Optimiser vos opérations de sécurité (préversion)
Les équipes du centre des opérations de sécurité (SOC) recherchent activement des opportunités d’optimisation des processus et des résultats. Vous souhaitez vous assurer que vous disposez de toutes les données dont vous avez besoin pour prendre des mesures contre les risques dans votre environnement, tout en vous assurant que vous ne payez pas pour ingérer plus de données que nécessaire. En même temps, vos équipes doivent régulièrement ajuster les contrôles de sécurité à mesure que les paysages des menaces et les priorités de l’entreprise changent, en s’adaptant rapidement et efficacement pour maintenir votre retour sur investissement élevé.
L’optimisation SOC permet d’optimiser vos contrôles de sécurité, en obtenant plus de valeur à partir des services de sécurité Microsoft à mesure que le temps se passe.
Les optimisations SOC sont des recommandations haute fidélité et actionnables pour vous aider à identifier les zones où vous pouvez réduire les coûts, sans affecter les besoins ou la couverture SOC, ou où vous pouvez ajouter des contrôles de sécurité et des données où il est trouvé manquant. Les optimisations SOC sont adaptées à votre environnement et basées sur votre paysage actuel de couverture et de menace.
Utilisez les recommandations d’optimisation du SOC pour combler les lacunes de la couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion des données qui ne fournissent pas de valeur de sécurité. Les optimisations du SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à des analyses et des recherches manuelles.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Regardez la vidéo suivante pour obtenir une vue d’ensemble et une démonstration de l’optimisation SOC dans le portail Defender. Si vous voulez simplement une démonstration, passez à la minute 8:14.
Prérequis
L’optimisation SOC utilise des rôles et des autorisations Microsoft Sentinel standard. Pour plus d’informations, consultez Autorisations et rôles dans Microsoft Sentinel.
Pour utiliser l’optimisation SOC dans le portail Microsoft Defender, vous devez intégrer Microsoft Sentinel à Microsoft Defender XDR. Pour plus d’informations, consultez Connecter Microsoft Sentinel à Microsoft Defender XDR.
Accéder à la page d’optimisation SOC
Utilisez l’un des onglets suivants, selon que vous travaillez dans la plateforme d’opérations SOC unifiée ou dans le portail Azure :
Dans Microsoft Sentinel dans le portail Azure, sous Gestion des menaces, sélectionnez Optimisation SOC.
Comprendre les métriques d’optimisation SOC
Les métriques d’optimisation affichées en haut de l’onglet Vue d’ensemble de vous donnent une compréhension générale de l’efficacité de l’utilisation de vos données et changeront au fil du temps lorsque vous implémentez des recommandations.
Les métriques prises en charge en haut de l’onglet Vue d’ensemble de sont les suivantes :
| Titre | Description |
|---|---|
| données ingérées au cours des 3 derniers mois | Affiche le nombre total de données ingérées dans votre espace de travail au cours des trois derniers mois. |
| état des optimisations | Affiche le nombre d’optimisations recommandées actuellement actives, terminées et ignorées. |
Sélectionnez Consultez tous les scénarios de menace pour afficher la liste complète des menaces pertinentes, des détections actives et recommandées et des niveaux de couverture.
Afficher et gérer les recommandations d’optimisation
Dans le portail Azure, les recommandations d’optimisation SOC sont répertoriées sous l’onglet optimisation SOC > Vue d’ensemble .
Par exemple :
Chaque carte d’optimisation inclut l’état, le titre, la date à laquelle il a été créé, une description générale et l’espace de travail à lequel il s’applique.
Optimisations des filtres
Filtrez les optimisations en fonction du type d’optimisation ou recherchez un titre d’optimisation spécifique à l’aide de la zone de recherche du côté. Les types d’optimisation sont les suivants :
de couverture : inclut des recommandations basées sur les menaces pour ajouter des contrôles de sécurité afin de combler les lacunes de couverture pour différents types d’attaques.
valeur de données: inclut des recommandations qui suggèrent des moyens d’améliorer l’utilisation des données pour optimiser la valeur de sécurité des données ingérées ou suggérer un meilleur plan de données pour votre organisation.
Afficher les détails de l’optimisation et prendre des mesures
Dans chaque carte d’optimisation, sélectionnez Afficher les détails complets pour afficher une description complète de l’observation qui a conduit à la recommandation et la valeur que vous voyez dans votre environnement lorsque cette recommandation est implémentée.
Faites défiler jusqu’au bas du volet d’informations d’un lien vers l’endroit où vous pouvez effectuer les actions recommandées. Par exemple :
- Si une optimisation inclut des recommandations pour ajouter des règles d’analytique, sélectionnez Accéder au hub de contenu.
- Si une optimisation inclut des recommandations pour déplacer une table vers des journaux de base, sélectionnez Modifier le plan.
Si vous choisissez d’installer un modèle de règle d’analytique à partir du hub de contenu et que vous n’avez pas encore installé la solution, seul le modèle de règle d’analyse que vous installez s’affiche dans la solution lorsque vous avez terminé. Installez la solution complète pour afficher tous les éléments de contenu disponibles à partir de la solution sélectionnée. Pour plus d’informations, consultez Découvrir et gérer le contenu Microsoft Sentinel prêt à l’emploi.
Gérer les optimisations
Par défaut, les états d’optimisation sont actifs. Modifiez leur statut à mesure que vos équipes progressent en triant et en implémentant des recommandations.
