Optimalizace operací zabezpečení (Preview)
Týmy soc (Security Operations Center) aktivně hledají příležitosti k optimalizaci procesů i výsledků. Chcete zajistit, abyste měli všechna data, která potřebujete k provedení akcí s riziky ve vašem prostředí, a zároveň zajistit, abyste neplatili za příjem více dat, než potřebujete. Současně musí týmy pravidelně upravovat bezpečnostní prvky, protože se mění prostředí hrozeb a obchodní priority, rychle a efektivně se přizpůsobí vašim návratnosti investic.
Optimalizace SOC poskytuje způsoby, jak můžete optimalizovat bezpečnostní prvky a získat z bezpečnostních služeb Microsoftu větší hodnotu, jak bude docházet k času.
Optimalizace SOC jsou vysoce věrná a užitečná doporučení, která vám pomůžou identifikovat oblasti, kde můžete snížit náklady, aniž by to mělo vliv na potřeby nebo pokrytí SOC, nebo kde můžete přidat kontrolní mechanismy zabezpečení a data, ve kterých chybí. Optimalizace SOC jsou přizpůsobené vašemu prostředí a na základě aktuálního pokrytí a prostředí hrozeb.
Využijte doporučení pro optimalizaci SOC, která vám pomůžou uzavřít mezery v pokrytí před konkrétními hrozbami a utáhnout míru příjmu dat, která neposkytují hodnotu zabezpečení. Optimalizace SOC vám pomůžou optimalizovat pracovní prostor Microsoft Sentinelu, aniž by týmy SOC strávily čas ruční analýzou a výzkumem.
Důležité
Microsoft Sentinel je k dispozici jako součást sjednocené provozní platformy zabezpečení na portálu Microsoft Defender. Microsoft Sentinel na portálu Defender je teď podporovaný pro produkční použití. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
V následujícím videu najdete přehled a ukázku optimalizace SOC na portálu Defender. Pokud chcete jenom ukázku, přejděte na minutu 8:14.
Požadavky
Optimalizace SOC používá standardní role a oprávnění Microsoft Sentinelu. Další informace najdete v tématu Role a oprávnění v Microsoft Sentinelu.
Pokud chcete použít optimalizaci SOC na portálu Microsoft Defenderu, musíte mít Microsoft Sentinel integrovaný s XDR v programu Microsoft Defender. Další informace najdete v tématu Připojení Microsoft Sentinelu do XDR v programu Microsoft Defender.
Přístup na stránku optimalizace SOC
V závislosti na tom, jestli pracujete na sjednocené provozní platformě SOC nebo na webu Azure Portal, použijte jednu z následujících karet:
Ve službě Microsoft Sentinel na webu Azure Portal v části Správa hrozeb vyberte optimalizaci SOC.
Vysvětlení metrik přehledu optimalizace SOC
Metriky optimalizace zobrazené v horní části karty Přehled poskytují základní informace o tom, jak efektivně používáte data, a při implementaci doporučení se v průběhu času změní.
Mezi podporované metriky v horní části karty Přehled patří:
| Titulek | Popis |
|---|---|
| Ingestované data za posledních 3 měsíce | Zobrazuje celkový počet přijatých dat v pracovním prostoru za poslední tři měsíce. |
| Stav optimalizace | Zobrazuje počet doporučených optimalizací, které jsou aktuálně aktivní, dokončené a zamítnuté. |
Výběrem možnosti Zobrazit všechny scénáře hrozeb zobrazíte úplný seznam relevantních hrozeb, aktivních a doporučených detekcí a úrovní pokrytí.
Zobrazení a správa doporučení pro optimalizaci
Doporučení optimalizace SOC na webu Azure Portal jsou uvedená na kartě Přehled optimalizace > SOC.
Příklad:
Každá karta optimalizace zahrnuje stav, název, datum vytvoření, popis vysoké úrovně a pracovní prostor, na který se vztahuje.
Optimalizace filtrů
Vyfiltrujte optimalizace na základě typu optimalizace nebo vyhledejte konkrétní název optimalizace pomocí vyhledávacího pole na straně. Mezi typy optimalizace patří:
Pokrytí: Zahrnuje doporučení založená na hrozbách pro přidání kontrolních mechanismů zabezpečení, které pomáhají uzavřít mezery v pokrytí pro různé typy útoků.
Hodnota dat: Obsahuje doporučení, která navrhují způsoby, jak zlepšit využití dat pro maximalizaci hodnoty zabezpečení z přijatých dat nebo navrhnout lepší datový plán pro vaši organizaci.
Zobrazení podrobností o optimalizaci a provedení akce
Na každé kartě optimalizace vyberte Zobrazit úplné podrobnosti , abyste zobrazili úplný popis pozorování, které vedlo k doporučení, a hodnotu, kterou vidíte ve vašem prostředí při implementaci tohoto doporučení.
Posuňte se dolů do dolní části podokna podrobností, kde můžete provést doporučené akce. Příklad:
- Pokud optimalizace obsahuje doporučení pro přidání analytických pravidel, vyberte Přejít do centra obsahu.
- Pokud optimalizace obsahuje doporučení k přesunutí tabulky do základních protokolů, vyberte Změnit plán.
Pokud se rozhodnete nainstalovat šablonu analytického pravidla z centra obsahu a řešení ještě nemáte nainstalované, zobrazí se v řešení po dokončení jenom šablona analytického pravidla, kterou nainstalujete. Nainstalujte úplné řešení, abyste viděli všechny dostupné položky obsahu z vybraného řešení. Další informace najdete v tématu Zjišťování a správa obsahu od verze Microsoft Sentinelu.
