Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
SOC-Teams (Security Operations Center) suchen nach Möglichkeiten zum Verbessern von Prozessen und Ergebnissen und stellen sicher, dass Sie über die Daten verfügen, die Sie zum Bewältigen von Risiken ohne zusätzliche Erfassungskosten benötigen. SOC-Teams möchten sicherstellen, dass Sie über alle erforderlichen Daten verfügen, um gegen Risiken zu reagieren, ohne mehr Daten zu zahlen als erforderlich. Gleichzeitig müssen SOC-Teams auch Sicherheitskontrollen anpassen, da sich Bedrohungen und geschäftliche Prioritäten ändern. Dies muss schnell und effizient geschehen, damit Ihr ROI maximiert wird.
SOC-Optimierungen sind umsetzbare Empfehlungen, die Möglichkeiten zum Verbessern Ihrer Sicherheitskontrollen darstellen und mit der Zeit mehr Wert von Microsoft-Sicherheitsdiensten erhalten. Empfehlungen helfen Ihnen, die Kosten zu senken, ohne sich auf SOC-Anforderungen oder -Abdeckungen auszuwirken, und bei Bedarf Sicherheitskontrollen und Daten hinzuzufügen. Diese Optimierungen sind auf Ihre Umgebung zugeschnitten und basieren auf Ihrer aktuellen Abdeckung sowie der aktuellen Bedrohungslandschaft.
Verwenden Sie SOC-Optimierungsempfehlungen, um die Abdeckungslücken im Schutz vor bestimmten Bedrohungen zu schließen und Ihre Erfassungsraten für Daten anzupassen, die für die Sicherheit nicht von Nutzen sind. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel-Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit für manuelle Analysen und Untersuchungen aufwenden müssen.
Wichtig
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
Das folgende Video enthält einen Überblick und eine Demo zur SOC-Optimierung im Microsoft Defender-Portal. Springen Sie zu Minute 8:14, falls Sie sich nur die Demo ansehen möchten.
Voraussetzungen
Die SOC-Optimierung verwendet standardmäßige Microsoft Sentinel-Rollen und -Berechtigungen. Weitere Informationen finden Sie unter Rollen und Berechtigungen in Microsoft Sentinel.
Um die SOC-Optimierung im Defender-Portal zu verwenden, integrieren Sie Microsoft Sentinel in das Defender-Portal. Weitere Informationen finden Sie unter Verbinden von Microsoft Sentinel mit dem Microsoft Defender-Portal.
Zugreifen auf die Seite „SOC-Optimierung“
Verwenden Sie eine der folgenden Registerkarten, je nachdem, ob Sie im Azure-Portal oder im Defender-Portal arbeiten. Wenn Ihr Arbeitsbereich in das Defender-Portal integriert wurde, umfassen die SOC-Optimierungen die Abdeckung durch die Sicherheitsdienste von Microsoft.
Wählen Sie im Defender-Portal die SOC-Optimierung aus.
Grundlegendes zu den Übersichtsmetriken der SOC-Optimierung
Optimierungsmetriken, die oben auf der Registerkarte " Übersicht " angezeigt werden, geben Ihnen ein allgemeines Verständnis darüber, wie effizient Sie Ihre Daten verwenden, und ändern sich im Laufe der Zeit, wenn Sie Empfehlungen implementieren.