Sélectionnez le menu Options ou sélectionnez Afficher les détails complets pour effectuer l’une des actions suivantes :
| Action | Description |
|---|---|
| Terminé | Effectuez une optimisation lorsque vous avez terminé chaque action recommandée. Si une modification de votre environnement est détectée qui rend la recommandation non pertinente, l’optimisation est automatiquement terminée et déplacée vers l’onglet Terminé. Par exemple, vous pouvez avoir une optimisation liée à une table précédemment inutilisée. Si votre table est maintenant utilisée dans une nouvelle règle d’analytique, la recommandation d’optimisation n’est plus pertinente. Dans ce cas, une bannière s’affiche sous l’onglet Vue d’ensemble avec le nombre d’optimisations effectuées automatiquement depuis votre dernière visite. |
| Marquer comme étant en cours / Marquer comme actif | Marquez une optimisation en cours ou active pour informer les autres membres de l’équipe que vous travaillez activement dessus. Utilisez ces deux états de manière flexible, mais de manière cohérente, selon les besoins de votre organisation. |
| Abandonner | Ignorez une optimisation si vous ne prévoyez pas d’effectuer l’action recommandée et ne souhaitez plus la voir dans la liste. |
| Fournir des commentaires | Nous vous invitons à partager vos réflexions sur les actions recommandées avec l’équipe Microsoft ! Lorsque vous partagez vos commentaires, veillez à ne pas partager de données confidentielles. Pour plus d’informations, consultez Déclaration de confidentialité Microsoft. |
Afficher les optimisations terminées et ignorées
Si vous avez marqué une optimisation spécifique comme terminé ou ignoré, ou si une optimisation a été effectuée automatiquement, elle est répertoriée dans le Terminé et onglets ignorés, respectivement.
À partir de là, sélectionnez le menu options ou sélectionnez Afficher les détails complets pour effectuer l’une des actions suivantes :
réactiver led’optimisation, en le renvoyant à l’onglet Vue d’ensemble . Les optimisations réactivées sont recalculées pour fournir la valeur et l’action les plus mises à jour. Le recalcul de ces détails peut prendre jusqu’à une heure. Attendez donc avant de vérifier les détails et les actions recommandées.
Les optimisations réactivées peuvent également passer directement à l’onglet Terminé si, après le recalcul des détails, ils ne sont plus pertinents.
fournir des commentaires supplémentaires à l’équipe Microsoft. Lorsque vous partagez vos commentaires, veillez à ne pas partager de données confidentielles. Pour plus d’informations, consultez Déclaration de confidentialité Microsoft.
Utiliser des optimisations via l’API
Le groupe d’opérations Recommendations fournit l’accès aux optimisations SOC via l’API REST Azure. Par exemple, utilisez l’API pour obtenir des détails sur des recommandations spécifiques, ou toutes les recommandations actuelles sur vos espaces de travail, ou pour réévaluer une recommandation si vous avez apporté des modifications.
Bien que les optimisations SOC soient en préversion, la documentation de l’API est disponible uniquement dans la spécification Swagger, et non dans la référence de l’API REST. Pour plus d’informations, consultez Versions d’API des API REST Microsoft Sentinel.
Flux d’utilisation de l’optimisation SOC
Cette section fournit un exemple de flux pour l’utilisation des optimisations SOC, à partir du portail Defender ou Azure :
Dans la page d’optimisation SOC, commencez par comprendre le tableau de bord :
- Observez les métriques principales pour l’état d’optimisation globale.
- Passez en revue les recommandations d’optimisation pour la valeur des données et la couverture basée sur les menaces.
Utilisez les recommandations d’optimisation pour identifier les tables avec une faible utilisation, ce qui indique qu’elles ne sont pas utilisées pour les détections. Sélectionnez Afficher les détails complets pour afficher la taille et le coût des données inutilisées. Tenez compte de l’une des actions suivantes :
Ajoutez des règles d’analyse pour utiliser la table pour une protection renforcée. Pour utiliser cette option, sélectionnez Accéder au hub de contenu pour afficher et configurer des modèles de règles analytiques prêtes à l’emploi spécifiques qui utilisent la table sélectionnée. Dans le hub de contenu, vous n’avez pas besoin de rechercher la règle appropriée, car vous êtes dirigé directement vers la règle appropriée.
Si de nouvelles règles analytiques nécessitent des sources de journaux supplémentaires, envisagez de les ingérer pour améliorer la couverture des menaces.
Pour plus d’informations, consultez Découvrir et gérer le contenu prête à l’emploi de Microsoft Sentinel et Détecter les menaces prêtes à l’emploi.
Modifiez votre niveau d’engagement pour réaliser des économies. Pour plus d’informations, consultez Réduire les coûts de Microsoft Sentinel.
Utilisez les recommandations d’optimisation pour améliorer la couverture contre des menaces spécifiques. Par exemple, pour une optimisation des ransomwares gérés par l’homme :
Sélectionnez Afficher les détails complets pour afficher la couverture actuelle et les améliorations suggérées.
Sélectionnez Afficher toutes les améliorations techniques MITRE ATT&CK pour explorer et analyser les tactiques et techniques pertinentes, ce qui vous aide à comprendre l’écart de couverture.
Sélectionnez Accéder au hub de contenu pour afficher tout le contenu de sécurité recommandé, filtré spécifiquement pour cette optimisation.
Après avoir configuré de nouvelles règles ou apporté des modifications, marquez la recommandation comme terminée ou laissez la mise à jour système automatiquement.