Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Týmy soc (Security Operations Center) hledají způsoby, jak zlepšit procesy a výsledky a zajistit, abyste měli data potřebná k řešení rizik bez dodatečných nákladů na příjem dat. Týmy SOC chtějí mít jistotu, že máte všechna potřebná data k tomu, abyste mohli reagovat na rizika, aniž byste museli platit za více dat, než je potřeba. Týmy SOC zároveň musí také upravit bezpečnostní prvky s tím, jak se mění hrozby a obchodní priority, a to rychle a efektivně, aby se maximalizovala návratnost investic.
Optimalizace SOC jsou užitečná doporučení, která ukazují způsoby, jak optimalizovat bezpečnostní prvky, a získáte tak čím dál větší hodnotu ze služeb zabezpečení Microsoftu. Doporučení vám pomůžou snížit náklady, aniž by to mělo vliv na potřeby soc nebo pokrytí, a můžou vám pomoct přidat bezpečnostní prvky a data tam, kde je to potřeba. Tyto optimalizace jsou přizpůsobené vašemu prostředí a vycházejí z aktuálního pokrytí a prostředí hrozeb.
Využijte doporučení optimalizace SOC, která vám pomůžou odstranit mezery v pokrytí před konkrétními hrozbami a zvýšit míru příjmu dat o datech, která neposkytují hodnotu zabezpečení. Optimalizace SOC vám pomůžou optimalizovat pracovní prostor Microsoft Sentinel, aniž by týmy SOC trávily čas ruční analýzou a výzkumem.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
V následujícím videu najdete přehled a ukázku optimalizace SOC na portálu Microsoft Defender. Pokud chcete jenom ukázku, přejděte na minutu 8:14.
Požadavky
Optimalizace SOC používá standardní Microsoft Sentinel role a oprávnění. Další informace najdete v tématu Role a oprávnění v Microsoft Sentinel.
Pokud chcete použít optimalizaci SOC na portálu Defender, připojte Microsoft Sentinel na portál Defender. Další informace najdete v tématu Připojení Microsoft Sentinel k portálu Microsoft Defender.
Přístup na stránku optimalizace SOC
Použijte jednu z následujících karet podle toho, jestli pracujete na portálu Azure Portal nebo Defenderu. Když je váš pracovní prostor onboardovaný na portálu Defender, optimalizace SOC zahrnují pokrytí z různých služeb zabezpečení Microsoftu.
Na portálu Defender vyberte Optimalizace SOC.
Vysvětlení metrik optimalizace SOC – přehled
Metriky optimalizace zobrazené v horní části karty Přehled poskytují základní informace o tom, jak efektivně data používáte, a při implementaci doporučení se budou v průběhu času měnit.
Mezi podporované metriky v horní části karty Přehled patří:
| Title | Popis |
|---|---|
| Nedávná hodnota optimalizace | Zobrazuje hodnotu získanou na základě doporučení, která jste nedávno implementovali. |
| Ingestované data | Zobrazuje celkový počet dat přijatých ve vašem pracovním prostoru za posledních 90 dnů. |
| Optimalizace pokrytí na základě hrozeb | Zobrazuje jeden z následujících ukazatelů pokrytí na základě počtu analytických pravidel nalezených ve vašem pracovním prostoru v porovnání s počtem pravidel doporučených výzkumným týmem Microsoftu: - Vysoké: Aktivovalo se více než 75 % doporučených pravidel. - Střední: Aktivuje se 30–74 % doporučených pravidel. - Nízká: Aktivuje se 0–29 % doporučených pravidel. Výběrem možnosti Zobrazit všechny scénáře hrozeb zobrazíte úplný seznam relevantních hrozeb a scénářů založených na rizicích, aktivních a doporučených detekcí a úrovní pokrytí. Pak vyberte scénář hrozby a přejděte k podrobnostem o doporučení na samostatné stránce s podrobnostmi o scénáři hrozeb. |
| Stav optimalizace | Zobrazuje počet doporučených optimalizací, které jsou aktuálně aktivní, dokončené a zavřené. |
Zobrazení a správa doporučení optimalizace
Na portálu Defender jsou doporučení optimalizace SOC uvedená v oblasti Vaše optimalizace na kartě Optimalizace SOC .
Doporučení optimalizace SOC se počítají každých 24 hodin. Každá karta optimalizace obsahuje stav, název, datum vytvoření, popis vysoké úrovně a pracovní prostor, na který se vztahuje.
