Freigeben über


SOC-Optimierungsempfehlungen

Verwenden Sie SOC-Optimierungsempfehlungen, um die Abdeckungslücken im Schutz vor bestimmten Bedrohungen zu schließen und Ihre Erfassungsraten für Daten anzupassen, die für die Sicherheit nicht von Nutzen sind. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel-Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit für manuelle Analysen und Untersuchungen aufwenden müssen.

Microsoft Sentinel SOC-Optimierungen umfassen die folgenden Arten von Empfehlungen:

  • Empfehlungen für Datenwerte schlagen Möglichkeiten zur Verbesserung der Datennutzung vor, z. B. einen besseren Datenplan für Ihre Organisation.

  • Abdeckungsbasierte Empfehlungen schlagen vor, Steuerelemente hinzuzufügen, um Abdeckungslücken zu verhindern, die zu Sicherheitsrisiken für Angriffe oder Szenarien führen können, die zu finanziellen Verlusten führen können. Zu den Empfehlungen für die Abdeckung gehören:

    • Bedrohungsbasierte Empfehlungen: Empfiehlt das Hinzufügen von Sicherheitskontrollen, die Ihnen helfen, Abdeckungslücken zu erkennen, um Angriffe und Sicherheitsrisiken zu verhindern.
    • KI-Taggingempfehlungen von MITRE ATT&CK (Vorschau): Nutzt künstliche Intelligenz, um Vorschläge für das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken zu machen.
    • Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.
  • Ähnliche Empfehlungen von Organisationen schlagen vor, Daten aus den Arten von Quellen aufzunehmen, die von Organisationen verwendet werden, die ähnliche Erfassungstrends und Branchenprofile haben.

Dieser Artikel enthält eine detaillierte Referenz zu den verfügbaren SOC-Optimierungsempfehlungen.

Wichtig

Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.

Ab Juli 2026 wird Microsoft Sentinel nur im Defender-Portal unterstützt, und alle verbleibenden Kunden, die das Azure-Portal verwenden, werden automatisch umgeleitet.

Es wird empfohlen, alle Kunden, die Microsoft Sentinel in Azure verwenden, mit der Planung des Übergangs zum Defender-Portal für die vollständige einheitliche Sicherheitsoperationserfahrung von Microsoft Defender zu beginnen. Weitere Informationen finden Sie unter Planen Ihres Wechsels zum Microsoft Defender-Portal für alle Microsoft Sentinel-Kunden.

Empfehlungen zur Datenwertoptimierung

Um das Verhältnis Ihrer Kosten mit den Sicherheitswerten zu optimieren, werden bei der SOC-Optimierung selten verwendete Datenconnectors oder Tabellen aufgedeckt. Die SOC-Optimierung schlägt möglichkeiten vor, je nach Abdeckung entweder die Kosten einer Tabelle zu reduzieren oder ihren Wert zu verbessern. Diese Art der Optimierung wird auch als Datenwertoptimierung bezeichnet.

Datenwertoptimierungen betrachten nur rechnungsbare Tabellen, die Daten in den letzten 30 Tagen aufgenommen haben.

In der folgenden Tabelle sind die verfügbaren Arten von SOC-Optimierungsempfehlungen für Datenwerte aufgeführt:

Art der Beobachtung Aktion
Die Tabelle wurde in den letzten 30 Tagen nicht von Analyseregeln oder Erkennungen verwendet, sondern von anderen Quellen verwendet, z. B. Arbeitsmappen, Protokollabfragen, Suchabfragen. Aktivieren von Analyseregelvorlagen
ODER
Verschieben Sie die Tabelle in einen grundlegenden Protokollplan , wenn die Tabelle berechtigt ist.
Die Tabelle wurde in den letzten 30 Tagen nicht verwendet. Aktivieren von Analyseregelvorlagen
ODER
Beenden Sie die Datenaufnahme, und entfernen Sie die Tabelle, oder verschieben Sie die Tabelle auf eine langfristige Aufbewahrung.
Die Tabelle wurde nur von Azure Monitor verwendet. Aktivieren relevanter Analyseregelvorlagen für Tabellen mit Sicherheitswert
ODER
Wechseln zu einem nicht sicherheitsrelevanten Log Analytics-Arbeitsbereich.