Zu den unterstützten Metriken oben auf der Registerkarte " Übersicht " gehören:
| Titel | Beschreibung |
|---|---|
| Aktueller Optimierungswert | Zeigt den Wert an, den Sie durch kürzlich implementierte Empfehlungen erzielt haben. |
| Erfasste Daten | Zeigt die Gesamtmenge der Daten an, die in den letzten 90 Tagen in Ihrem Arbeitsbereich erfasst wurden. |
| Optimierungen der bedrohungsbasierten Abdeckung | Zeigt basierend auf der Anzahl der Analyseregeln in Ihrem Arbeitsbereich und verglichen mit der Anzahl der Regeln, die vom Microsoft Research-Team empfohlen werden, einen der folgenden Abdeckungsindikatoren an: - Hoch: Über 75 % der empfohlenen Regeln sind aktiviert. - Mittel: 30 %–74 % der empfohlenen Regeln sind aktiviert. - Niedrig: 0 %–29 % der empfohlenen Regeln sind aktiviert. Wählen Sie "Alle Bedrohungsszenarien anzeigen " aus, um die vollständige Liste relevanter bedrohungs- und risikobasierter Szenarien, aktiver und empfohlener Erkennungen und Abdeckungsebenen anzuzeigen. Wählen Sie dann ein Bedrohungsszenario aus, um weitere Detailinformationen zur Empfehlung auf einer separaten Seite anzuzeigen. |
| Optimierungsstatus | Zeigt die Anzahl empfohlener Optimierungen an, die derzeit aktiv sind, abgeschlossen und abgelehnt wurden. |
Prüfen und Verwalten von Optimierungsempfehlungen
Im Defender-Portal werden die Empfehlungen zur SOC-Optimierung im Bereich Ihre Optimierungen auf der Registerkarte SOC-Optimierungen aufgeführt.
SOC-Optimierungsempfehlungen werden alle 24 Stunden berechnet. Jede Optimierungskarte enthält den Status, den Titel, das Erstellungsdatum, eine allgemeine Beschreibung und den Arbeitsbereich, für den die Optimierung gilt.
Filtern der Optimierungen
Filtern Sie die Optimierungen nach dem Optimierungstyp, oder suchen Sie mithilfe des Suchfelds auf der Seite nach dem Titel einer bestimmten Optimierung. Folgende Optimierungstypen sind verfügbar:
-
Abdeckung : Enthält Empfehlungen, die Ihnen helfen, Lücken gegen bestimmte Bedrohungen zu schließen und Ihre Aufnahmeraten gegen Daten zu straffen, die keinen Sicherheitswert bieten. Zu den Empfehlungen für die Abdeckung gehören:
- Bedrohungsbasierte Empfehlungen zum Hinzufügen von Sicherheitskontrollen, um Die Abdeckungslücken für verschiedene Arten von Angriffen zu schließen.
- AI MITRE ATT&CK-Empfehlungen zum Hinzufügen von Empfehlungen zur Kennzeichnung, um die Abdeckungslücken für verschiedene Arten von Angriffen zu schließen, basierend auf dem MITRE ATT&CK-Rahmenwerk.
- Risikobasierte Empfehlungen zum Hinzufügen von Sicherheitskontrollen, um Die Abdeckungslücken für verschiedene Arten von Geschäftsrisiken zu schließen.
- Datenwert: Enthält Empfehlungen, die Möglichkeiten vorschlagen, die Datennutzung zur Maximierung des Sicherheitswerts von aufgenommenen Daten zu verbessern oder einen besseren Datenplan für Ihre Organisation vorzuschlagen.
Anzeigen von Optimierungsdetails und Ergreifen von Maßnahmen
Wählen Sie je nach verwendetem Portal eine der folgenden Registerkarten aus:
Wählen Sie in jeder Optimierungskarte "Details anzeigen" aus, um eine vollständige Beschreibung der Beobachtung anzuzeigen, die zu der Empfehlung geführt hat, und den Wert, den Sie in Ihrer Umgebung sehen, wenn diese Empfehlung implementiert wird.
Optimierungen der Abdeckung auf Grundlage der Bedrohungen:
- Wechseln Sie zwischen den Netzdiagrammen, um Ihre Abdeckung mit verschiedene Taktiken und Techniken basierend auf der benutzerdefinierten und der sofort einsatzbereiten Erkennung zu verstehen, die in Ihrer Umgebung aktiv sind.
- Wählen Sie "Bedrohungsszenario anzeigen" in MITRE ATT&CK aus, um zur SEITE MITRE ATT&CK in Microsoft Sentinel zu springen, die für Ihr Bedrohungsszenario vorab gefiltert wurde. Weitere Informationen finden Sie unter [Grundlegendes zur Sicherheitsabdeckung durch das MITRE ATT&CK®-Framework].
