Referencia de optimización de SOC de recomendaciones
Use recomendaciones de optimización de SOC para ayudarle a cerrar las brechas de cobertura frente a amenazas específicas y a reforzar las tasas de ingesta con respecto a los datos que no proporcionan valor de seguridad. Las optimizaciones de SOC le ayudan a optimizar el área de trabajo de Microsoft Sentinel, sin tener que los equipos de SOC dediquen tiempo a analizar e investigar manualmente.
Las optimizaciones de SOC de Microsoft Sentinel incluyen los siguientes tipos de recomendaciones:
Las optimizaciones basadas en amenazas recomiendan agregar controles de seguridad que le ayuden a cerrar las brechas de cobertura.
Las optimizaciones de valores de datos recomiendan formas de mejorar el uso de los datos, como un mejor plan de datos para su organización.
En este artículo se proporciona una referencia de las recomendaciones de optimización de SOC disponibles.
Importante
Microsoft Sentinel ahora está disponible con carácter general en la plataforma de operaciones de seguridad unificada de Microsoft en el portal de Microsoft Defender. Para obtener más información, consulte Microsoft Sentinel en el portal de Microsoft Defender.
Optimizaciones de valores de datos
Para optimizar el costo de la relación de valor de seguridad, las superficies de optimización de SOC apenas usan conectores de datos o tablas, y sugiere formas de reducir el costo de una tabla o mejorar su valor, en función de la cobertura. Este tipo de optimización también se denomina optimización de valores de datos.
Las optimizaciones de valores de datos solo examinan las tablas facturables que ingieren datos en los últimos 30 días.
En la tabla siguiente se enumeran las recomendaciones de optimización de SOC de valor de datos disponibles:
| Observación | Action |
|---|---|
| Las reglas o detecciones analíticas no usaron la tabla en los últimos 30 días, pero otros orígenes lo usaron, como libros, consultas de registro, consultas de búsqueda. | Activación de plantillas de reglas de análisis O BIEN Mover a los registros básicos si la tabla es apta |
| La tabla no se usó en absoluto en los últimos 30 días | Activación de plantillas de reglas de análisis O BIEN Detener la ingesta de datos o archivar la tabla |
| Azure Monitor solo usó la tabla. | Activación de las plantillas de reglas de análisis pertinentes para tablas con valor de seguridad O BIEN Traslado a un área de trabajo de Log Analytics que no es de seguridad |
Si se elige una tabla para UEBA o una regla de análisis de coincidencias de inteligencia sobre amenazas, la optimización de SOC no recomienda ningún cambio en la ingesta.
Importante
Al realizar cambios en los planes de ingesta, se recomienda garantizar siempre que los límites de los planes de ingesta estén claros y que las tablas afectadas no se ingieren por motivos de cumplimiento u otros motivos similares.
Optimización basada en amenazas
Para optimizar el valor de los datos, la optimización de SOC recomienda agregar controles de seguridad al entorno en forma de detecciones y orígenes de datos adicionales, mediante un enfoque basado en amenazas.
Para proporcionar recomendaciones basadas en amenazas, la optimización de SOC examina los registros ingeridos y las reglas de análisis habilitadas, y lo compara con los registros y detecciones necesarios para proteger, detectar y responder a tipos específicos de ataques. Este tipo de optimización también se conoce como optimización de cobertura y se basa en la investigación de seguridad de Microsoft. La optimización de SOC tiene en cuenta las detecciones definidas por el usuario y integradas.
En la tabla siguiente se enumeran las recomendaciones de optimización de SOC basadas en amenazas disponibles:
| Observación | Action |
|---|---|
| Hay orígenes de datos, pero faltan detecciones. | Active las plantillas de reglas de análisis basadas en la amenaza. |
| Las plantillas están activadas, pero faltan orígenes de datos. | Conecte nuevos orígenes de datos. |
| No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Contenido relacionado
- Uso de optimizaciones de SOC mediante programación (versión preliminar)
- Blog: Optimización de SOC: desbloqueo de la eficacia de la administración de seguridad controlada por precisión