Wenn eine Tabelle für UEBA oder eine Analyseregel für die Bedrohungserkennung ausgewählt wird, empfiehlt die SOC-Optimierung keine Änderungen bei der Aufnahme.

Nicht verwendete Spalten (Vorschau)

Die SOC-Optimierung zeigt auch nicht verwendete Spalten in Ihren Tabellen an. In der folgenden Tabelle sind die verfügbaren Spaltentypen aufgeführt, die für SOC-Optimierungsempfehlungen verfügbar sind:

Art der Beobachtung Aktion
Die Spalte "ConditionalAccessPolicies " in der Tabelle "SignInLogs " oder die Tabelle "AADNonInteractiveUserSignInLogs" wird nicht verwendet. Beenden Sie die Datenaufnahme für die Spalte.

Wichtig

Wenn Sie Änderungen an Aufnahmeplänen vornehmen, wird empfohlen, immer sicherzustellen, dass die Grenzwerte Ihrer Aufnahmepläne klar sind und dass die betroffenen Tabellen aus Compliance- oder anderen ähnlichen Gründen nicht aufgenommen werden.

Empfehlungen für die Abdeckungsbasierte Optimierung

Empfehlungen zur abdeckungsbasierten Optimierung helfen Ihnen, Lücken gegen bestimmte Bedrohungen oder Szenarien zu schließen, die zu Geschäftsrisiken und finanziellen Verlusten führen können.

Empfehlungen zur bedrohungsbasierten Optimierung

Um den Datenwert zu optimieren, empfiehlt die SOC-Optimierung das Hinzufügen von Sicherheitssteuerelementen zu Ihrer Umgebung in Form zusätzlicher Erkennungen und Datenquellen mithilfe eines bedrohungsbasierten Ansatzes. Dieser Optimierungstyp wird auch als Abdeckungsoptimierung bezeichnet und basiert auf der Sicherheitsforschung von Microsoft.

DIE SOC-Optimierung bietet bedrohungsbasierte Empfehlungen, indem Sie Ihre erfassten Protokolle analysieren und Analyseregeln aktiviert haben, und vergleichen Sie sie dann mit den Protokollen und Erkennungen, die für die Behebung bestimmter Arten von Angriffen erforderlich sind.

Bedrohungsbasierte Optimierungen berücksichtigen sowohl vordefinierte als auch benutzerdefinierte Erkennungen.

In der folgenden Tabelle sind die verfügbaren Arten von bedrohungsbasierten SOC-Optimierungsempfehlungen aufgeführt:

Art der Beobachtung Aktion
Es gibt Datenquellen, aber Erkennungen fehlen. Aktivieren Sie Analyseregelvorlagen basierend auf der Bedrohung: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an.

Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel.
Vorlagen sind aktiviert, aber Datenquellen fehlen. Verbinden neuer Datenquellen.
Es gibt keine Erkennungen oder Datenquellen. Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung.

KI MITRE ATT&CK-Taggingempfehlungen (Vorschau)

Die KI MITRE ATT&CK Tagging-Funktion verwendet künstliche Intelligenz, um Sicherheitserkennungen automatisch zu markieren. Das KI-Modell wird im Arbeitsbereich des Kunden ausgeführt, um Taggingempfehlungen für nicht markierte Erkennungen mit relevanter MITRE ATT&CK-Taktik und -techniken zu erstellen.

Kunden können diese Empfehlungen anwenden, um sicherzustellen, dass ihre Sicherheitsabdeckung gründlich und präzise ist. Dadurch wird eine vollständige und genaue Sicherheitsabdeckung sichergestellt, wodurch die Bedrohungserkennungs- und Reaktionsfunktionen verbessert werden.