Scrollen Sie im Detailbereich nach unten. Dort finden Sie einen Link, über den Sie die empfohlenen Aktionen ausführen können. Zum Beispiel:
Wenn eine Optimierung Empfehlungen zum Hinzufügen von Analyseregeln enthält, wählen Sie "Zum Inhaltshub wechseln" aus.
Wenn eine Optimierung Empfehlungen zum Verschieben einer Tabelle in grundlegende Protokolle enthält, wählen Sie " Plan ändern" aus.
Wählen Sie für Optimierungen der bedrohungsbasierten Abdeckung das vollständige Bedrohungsszenario anzeigen aus, um die vollständige Liste der relevanten Bedrohungen, aktiven und empfohlenen Erkennungen und Abdeckungsebenen anzuzeigen. Von dort aus können Sie direkt zum Inhaltshub springen, um alle empfohlenen Erkennungen zu aktivieren, oder zur SEITE MITRE ATT&CK , um die vollständige MITRE ATT&CK-Abdeckung für das ausgewählte Szenario anzuzeigen. Zum Beispiel:
Wenn Sie eine Analyseregelvorlage aus dem Inhaltshub installieren, wenn die Lösung nicht installiert ist, wird nur die installierte Vorlage in der Lösung angezeigt.
Installieren Sie die vollständige Lösung, um alle verfügbaren Inhaltselemente aus der ausgewählten Lösung anzuzeigen. Weitere Informationen finden Sie unter Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel.
Verwalten von Optimierungen
Die Optimierungsstatus sind standardmäßig aktiv. Ändern Sie den Status, wenn Ihre Teams Empfehlungen selektieren und implementieren.
Wählen Sie entweder das Optionsmenü aus, oder wählen Sie "Details anzeigen" aus, um eine der folgenden Aktionen auszuführen:
| Aktion | Beschreibung |
|---|---|
| Vollständig | Schließt eine Optimierung ab, wenn Sie alle empfohlenen Aktionen durchgeführt haben. Wenn eine Änderung in Ihrer Umgebung erkannt wird, die die Empfehlung irrelevant macht, wird die Optimierung automatisch abgeschlossen und zur Registerkarte "Abgeschlossen " verschoben. Angenommen, Ihnen wurde eine Optimierung im Zusammenhang mit einer zuvor nicht verwendeten Tabelle angezeigt. Wenn die Tabelle jetzt in einer neuen Analyseregel verwendet wird, ist die Optimierungsempfehlung irrelevant. In solchen Fällen wird auf der Registerkarte " Übersicht " ein Banner mit der Anzahl der automatisch abgeschlossenen Optimierungen seit Ihrem letzten Besuch angezeigt. |
| Als in Bearbeitung / markierenAls aktiv markieren | Markieren Sie eine Optimierung als „In Bearbeitung“ oder „Aktiv“, um andere Teammitglieder darüber zu informieren, dass Sie aktiv an der Optimierung arbeiten. Verwenden Sie diese beiden Status entsprechend den Anforderungen Ihrer Organisation flexibel, aber konsistent. |
| Entlassen | Lehnen Sie eine Optimierung ab, wenn Sie nicht vorhaben, die empfohlene Aktion auszuführen, und sie nicht mehr in der Liste angezeigt werden soll. |
| Feedback geben | Teilen Sie dem Microsoft-Team Ihre Meinung zu den empfohlenen Aktionen mit. Achten Sie beim Senden Ihres Feedbacks darauf, keine vertraulichen Daten zu teilen. Weitere Informationen finden Sie in den Microsoft-Datenschutzbestimmungen. |
Anzeigen abgeschlossener und abgelehnter Optimierungen
Wenn Sie eine bestimmte Optimierung als abgeschlossen oder geschlossen markiert haben oder eine Optimierung automatisch abgeschlossen wird, wird sie auf den Registerkarten "Abgeschlossen " bzw. " Geschlossen " aufgeführt.
