Referenz zu SOC-Optimierungsempfehlungen
Verwenden Sie SOC-Optimierungsempfehlungen, um die Abdeckungslücken im Schutz vor bestimmten Bedrohungen zu schließen und Ihre Erfassungsraten für Daten anzupassen, die für die Sicherheit nicht von Nutzen sind. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel-Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit für manuelle Analysen und Untersuchungen aufwenden müssen.
Microsoft Sentinel SOC-Optimierungen umfassen die folgenden Arten von Empfehlungen:
Bedrohungsbasierte Optimierungen empfehlen das Hinzufügen von Sicherheitssteuerelementen , mit denen Sie Lücken bei der Abdeckung schließen können.
Optimierungen von Datenwerten empfehlen Möglichkeiten, ihre Datennutzung zu verbessern, z. B. einen besseren Datenplan für Ihre Organisation.
Dieser Artikel enthält eine Referenz zu den verfügbaren SOC-Optimierungsempfehlungen.
Wichtig
Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Produktionsverwendung unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Optimierungen von Datenwerten
Um Die Kosten für das Sicherheitswertverhältnis zu optimieren, zeigt DIE SOC-Optimierung kaum verwendete Datenkonnektoren oder Tabellen an und schlägt Möglichkeiten vor, entweder die Kosten einer Tabelle zu reduzieren oder ihren Wert je nach Abdeckung zu verbessern. Diese Art der Optimierung wird auch als Datenwertoptimierung bezeichnet.
Datenwertoptimierungen betrachten nur rechnungsbare Tabellen, die Daten in den letzten 30 Tagen aufgenommen haben.
In der folgenden Tabelle sind die Empfehlungen zur SOC-Optimierung des verfügbaren Datenwerts aufgeführt:
| Beobachtung | Aktion |
|---|---|
| Die Tabelle wurde in den letzten 30 Tagen nicht von Analyseregeln oder Erkennungen verwendet, sondern von anderen Quellen verwendet, z. B. Arbeitsmappen, Protokollabfragen, Suchabfragen. | Aktivieren von Analyseregelvorlagen ODER Wechseln zu grundlegenden Protokollen, wenn die Tabelle berechtigt ist |
| Die Tabelle wurde in den letzten 30 Tagen überhaupt nicht verwendet. | Aktivieren von Analyseregelvorlagen ODER Beenden der Datenaufnahme oder Archivierung der Tabelle |
| Die Tabelle wurde nur von Azure Monitor verwendet. | Aktivieren relevanter Analyseregelvorlagen für Tabellen mit Sicherheitswert ODER Wechseln zu einem Nichtsicherheitsprotokollanalyse-Arbeitsbereich |
Wenn eine Tabelle für UEBA oder eine Analyseregel für die Bedrohungserkennung ausgewählt wird, empfiehlt die SOC-Optimierung keine Änderungen bei der Aufnahme.
Wichtig
Wenn Sie Änderungen an Aufnahmeplänen vornehmen, wird empfohlen, immer sicherzustellen, dass die Grenzwerte Ihrer Aufnahmepläne klar sind und dass die betroffenen Tabellen aus Compliance- oder anderen ähnlichen Gründen nicht aufgenommen werden.
Bedrohungsbasierte Optimierung
Um den Datenwert zu optimieren, empfiehlt die SOC-Optimierung das Hinzufügen von Sicherheitssteuerelementen zu Ihrer Umgebung in Form zusätzlicher Erkennungen und Datenquellen mithilfe eines bedrohungsbasierten Ansatzes.
Um bedrohungsbasierte Empfehlungen bereitzustellen, prüft die SOC-Optimierung Ihre erfassten Protokolle und aktivierten Analyseregeln und vergleicht sie mit den Protokollen und Erkennungen, die zum Schutz, Erkennen und Reagieren auf bestimmte Arten von Angriffen erforderlich sind. Dieser Optimierungstyp wird auch als Abdeckungsoptimierung bezeichnet und basiert auf der Sicherheitsforschung von Microsoft.
In der folgenden Tabelle sind die verfügbaren empfehlungen für die bedrohungsbasierte SOC-Optimierung aufgeführt:
| Beobachtung | Aktion |
|---|---|
| Es gibt Datenquellen, aber Erkennungen fehlen. | Aktivieren Sie Analyseregelvorlagen basierend auf der Bedrohung. |
| Vorlagen sind aktiviert, aber Datenquellen fehlen. | Verbinden neuer Datenquellen. |
| Es gibt keine Erkennungen oder Datenquellen. | Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung. |
Zugehöriger Inhalt
- Programmgesteuertes Verwenden von SOC-Optimierungen (Vorschau)
- Blog: SOC-Optimierung: Entsperren Sie die Leistungsfähigkeit der präzisen Sicherheitsverwaltung
Nächster Schritt
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für