A biztonsági műveletek optimalizálása

• A következőre érvényes::

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A Security Operations Center (SOC) csapatai olyan módszereket keresnek, amelyekkel javíthatja a folyamatokat és az eredményeket, és gondoskodhat arról, hogy a kockázatok kezeléséhez szükséges adatokkal rendelkezzen a többletbetöltési költségek nélkül. Az SOC-csapatok biztosítani szeretnék, hogy minden szükséges adattal rendelkezzen a kockázatok elleni fellépéshez anélkül, hogy a szükségesnél több adatért kellene fizetnie. Ugyanakkor az SOC-csapatoknak a fenyegetések és az üzleti prioritások változásával együtt módosítaniuk kell a biztonsági ellenőrzéseket is, így gyorsan és hatékonyan maximalizálva a befektetés megtérülését.

Az SOC-optimalizálás olyan végrehajtható javaslatok, amelyekkel optimalizálhatja a biztonsági vezérlőket, és az idő előrehaladtával egyre több értéket szerezhet a Microsoft biztonsági szolgáltatásaiból. A javaslatok segítenek a költségek csökkentésében anélkül, hogy befolyásolná az SOC-igényeket vagy a lefedettséget, és szükség esetén biztonsági vezérlőket és adatokat adhat hozzá. Ezek az optimalizálások a környezethez vannak igazítva, és a jelenlegi lefedettség és fenyegetési környezet alapján vannak kialakítva.

SoC-optimalizálási javaslatok használatával megszüntetheti a lefedettségi réseket az adott fenyegetések ellen, és szigoríthatja a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket. Az SOC-optimalizálásokkal optimalizálhatja a Microsoft Sentinel-munkaterületet anélkül, hogy saját SOC-csapatainak manuális elemzéssel és kutatásokkal kellene időt tölteniük.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Tekintse meg az alábbi videót a SOC-optimalizálás áttekintéséhez és demózsához a Microsoft Defender portálon. Ha csak egy bemutatót szeretne, ugorjon a 8:14-hez.

Előfeltételek

• Az SOC-optimalizálás szabványos Microsoft Sentinel-szerepköröket és engedélyeket használ. További információért lásd: Szerepkörök és engedélyek a Microsoft Sentinelben.

• Az SOC-optimalizálás a Defender portálon való használatához a Microsoft Sentinelt a Defender portálra kell előkészíteni. További információ: A Microsoft Sentinel csatlakoztatása a Microsoft Defender portálhoz.

Az SOC optimalizálási oldalának elérése

Használja az alábbi lapok egyikét attól függően, hogy az Azure Portalon vagy a Defender portálon dolgozik. Ha a munkaterületet egységes biztonsági műveletekre készítik fel, az SOC optimalizálása magában foglalja a Microsoft biztonsági szolgáltatásainak lefedettségét.

Azure Portalra

Az Azure PortalOn, a Microsoft Sentinelben a Veszélyforrások kezelése területen válassza az SOC-optimalizálás lehetőséget.

Defender portál

A Defender portálon válassza az SOC-optimalizálás lehetőséget.

SoC-optimalizálási áttekintési metrikák ismertetése

Az Áttekintés lap tetején látható optimalizálási metrikák magas szintű ismereteket nyújtanak arról, hogy milyen hatékonyan használja az adatokat, és a javaslatok megvalósítása során idővel változni fog.

Az Áttekintés lap tetején támogatott metrikák a következők:

Azure Portalra

Cím	Leírás
Betöltött adatok az elmúlt 3 hónapban	Megjeleníti a munkaterületen az elmúlt három hónapban betöltött összes adatot.
Optimalizálások állapota	A jelenleg aktív, befejezett és elvetett javasolt optimalizálások számát jeleníti meg.

Válassza az Összes fenyegetési forgatókönyv megtekintése lehetőséget a releváns fenyegetések teljes listájának, az aktív és ajánlott elemzési szabályok százalékos arányának és a lefedettségi szinteknek a megtekintéséhez.

Defender portál

Cím	Leírás
Legutóbbi optimalizálási érték	A nemrég végrehajtott javaslatok alapján szerzett érték megjelenítése
Betöltött adatok	Megjeleníti a munkaterületen az elmúlt 90 napban betöltött összes adatot.
Fenyegetésalapú lefedettségoptimalizálások	Az alábbi lefedettségi mutatók egyikét jeleníti meg a munkaterületen található elemzési szabályok száma alapján, összehasonlítva a Microsoft kutatócsoportja által javasolt szabályok számával: - Magas: A javasolt szabályok több mint 75%-a aktiválva van - Közepes: Az ajánlott szabályok 30–74%-a aktiválva van - Alacsony: A javasolt szabályok 0–29%-a aktiválva van. Válassza az Összes veszélyforrás-forgatókönyv megtekintése lehetőséget a releváns fenyegetések, az aktív és ajánlott észlelések, valamint a lefedettségi szintek teljes listájának megtekintéséhez. Ezután válasszon ki egy fenyegetési forgatókönyvet, hogy részletesebben részletezhesse a javaslatot egy külön, fenyegetésforgatókönyv részleteinek oldalán.
Optimalizálási állapot	A jelenleg aktív, befejezett és elvetett javasolt optimalizálások számát jeleníti meg.