Wählen Sie hier entweder das Optionsmenü aus, oder wählen Sie "Vollständige Details anzeigen" aus, um eine der folgenden Aktionen auszuführen:
Reaktivieren Sie die Optimierung, und senden Sie sie zurück zur Registerkarte "Übersicht ". Reaktivierte Optimierungen werden neu berechnet, um den aktuellsten Wert und die aktuellste Aktion bereitzustellen. Die Neuberechnung dieser Details kann bis zu einer Stunde dauern. Warten Sie also, bevor Sie die Details und empfohlenen Aktionen erneut überprüfen.
Reaktivierte Optimierungen können auch direkt zur Registerkarte "Abgeschlossen " wechseln, wenn sie nach der Neuberechnung der Details nicht mehr relevant sind.
Geben Sie dem Microsoft-Team weiteres Feedback . Achten Sie beim Senden Ihres Feedbacks darauf, keine vertraulichen Daten zu teilen. Weitere Informationen finden Sie in den Microsoft-Datenschutzbestimmungen.
Ablauf bei der Verwendung von SOC-Optimierungen
Dieser Abschnitt enthält einen Beispielablauf für die Verwendung von SOC-Optimierungen über das Defender- oder Azure-Portal:
Beginnen Sie auf der SOC-Optimierungsseite mit dem Verständnis des Dashboards:
- Beobachten Sie die wichtigsten Metriken zum allgemeinen Optimierungsstatus.
- Überprüfen Sie die Optimierungsempfehlungen zum Datenwert und zur Abdeckung auf Grundlage der Bedrohungen.
Verwenden Sie die Optimierungsempfehlungen, um Tabellen zu identifizieren, die wenig verwendet und folglich nicht für Erkennungen genutzt werden. Wählen Sie "Vollständige Details anzeigen" aus, um die Größe und kosten von nicht verwendeten Daten anzuzeigen. Erwägen Sie, eine der folgenden Aktionen auszuführen:
Fügen Sie Analyseregeln hinzu, um die Tabelle für erweiterten Schutz zu verwenden. Um diese Option zu verwenden, wählen Sie "Zum Inhaltshub wechseln " aus, um bestimmte vordefinierte Analyseregelvorlagen anzuzeigen und zu konfigurieren, die die ausgewählte Tabelle verwenden. Die relevante Regel wird direkt im Inhaltshub angezeigt, sodass Sie nicht nach ihr suchen müssen.
Wenn neue Analyseregeln zusätzliche Protokollquellen erfordern, sollten Sie diese ggf. erfassen, um die Bedrohungsabdeckung zu verbessern.
Weitere Informationen finden Sie unter "Entdecken und Verwalten von sofort einsatzbereiten Inhalten von Microsoft Sentinel" und "Erkennen von Bedrohungen sofort einsatzbereit".
Ändern Sie Ihre Mindestabnahme, um Kosteneinsparungen zu erzielen. Weitere Informationen finden Sie unter Reduzieren der Kosten für Microsoft Sentinel.
Verwenden Sie die Optimierungsempfehlungen, um die Abdeckung für den Schutz gegen bestimmte Bedrohungen zu verbessern. Für eine Optimierung, die von Menschen platzierte Ransomware betrifft, können Sie beispielsweise wie folgt vorgehen:
Wählen Sie "Vollständige Details anzeigen" aus, um die aktuelle Abdeckung und die vorgeschlagenen Verbesserungen anzuzeigen.
Wählen Sie "Alle MITRE ATT&CK-Technikverbesserungen anzeigen " aus, um die relevanten Taktiken und Techniken zu untersuchen und zu analysieren, um die Abdeckungslücke zu verstehen.
Wählen Sie "Gehe zum Inhaltshub" aus, um alle empfohlenen Sicherheitsinhalte anzuzeigen, die speziell für diese Optimierung gefiltert wurden.
Nachdem Sie neue Regeln konfiguriert oder Änderungen vorgenommen haben, markieren Sie die Empfehlung als „Abgeschlossen“, oder lassen Sie den Status automatisch vom System aktualisieren.