté, ale chybí zdroje dat. | Připojte nové zdroje dat. |
| Neexistují žádné detekce ani zdroje dat. | Připojte detekce a zdroje dat nebo nainstalujte řešení. |
Podobná doporučení organizací
Optimalizace SOC používá pokročilé strojové učení k identifikaci tabulek, které v pracovním prostoru chybí, ale používají je organizace s podobnými trendy příjmu dat a profily odvětví. Ukazuje, jak tyto tabulky používají jiné organizace a doporučí relevantní zdroje dat spolu s souvisejícími pravidly, aby zlepšily pokrytí zabezpečení.
| Typ pozorování | Action |
|---|---|
| Chybí zdroje protokolů ingestované podobnými zákazníky. | Připojte navrhované zdroje dat. Toto doporučení nezahrnuje:
|
Considerations
Pracovní prostor obdrží podobná doporučení organizace jenom v případě, že model strojového učení identifikuje významné podobnosti s jinými organizacemi a zjišťuje tabulky, které mají, ale vy ne. SoC v počátečních nebo zprovozněných fázích pravděpodobně obdrží tato doporučení než soC s vyšší úrovní vyspělosti. Ne všechny pracovní prostory získají podobná doporučení organizací.
Modely strojového učení nikdy nepřistupují k obsahu zákaznických protokolů ani je neingestují v žádném okamžiku. Analýza neobsahuje žádná zákaznická data, obsah ani osobní údaje (EUII). Doporučení jsou založená na modelech strojového učení, které se spoléhají výhradně na identifikovatelné informace organizace (OII) a systémová metadata.
Related content
- Programové použití optimalizací SOC (Preview)
- Blog: Optimalizace SOC: odemykání výkonu správy zabezpečení řízené přesností