Optimalizace filtrů
Filtrujte optimalizace na základě typu optimalizace nebo vyhledejte konkrétní název optimalizace pomocí vyhledávacího pole na straně. Mezi typy optimalizace patří:
-
Pokrytí : Obsahuje doporučení, která vám pomůžou odstranit mezery v pokrytí před konkrétními hrozbami a zvýšit míru příjmu dat oproti datům, která neposkytují hodnotu zabezpečení. Doporučení k pokrytí zahrnují:
- Doporučení založená na hrozbách pro přidání kontrolních mechanismů zabezpečení, které vám pomůžou zacelít mezery v pokrytí různých typů útoků.
- AI MITRE ATT&doporučení CK pro přidání doporučení označování, která pomáhají zacelit mezery v pokrytí různých typů útoků, a to na základě architektury MITRE ATT&CK.
- Doporučení založená na rizicích pro přidání kontrolních mechanismů zabezpečení, která vám pomůžou zacelít mezery v pokrytí různých typů obchodních rizik.
- Hodnota dat: Obsahuje doporučení, která navrhují způsoby, jak zlepšit využití dat za účelem maximalizace hodnoty zabezpečení z přijatých dat, nebo navrhnout lepší datový plán pro vaši organizaci.
Zobrazení podrobností o optimalizaci a provedení akce
Vyberte jednu z následujících karet v závislosti na portálu, který používáte:
Na každé kartě optimalizace vyberte Zobrazit podrobnosti a zobrazte úplný popis pozorování, které vedlo k doporučení, a hodnotu, kterou uvidíte ve svém prostředí při implementaci tohoto doporučení.
Optimalizace pokrytí na základě hrozeb:
- Přepínejte mezi pavoučími grafy, abyste porozuměli svému pokrytí různými taktikami a technikami na základě uživatelem definovaných a předem definovaných detekcí aktivních ve vašem prostředí.
- Výběrem možnosti Zobrazit scénář hrozeb v MITRE ATT&CK přejděte na stránku MITRE ATT&CK v Microsoft Sentinel, která je předfiltrovaná pro váš scénář hrozeb. Další informace najdete v tématu [Vysvětlení pokrytí zabezpečení rozhraním MITRE ATT&CK®].
Posuňte se dolů do dolní části podokna podrobností, kde najdete odkaz na to, kde můžete provést doporučené akce. Příklady:
Pokud optimalizace obsahuje doporučení pro přidání analytických pravidel, vyberte Přejít do centra obsahu.
Pokud optimalizace obsahuje doporučení k přesunutí tabulky do základních protokolů, vyberte Změnit plán.
Pokud chcete optimalizovat pokrytí na základě hrozeb, vyberte Zobrazit úplný scénář hrozeb a zobrazte úplný seznam relevantních hrozeb, aktivních a doporučených detekcí a úrovně pokrytí. Odtud můžete přejít přímo do centra Obsahu a aktivovat jakékoli doporučené detekce, nebo na stránku MITRE ATT&CK a zobrazit úplné pokrytí MITRE ATT&CK pro vybraný scénář. Příklady:
Pokud nainstalujete šablonu analytického pravidla z centra Obsah bez nainstalovaného řešení, zobrazí se v řešení jenom nainstalovaná šablona.
Nainstalujte úplné řešení, aby se zobrazily všechny dostupné položky obsahu z vybraného řešení. Další informace najdete v tématu Zjišťování a správa Microsoft Sentinel obsahu, který je součástí balení.
Správa optimalizací
Ve výchozím nastavení jsou stavy optimalizace aktivní. Změňte jejich stavy s tím, jak týmy postupují, prostřednictvím třídění a implementace doporučení.