Optimalizálási javaslatok megtekintése és kezelése

Azure Portalra

Az Azure Portal SOC-optimalizálási javaslatait az SOC optimalizálási > áttekintés lapján találja.

Példa:

Defender portál

A Defender portál SOC-optimalizálási javaslatait az SoC-optimalizálás lap Optimalizálások területén találja.

Az SOC-optimalizálási javaslatok kiszámítása 24 óránként történik. Minden optimalizálási kártya tartalmazza az állapotot, a címet, a létrehozás dátumát, a magas szintű leírást és a munkaterületet, amelyekre vonatkozik.

Szűrőoptimalizálások

Az optimalizálási típus alapján szűrheti az optimalizálásokat, vagy egy adott optimalizálási címet kereshet az oldal keresőmezőjének használatával. Az optimalizálási típusok a következők:

• Lefedettség: Fenyegetésalapú javaslatokat tartalmaz a biztonsági vezérlők hozzáadásához, amelyek segítenek a különböző típusú támadások lefedettségi hiányosságainak megszüntetésében.

• Adatérték: Olyan javaslatokat tartalmaz, amelyek javasolják, hogyan javíthatja az adathasználatot a betöltött adatok biztonsági értékének maximalizálása érdekében, vagy javasolhat jobb adatcsomagot a szervezet számára.

Optimalizálási részletek megtekintése és művelet végrehajtása

A használt portáltól függően válassza az alábbi lapok egyikét:

Azure Portalra

Minden optimalizálási kártyán válassza a Részletek megtekintése lehetőséget a javaslathoz vezető megfigyelés teljes leírásának megtekintéséhez, valamint a javaslat megvalósításakor a környezetben látható érték megtekintéséhez.

Görgessen le a részletek panel aljára, és keresse meg azt a hivatkozást, ahol elvégezheti az ajánlott műveleteket. Példa:

• Ha az optimalizálás elemzési szabályok hozzáadására vonatkozó javaslatokat tartalmaz, válassza az Ugrás a Content Hubra lehetőséget.
• Ha az optimalizálás javaslatokat tartalmaz a táblák alapszintű naplókba való áthelyezésére, válassza a Terv módosítása lehetőséget.

Defender portál

1. Minden optimalizálási kártyán válassza a Részletek megtekintése lehetőséget a javaslathoz vezető megfigyelés teljes leírásának megtekintéséhez, valamint a javaslat megvalósításakor a környezetben látható érték megtekintéséhez.

2. Fenyegetésalapú lefedettségoptimalizálás esetén:

   • Váltson a pókdiagramok között, hogy megértse a különböző taktikák és technikák lefedettségét a környezetben aktív felhasználó által definiált és beépített észlelések alapján.
   • Válassza a Fenyegetési forgatókönyv megtekintése a MITRE ATT&CK-ban lehetőséget a MITRE ATT&CK lapra való ugráshoz a Microsoft Sentinelben, amelyet előre módosítottak a fenyegetési forgatókönyvhöz. További információ: [A MITRE ATT&CK® keretrendszer biztonsági lefedettségének ismertetése].

3. Görgessen le a részletek panel aljára, és keresse meg azt a hivatkozást, ahol elvégezheti az ajánlott műveleteket. Példa:

• Ha az optimalizálás elemzési szabályok hozzáadására vonatkozó javaslatokat tartalmaz, válassza az Ugrás a Content Hubra lehetőséget.

• Ha az optimalizálás javaslatokat tartalmaz a táblák alapszintű naplókba való áthelyezésére, válassza a Terv módosítása lehetőséget.

• A fenyegetésalapú lefedettség optimalizálásához válassza a Teljes veszélyforrás-forgatókönyv megtekintése lehetőséget a releváns fenyegetések, az aktív és ajánlott észlelések, valamint a lefedettségi szintek teljes listájának megtekintéséhez. Innen közvetlenül a Content Hubra ugorhat az ajánlott észlelések aktiválásához, vagy a MITRE ATT&CK oldalára a kiválasztott forgatókönyv teljes MITRE ATT&CK-lefedettségének megtekintéséhez. Példa:

  

Ha elemzési szabálysablont telepít a Content Hubról a megoldás telepítése nélkül, csak a telepített sablon jelenik meg a megoldásban.

Telepítse a teljes megoldást a kijelölt megoldás összes elérhető tartalomelemének megtekintéséhez. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Optimalizálások kezelése

Alapértelmezés szerint az optimalizálási állapotok aktívak. A csoportok állapotának módosítása a javaslatok osztályozásával és implementálásával.

