Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use recomendaciones de optimización de SOC para ayudarle a cerrar las brechas de cobertura frente a amenazas específicas y a reforzar las tasas de ingesta con respecto a los datos que no proporcionan valor de seguridad. Las optimizaciones de SOC le ayudan a optimizar el área de trabajo de Microsoft Sentinel, sin tener que los equipos de SOC dediquen tiempo a analizar e investigar manualmente.
Las optimizaciones de SOC de Microsoft Sentinel incluyen los siguientes tipos de recomendaciones:
Las recomendaciones de valor de datos sugieren formas de mejorar el uso de datos, como un mejor plan de datos para su organización.
Las recomendaciones basadas en cobertura sugieren agregar controles para evitar brechas de cobertura que pueden dar lugar a vulnerabilidades a ataques o escenarios que pueden provocar pérdidas financieras. Las recomendaciones de cobertura incluyen:
- Recomendaciones basadas en amenazas: recomienda agregar controles de seguridad que le ayuden a detectar brechas de cobertura para evitar ataques y vulnerabilidades.
- Recomendaciones de etiquetado con inteligencia artificial de MITRE ATT&CK (Vista previa): utiliza inteligencia artificial para sugerir el etiquetado de detecciones de seguridad con tácticas y técnicas de MITRE ATT&CK.
- Recomendaciones basadas en riesgos (versión preliminar): recomienda implementar controles para abordar las brechas de cobertura vinculadas a los casos de uso que pueden dar lugar a riesgos empresariales o pérdidas financieras, incluidos los riesgos operativos, financieros, financieros, de reputación, cumplimiento y legales.
Las recomendaciones de organizaciones similares sugieren la ingesta de datos de los tipos de orígenes utilizados por las organizaciones que tienen tendencias de ingesta y perfiles de sector similares a los suyos.
En este artículo se proporciona una referencia detallada de los tipos de recomendaciones de optimización de SOC disponibles.
Importante
Microsoft Sentinel está disponible con carácter general en el portal de Microsoft Defender, incluidos los clientes sin XDR de Microsoft Defender o una licencia E5.
A partir de julio de 2026, Microsoft Sentinel solo se admitirá en el portal de Defender y los clientes restantes que usen Azure Portal se redirigirán automáticamente.
Se recomienda que los clientes que usen Microsoft Sentinel en Azure empiecen a planear la transición al portal de Defender para obtener la experiencia de operaciones de seguridad unificada completa que ofrece Microsoft Defender. Para obtener más información, consulte Planeamiento del traslado al portal de Microsoft Defender para todos los clientes de Microsoft Sentinel.
Recomendaciones de optimización de valores de datos
Para optimizar la relación de valor de costo/seguridad, las superficies de optimización de SOC apenas usan conectores de datos o tablas. La optimización de SOC sugiere maneras de reducir el costo de una tabla o mejorar su valor, en función de la cobertura. Este tipo de optimización también se denomina optimización de valores de datos.
Las optimizaciones de valores de datos solo examinan las tablas facturables que ingieren datos en los últimos 30 días.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC de valor de datos:
| Tipo de observación | Acción |
|---|---|
| Las reglas o detecciones de análisis no usaron la tabla en los últimos 30 días, pero otras fuentes lo usaron, como libros, consultas de registro, consultas de búsqueda. | Activación de plantillas de reglas de análisis O BIEN Mueva la tabla a un plan de registros básico si la tabla es apta. |
| La tabla no se usó en absoluto en los últimos 30 días. | Activación de plantillas de reglas de análisis O BIEN Detenga la ingesta de datos y quite la tabla o mueva la tabla a retención a largo plazo. |
| Azure Monitor solo usó la tabla. | Activación de las plantillas de reglas de análisis pertinentes para tablas con valor de seguridad O BIEN Vaya a un área de trabajo de Log Analytics que no sea de seguridad. |
Si se elige una tabla para UEBA o una regla de análisis de coincidencias de inteligencia sobre amenazas, la optimización de SOC no recomienda ningún cambio en la ingesta.
Columnas sin usar (versión preliminar)
La optimización de SOC también expone columnas sin usar en las tablas. En la tabla siguiente se enumeran los tipos disponibles de columnas disponibles para las recomendaciones de optimización de SOC:
| Tipo de observación | Acción |
|---|---|
| La columna ConditionalAccessPolicies de la tabla SignInLogs o la tabla AADNonInteractiveUserSignInLogs no está en uso. | Detenga la ingesta de datos para la columna. |
Importante
Al realizar cambios en los planes de ingesta, se recomienda garantizar siempre que los límites de los planes de ingesta estén claros y que las tablas afectadas no se ingieren por motivos de cumplimiento u otros motivos similares.
Recomendaciones de optimización basadas en cobertura
Las recomendaciones de optimización basadas en cobertura le ayudan a cerrar las brechas de cobertura frente a amenazas específicas o a escenarios que pueden provocar riesgos empresariales y pérdidas financieras.