Dies sind drei Methoden zum Anwenden der AI MITRE ATT&CK-Taggingempfehlungen:

  • Wenden Sie die Empfehlung auf eine bestimmte Analyseregel an.
  • Wenden Sie die Empfehlung auf alle Analyseregeln im Arbeitsbereich an.
  • Wenden Sie die Empfehlung nicht auf Analyseregeln an.

Risikobasierte Optimierungsempfehlungen (Vorschau)

Risikobasierte Optimierungen berücksichtigen reale Sicherheitsszenarien mit einer Reihe von damit verbundenen Geschäftsrisiken, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken. Die Empfehlungen basieren auf dem risikobasierten Sicherheitsansatz von Microsoft Sentinel.

Um risikobasierte Empfehlungen bereitzustellen, untersucht die SOC-Optimierung Ihre erfassten Protokolle und Analyseregeln und vergleicht sie mit den Protokollen und Erkennungen, die zum Schutz, Erkennen und Reagieren auf bestimmte Arten von Angriffen erforderlich sind, die zu Geschäftsrisiken führen können. Risikobasierte Empfehlungen optimierungen berücksichtigen sowohl vordefinierte als auch benutzerdefinierte Erkennungen.

In der folgenden Tabelle sind die verfügbaren Arten von risikobasierten SOC-Optimierungsempfehlungen aufgeführt:

Art der Beobachtung Aktion
Es gibt Datenquellen, aber Erkennungen fehlen. Aktivieren Sie Analyseregelvorlagen basierend auf den Geschäftsrisiken: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an.
Vorlagen sind aktiviert, aber Datenquellen fehlen. Verbinden neuer Datenquellen.
Es gibt keine Erkennungen oder Datenquellen. Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung.

Empfehlungen für ähnliche Organisationen

DIE SOC-Optimierung verwendet erweiterte maschinelles Lernen, um Tabellen zu identifizieren, die in Ihrem Arbeitsbereich fehlen, aber von Organisationen mit ähnlichen Erfassungstrends und Branchenprofilen verwendet werden. Es zeigt, wie andere Organisationen diese Tabellen verwenden, und empfiehlt die relevanten Datenquellen zusammen mit verwandten Regeln, um Ihre Sicherheitsabdeckung zu verbessern.

Art der Beobachtung Aktion
Protokollquellen, die von ähnlichen Kunden aufgenommen werden, fehlen Verbinden sie die vorgeschlagenen Datenquellen.

Diese Empfehlung enthält nicht:
  • Benutzerdefinierte Connectors
  • Benutzerdefinierte Tabellen
  • Tabellen, die von weniger als 10 Arbeitsbereichen aufgenommen wurden
  • Tabellen, die mehrere Protokollquellen enthalten, z. B. die Syslog Oder CommonSecurityLog Tabellen

Überlegungen

  • Ein Arbeitsbereich erhält nur ähnliche Organisationsempfehlungen, wenn das Machine Learning-Modell erhebliche Ähnlichkeiten mit anderen Organisationen identifiziert und Tabellen ermittelt, die sie haben, aber nicht. SOCs in ihren frühen oder onboarding-Phasen erhalten diese Empfehlungen eher als SOCs mit einem höheren Reifegrad. Nicht alle Arbeitsbereiche erhalten empfehlungen für ähnliche Organisationen.

  • Die Machine Learning-Modelle greifen niemals auf den Inhalt von Kundenprotokollen zu oder analysieren sie zu einem beliebigen Zeitpunkt. Der Analyse werden keine Kundendaten, Inhalte oder personenbezogene Daten (EUII) offengelegt. Empfehlungen basieren auf Machine Learning-Modellen, die ausschließlich auf OII (Organizational Identifiable Information) und Systemmetadaten basieren.

Nächster Schritt