Válassza a beállítások menüt, vagy válassza a Részletek megtekintése lehetőséget az alábbi műveletek végrehajtásához:

Művelet	Leírás
Teljes	Az egyes javasolt műveletek végrehajtásakor optimalizálást végezhet. Ha olyan változást észlel a környezetben, amely miatt a javaslat irreleváns, az optimalizálás automatikusan befejeződik, és a Kész lapra kerül. Előfordulhat például, hogy egy korábban nem használt táblához kapcsolódó optimalizálási lehetőség áll rendelkezésére. Ha a táblázatot egy új elemzési szabályban használják, az optimalizálási javaslat már nem számít. Ilyen esetekben egy szalagcím jelenik meg az Áttekintés lapon az utolsó látogatás óta automatikusan elvégzett optimalizálások számával.
Megjelölés folyamatban / a megjelölés aktívként	Jelöljön meg egy optimalizálást folyamatban lévőként vagy aktívként, hogy értesítse a többi csapattagot arról, hogy aktívan dolgozik rajta. Ezt a két állapotot rugalmasan, de konzisztensen, a szervezet igényeinek megfelelően használhatja.
Elvetés	Zárja be az optimalizálást, ha nem tervezi elvégezni az ajánlott műveletet, és már nem szeretné látni a listában.
Visszajelzés küldése	Kérjük, ossza meg gondolatait az ajánlott műveletekkel kapcsolatban a Microsoft csapatával! A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

Befejezett és elvetett optimalizálás megtekintése

Ha egy adott optimalizálást befejezettként vagy elvetettként jelölt meg, vagy ha az optimalizálás automatikusan befejeződik, az a Kész és a Elvetett lapon jelenik meg.

Innen válassza a beállítások menüt, vagy válassza a Teljes adatok megtekintése lehetőséget az alábbi műveletek végrehajtásához:

• Aktiválja újra az optimalizálást, és küldje vissza az Áttekintés lapra. Az újraaktivált optimalizálásokat újraszámítja a rendszer, hogy a legfrissebb értéket és műveletet biztosítsa. Ezeknek a részleteknek az újraszámítása akár egy órát is igénybe vehet, ezért várjon, mielőtt újra ellenőrzi a részleteket és a javasolt műveleteket.

  Az újraaktivált optimalizálások közvetlenül a Kész lapra is áthelyezhetők, ha a részletek újraszámítása után már nem relevánsak.

• Küldjön további visszajelzést a Microsoft csapatának. A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

SOC-optimalizálási használati folyamat

Ez a szakasz egy mintafolyamatot biztosít a SOC-optimalizálás használatához a Defenderből vagy az Azure Portalról:

1. Az SOC optimalizálási oldalán kezdje az irányítópult megismerésével:

   • Figyelje meg a legfontosabb metrikákat az általános optimalizálási állapothoz.
   • Tekintse át az adatértékekre és a fenyegetésalapú lefedettségre vonatkozó optimalizálási javaslatokat.

2. Az optimalizálási javaslatok segítségével azonosíthatja az alacsony használatú táblákat, jelezve, hogy nem használják őket észlelésekhez. Válassza a Teljes adatok megtekintése lehetőséget a fel nem használt adatok méretének és költségének megtekintéséhez. Fontolja meg az alábbi műveletek egyikét:

   • Adjon hozzá elemzési szabályokat a táblázat fokozott védelemhez való használatához. A beállítás használatához válassza az Ugrás a Content Hubra lehetőséget a kiválasztott táblát használó speciális beépített elemzési szabálysablonok megtekintéséhez és konfigurálásához. A Tartalomközpontban nem kell keresnie a vonatkozó szabályt, mivel közvetlenül a vonatkozó szabályhoz kerül.

     Ha az új elemzési szabályok további naplóforrásokat igényelnek, fontolja meg a betöltésüket a fenyegetések lefedettségének javítása érdekében.

     További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése, valamint a fenyegetések észlelése a beépítettségen kívül.

   • A költségmegtakarítás érdekében módosítsa a kötelezettségvállalási szintet. További információ: A Microsoft Sentinel költségeinek csökkentése.

3. Az optimalizálási javaslatok segítségével javíthatja az adott fenyegetések elleni lefedettséget. Például egy ember által üzemeltetett zsarolóprogram-optimalizálás esetében:

   1. Válassza a Teljes részletek megtekintése lehetőséget az aktuális lefedettség és a javasolt fejlesztések megtekintéséhez.

   2. Válassza a MITRE ATT&CK-technika fejlesztésének megtekintése lehetőséget a megfelelő taktikák és technikák részletezéséhez és elemzéséhez, segítve a lefedettségi rés megértését.

   3. Válassza az Ugrás a Tartalomközpontra lehetőséget az összes ajánlott biztonsági tartalom megtekintéséhez, amely kifejezetten erre az optimalizálásra van szűrve.

4. Új szabályok konfigurálása vagy módosítások elvégzése után jelölje meg a javaslatot befejezettként, vagy hagyja, hogy a rendszer automatikusan frissüljön.

Kapcsolódó tartalom

• JAVASLATOK SOC-optimalizálási referenciája
• SOC-optimalizálások programozott használata
• Blog: SOC-optimalizálás: a pontosságalapú biztonságkezelés erejének feloldása