Vyberte nabídku možností nebo vyberte Zobrazit podrobnosti a proveďte jednu z následujících akcí:
| Akce | Popis |
|---|---|
| Kompletní | Dokončete optimalizaci po dokončení každé doporučené akce. Pokud se ve vašem prostředí zjistí změna, která způsobí, že doporučení není relevantní, optimalizace se automaticky dokončí a přesune se na kartu Dokončeno . Můžete mít například optimalizaci související s dříve nepoužívanými tabulkami. Pokud se teď tabulka používá v novém analytickém pravidlu, doporučení optimalizace je teď irelevantní. V takových případech se na kartě Přehled zobrazí banner s počtem automaticky dokončených optimalizací od vaší poslední návštěvy. |
| Označit jako probíhající / Označit jako aktivní | Pokud chcete ostatním členům týmu oznámit, že na optimalizaci aktivně pracujete, označte ji jako probíhající nebo aktivní. Tyto dva stavy používejte flexibilně, ale konzistentně podle potřeby vaší organizace. |
| Zamítl | Zavřete optimalizaci, pokud nechcete provést doporučenou akci a nechcete ji už v seznamu vidět. |
| Poskytnutí zpětné vazby | Zveme vás, abyste se s týmem Microsoftu podělili o své názory na doporučené akce. Při sdílení zpětné vazby dávejte pozor, abyste nesdílel žádná důvěrná data. Další informace najdete v prohlášení společnosti Microsoft o zásadách ochrany osobních údajů. |
Zobrazení dokončených a zamítnutých optimalizací
Pokud jste konkrétní optimalizaci označili jako Dokončené nebo Zavřené nebo pokud se optimalizace dokončí automaticky, zobrazí se na kartách Dokončeno a Zavřené .
Tady buď vyberte nabídku možností, nebo vyberte Zobrazit úplné podrobnosti a proveďte jednu z následujících akcí:
Znovu aktivujte optimalizaci a odešlete ji zpět na kartu Přehled . Znovu aktivované optimalizace se přepočítávají, aby poskytovaly nejaktuálnější hodnotu a akci. Přepočítání těchto podrobností může trvat až hodinu, takže počkejte, než znovu zkontrolujete podrobnosti a doporučené akce.
Znovu aktivované optimalizace se také můžou přesunout přímo na kartu Dokončeno , pokud se po přepočítání podrobností zjistí, že už nejsou relevantní.
Poskytněte další zpětnou vazbu týmu Microsoftu. Při sdílení zpětné vazby dávejte pozor, abyste nesdílel žádná důvěrná data. Další informace najdete v prohlášení společnosti Microsoft o zásadách ochrany osobních údajů.
Tok využití optimalizace SOC
Tato část obsahuje ukázkový tok pro použití optimalizace SOC z defenderu nebo Azure Portal:
Na stránce optimalizace SOC začněte tím, že pochopíte řídicí panel:
- Sledujte hlavní metriky pro celkový stav optimalizace.
- Projděte si doporučení optimalizace pro hodnotu dat a pokrytí na základě hrozeb.
Pomocí doporučení pro optimalizaci identifikujte tabulky s nízkým využitím, které značí, že se nepoužívají k detekci. Pokud chcete zobrazit velikost a náklady na nevyužitá data, vyberte Zobrazit úplné podrobnosti . Zvažte jednu z následujících akcí:
Přidejte analytická pravidla pro použití tabulky pro rozšířenou ochranu. Pokud chcete použít tuto možnost, vyberte Přejít do centra obsahu a zobrazte a nakonfigurujte konkrétní předdefinované šablony analytických pravidel, které používají vybranou tabulku. V centru Obsah nemusíte hledat příslušné pravidlo, protože jste přesměrováni přímo na příslušné pravidlo.
Pokud nová analytická pravidla vyžadují další zdroje protokolů, zvažte jejich ingestování, aby se zlepšilo pokrytí hrozeb.
Další informace najdete v tématech Zjišťování a správa Microsoft Sentinel předdefinovaný obsah a Zjišťování hrozeb.
Změňte úroveň závazku, abyste ušetřili náklady. Další informace najdete v tématu Snížení nákladů na Microsoft Sentinel.
Pomocí doporučení optimalizace můžete zlepšit pokrytí konkrétních hrozeb. Například pro optimalizaci ransomwaru provozovanou člověkem:
Vyberte Zobrazit úplné podrobnosti a zobrazte aktuální pokrytí a navrhovaná vylepšení.
Vyberte Zobrazit všechny vylepšení techniky MITRE ATT&CK , abyste mohli procházet a analyzovat relevantní taktiky a techniky, což vám pomůže pochopit mezeru v pokrytí.
Pokud chcete zobrazit veškerý doporučený obsah zabezpečení filtrovaný speciálně pro tuto optimalizaci, vyberte Přejít do centra obsahu .
Po konfiguraci nových pravidel nebo provedení změn označte doporučení jako dokončené nebo nechte systém automaticky aktualizovat.