Recomendaciones de optimización basada en amenazas
Para optimizar el valor de los datos, la optimización de SOC recomienda agregar controles de seguridad al entorno en forma de detecciones y orígenes de datos adicionales, mediante un enfoque basado en amenazas. Este tipo de optimización también se conoce como optimización de cobertura y se basa en la investigación de seguridad de Microsoft.
La optimización de SOC proporciona recomendaciones basadas en amenazas mediante el análisis de los registros ingeridos y las reglas de análisis habilitadas, comparándolas con los registros y detecciones necesarios para abordar tipos específicos de ataques.
Las optimizaciones basadas en amenazas consideran las detecciones predefinidas y definidas por el usuario.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC basadas en amenazas:
| Tipo de observación | Acción |
|---|---|
| Hay orígenes de datos, pero faltan detecciones. | Active las plantillas de reglas de análisis basadas en la amenaza: cree una regla mediante una plantilla de regla de análisis y ajuste el nombre, la descripción y la lógica de consulta para adaptarse a su entorno. Para obtener más información, consulte Detección de amenazas en Microsoft Sentinel. |
| Las plantillas están activadas, pero faltan orígenes de datos. | Conecte nuevos orígenes de datos. |
| No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Recomendaciones de etiquetado de AI MITRE ATT&CK (versión preliminar)
La característica de etiquetado AI MITRE ATT&CK usa inteligencia artificial para etiquetar automáticamente las detecciones de seguridad. El modelo de IA se ejecuta en el área de trabajo del cliente para crear recomendaciones de etiquetado para detecciones sin etiquetar con técnicas y tácticas pertinentes de MITRE ATT&CK.
Los clientes pueden aplicar estas recomendaciones para garantizar que su cobertura de seguridad sea exhaustiva y precisa. Esto garantiza una cobertura de seguridad completa y precisa, lo que mejora las funcionalidades de detección y respuesta de amenazas.
Estas son 3 formas de aplicar las recomendaciones de etiquetado de AI MITRE ATT&CK:
- Aplique la recomendación a una regla de análisis específica.
- Aplique la recomendación a todas las reglas de análisis del área de trabajo.
- No aplique la recomendación a ninguna regla de análisis.
Recomendaciones de optimización basada en riesgos (versión preliminar)
Las optimizaciones basadas en riesgos consideran escenarios de seguridad del mundo real con un conjunto de riesgos empresariales asociados, incluidos los riesgos operativos, financieros, financieros, de reputación, de cumplimiento y legales. Las recomendaciones se basan en el enfoque basado en riesgos de Microsoft Sentinel para la seguridad.
Para proporcionar recomendaciones basadas en riesgos, la optimización de SOC examina los registros ingeridos y las reglas de análisis, y los compara con los registros y detecciones necesarios para proteger, detectar y responder a tipos específicos de ataques que pueden causar riesgos empresariales. Las optimizaciones de recomendaciones basadas en riesgos consideran las detecciones predefinidas y definidas por el usuario.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC basadas en riesgos:
| Tipo de observación | Acción |
|---|---|
| Hay orígenes de datos, pero faltan detecciones. | Active las plantillas de reglas de análisis basadas en los riesgos empresariales: cree una regla mediante una plantilla de regla de análisis y ajuste el nombre, la descripción y la lógica de consulta para adaptarse a su entorno. |
| Las plantillas están activadas, pero faltan orígenes de datos. | Conecte nuevos orígenes de datos. |
| No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Recomendaciones de organizaciones similares
La optimización de SOC usa el aprendizaje automático avanzado para identificar las tablas que faltan en el área de trabajo, pero las organizaciones usan tendencias de ingesta similares y perfiles del sector. Muestra cómo otras organizaciones usan estas tablas y recomienda los orígenes de datos pertinentes, junto con las reglas relacionadas, para mejorar la cobertura de seguridad.
| Tipo de observación | Acción |
|---|---|
| Faltan orígenes de registro ingeridos por clientes similares | Conecte los orígenes de datos sugeridos. Esta recomendación no incluye:
|
Consideraciones
Un área de trabajo solo recibe recomendaciones de organización similares si el modelo de aprendizaje automático identifica similitudes significativas con otras organizaciones y detecta tablas que tienen, pero no. Los SOC en sus fases tempranas o de incorporación son más probables que reciban estas recomendaciones que los SOC con un mayor nivel de madurez. No todas las áreas de trabajo obtienen recomendaciones similares a las organizaciones.
Los modelos de machine Learning nunca acceden ni analizan el contenido de los registros de clientes o los ingieren en cualquier momento. No se exponen datos de clientes, contenido ni datos personales (EUII) al análisis. Las recomendaciones se basan en modelos de aprendizaje automático que se basan únicamente en la información de identificación organizativa (OII) y los metadatos del sistema.
Contenido relacionado
- Uso de optimizaciones de SOC mediante programación (versión preliminar)
- Blog: Optimización de SOC: desbloqueo de la eficacia de la administración de seguridad controlada por precisión