Správa optimalizací
Ve výchozím nastavení jsou stavy optimalizace aktivní. Při přípravě a implementaci doporučení můžete měnit jejich stavy při pokroku týmů.
Vyberte nabídku možností nebo vyberte Zobrazit úplné podrobnosti a proveďte jednu z následujících akcí:
| Akce | Popis |
|---|---|
| Dokončeno | Dokončete optimalizaci po dokončení každé doporučené akce. Pokud se zjistí změna ve vašem prostředí, která doporučení nezrelevantní, optimalizace se automaticky dokončí a přesune na kartu Dokončeno . Můžete mít například optimalizaci související s dříve nepoužitou tabulkou. Pokud se teď tabulka používá v novém analytickém pravidle, doporučení optimalizace je teď irelevantní. Vtakovýchch |
| Označit jako probíhající / Označit jako aktivní | Označte optimalizaci jako probíhající nebo aktivní, abyste ostatním členům týmu oznámili, že na ní aktivně pracujete. Tyto dva stavy používejte pružně, ale konzistentně podle potřeby pro vaši organizaci. |
| Zrušit | Zavřete optimalizaci, pokud neplánujete provést doporučenou akci a už ji nechcete zobrazit v seznamu. |
| Poslat názor | Zveme vás, abyste se podělili o své myšlenky o doporučených akcích s týmem Microsoftu. Při sdílení zpětné vazby buďte opatrní, abyste nesdílel žádná důvěrná data. Další informace viz Prohlášení Microsoftu o zásadách ochrany osobních údajů. |
Zobrazení dokončených a zamítnutých optimalizací
Pokud jste označili určitou optimalizaci jako Dokončeno nebo Zamítnuto, nebo pokud byla optimalizace automaticky dokončena, je uvedená na kartách Dokončeno a Zamítnuto .
Tady buď vyberte nabídku možností, nebo vyberte Zobrazit úplné podrobnosti a proveďte jednu z následujících akcí:
Znovu aktivujte optimalizaci a odešlete ji zpět na kartu Přehled . Znovu aktivované optimalizace se přepočítávají, aby poskytovaly nejaktuálnější hodnotu a akci. Přepočítání těchto podrobností může trvat až hodinu, proto počkejte, než zkontrolujete podrobnosti a doporučené akce znovu.
Opětovně aktivované optimalizace se také můžou přesunout přímo na kartu Dokončeno , pokud se po přepočítání podrobností zjistí, že už nejsou relevantní.
Poskytněte týmu Microsoftu další zpětnou vazbu . Při sdílení zpětné vazby buďte opatrní, abyste nesdílel žádná důvěrná data. Další informace viz Prohlášení Microsoftu o zásadách ochrany osobních údajů.
Použití optimalizací přes rozhraní API
Skupina Recommendations operací poskytuje přístup k optimalizaci SOC prostřednictvím rozhraní Azure REST API. Pomocí rozhraní API můžete například získat podrobnosti o konkrétních doporučeních nebo všechna aktuální doporučení v rámci vašich pracovních prostorů nebo znovu vyhodnotit doporučení, pokud jste provedli změny.
Optimalizace SOC jsou ve verzi Preview, ale dokumentace k rozhraní API je k dispozici pouze ve specifikaci Swaggeru, a ne v referenčních informacích k rozhraní REST API. Další informace najdete ve verzích rozhraní REST API služby Microsoft Sentinel.
Tok využití optimalizace SOC
Tato část obsahuje ukázkový tok pro použití optimalizací SOC z webu Defender nebo webu Azure Portal:
Na stránce optimalizace SOC začněte pochopením řídicího panelu:
- Sledujte hlavní metriky celkového stavu optimalizace.
- Projděte si doporučení optimalizace pro hodnoty dat a pokrytí na základě hrozeb.
Pomocí doporučení optimalizace identifikujte tabulky s nízkým využitím, které označují, že se nepoužívají k detekcím. Výběrem možnosti Zobrazit úplné podrobnosti zobrazíte velikost a náklady na nevyužitá data. Zvažte jednu z následujících akcí:
Přidejte analytická pravidla pro použití tabulky pro rozšířenou ochranu. Pokud chcete tuto možnost použít, vyberte Přejít do centra obsahu a zobrazte a nakonfigurujte konkrétní předdefinované šablony analytických pravidel, které používají vybranou tabulku. V centru obsahu nemusíte hledat relevantní pravidlo, protože jste přesměrováni přímo na příslušné pravidlo.
Pokud nová analytická pravidla vyžadují další zdroje protokolů, zvažte jejich ingestování, abyste zlepšili pokrytí hrozeb.
Další informace najdete v tématu Zjišťování a správa předdefinovaný obsah služby Microsoft Sentinel a zjišťování hrozeb, které jsou předdefinované.
Změňte úroveň závazku, abyste ušetřili náklady. Další informace najdete v tématu Snížení nákladů na Microsoft Sentinel.
Využijte doporučení optimalizace ke zlepšení pokrytí konkrétních hrozeb. Například pro optimalizaci ransomwaru provozovaného člověkem:
Výběrem možnosti Zobrazit úplné podrobnosti zobrazíte aktuální pokrytí a navrhovaná vylepšení.
Vyberte Zobrazit všechny vylepšení techniky MITRE ATT&CK, abyste mohli přejít k podrobnostem a analyzovat relevantní taktiku a techniky, abyste porozuměli mezerám v pokrytí.
Výběrem možnosti Přejít do centra obsahu zobrazíte veškerý doporučený obsah zabezpečení filtrovaný speciálně pro tuto optimalizaci.
Po nakonfigurování nových pravidel nebo provedení změn označte doporučení jako dokončené nebo nechte systém aktualizovat automaticky.