Megosztás a következőn keresztül:


A biztonsági műveletek optimalizálása

A Security Operations Center (SOC) csapatai olyan módszereket keresnek, amelyekkel javíthatja a folyamatokat és az eredményeket, és gondoskodhat arról, hogy a kockázatok kezeléséhez szükséges adatokkal rendelkezzen a többletbetöltési költségek nélkül. Az SOC-csapatok biztosítani szeretnék, hogy minden szükséges adattal rendelkezzen a kockázatok elleni fellépéshez anélkül, hogy a szükségesnél több adatért kellene fizetnie. Ugyanakkor az SOC-csapatoknak a fenyegetések és az üzleti prioritások változásával együtt módosítaniuk kell a biztonsági ellenőrzéseket is, így gyorsan és hatékonyan maximalizálva a befektetés megtérülését.

Az SOC-optimalizálás olyan végrehajtható javaslatok, amelyekkel optimalizálhatja a biztonsági vezérlőket, és az idő előrehaladtával egyre több értéket szerezhet a Microsoft biztonsági szolgáltatásaiból. A javaslatok segítenek a költségek csökkentésében anélkül, hogy befolyásolná az SOC-igényeket vagy a lefedettséget, és szükség esetén biztonsági vezérlőket és adatokat adhat hozzá. Ezek az optimalizálások a környezethez vannak igazítva, és a jelenlegi lefedettség és fenyegetési környezet alapján vannak kialakítva.

SoC-optimalizálási javaslatok használatával megszüntetheti a lefedettségi réseket az adott fenyegetések ellen, és szigoríthatja a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket. Az SOC-optimalizálásokkal optimalizálhatja a Microsoft Sentinel-munkaterületet anélkül, hogy saját SOC-csapatainak manuális elemzéssel és kutatásokkal kellene időt tölteniük.

Fontos

A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Tekintse meg az alábbi videót a SOC-optimalizálás áttekintéséhez és demózsához a Microsoft Defender portálon. Ha csak egy bemutatót szeretne, ugorjon a 8:14-hez.

Előfeltételek

Az SOC optimalizálási oldalának elérése

Használja az alábbi lapok egyikét attól függően, hogy az Azure Portalon vagy a Defender portálon dolgozik. Ha a munkaterületet egységes biztonsági műveletekre készítik fel, az SOC optimalizálása magában foglalja a Microsoft biztonsági szolgáltatásainak lefedettségét.

Az Azure PortalOn, a Microsoft Sentinelben a Veszélyforrások kezelése területen válassza az SOC-optimalizálás lehetőséget.

Képernyőkép az Azure Portal SOC-optimalizálási oldaláról.

SoC-optimalizálási áttekintési metrikák ismertetése

Az Áttekintés lap tetején látható optimalizálási metrikák magas szintű ismereteket nyújtanak arról, hogy milyen hatékonyan használja az adatokat, és a javaslatok megvalósítása során idővel változni fog.

Az Áttekintés lap tetején támogatott metrikák a következők:

Cím Leírás
Betöltött adatok az elmúlt 3 hónapban Megjeleníti a munkaterületen az elmúlt három hónapban betöltött összes adatot.
Optimalizálások állapota A jelenleg aktív, befejezett és elvetett javasolt optimalizálások számát jeleníti meg.

Válassza az Összes fenyegetési forgatókönyv megtekintése lehetőséget a releváns fenyegetések teljes listájának, az aktív és ajánlott elemzési szabályok százalékos arányának és a lefedettségi szinteknek a megtekintéséhez.

Optimalizálási javaslatok megtekintése és kezelése

Az Azure Portal SOC-optimalizálási javaslatait az SOC optimalizálási > áttekintés lapján találja.

Példa:

Képernyőkép az Azure Portal SOC-optimalizálási áttekintés lapjáról.

Az SOC-optimalizálási javaslatok kiszámítása 24 óránként történik. Minden optimalizálási kártya tartalmazza az állapotot, a címet, a létrehozás dátumát, a magas szintű leírást és a munkaterületet, amelyekre vonatkozik.

Szűrőoptimalizálások

Az optimalizálási típus alapján szűrheti az optimalizálásokat, vagy egy adott optimalizálási címet kereshet az oldal keresőmezőjének használatával. Az optimalizálási típusok a következők:

  • Lefedettség: Fenyegetésalapú javaslatokat tartalmaz a biztonsági vezérlők hozzáadásához, amelyek segítenek a különböző típusú támadások lefedettségi hiányosságainak megszüntetésében.

  • Adatérték: Olyan javaslatokat tartalmaz, amelyek javasolják, hogyan javíthatja az adathasználatot a betöltött adatok biztonsági értékének maximalizálása érdekében, vagy javasolhat jobb adatcsomagot a szervezet számára.

Optimalizálási részletek megtekintése és művelet végrehajtása

A használt portáltól függően válassza az alábbi lapok egyikét:

Minden optimalizálási kártyán válassza a Részletek megtekintése lehetőséget a javaslathoz vezető megfigyelés teljes leírásának megtekintéséhez, valamint a javaslat megvalósításakor a környezetben látható érték megtekintéséhez.

Görgessen le a részletek panel aljára, és keresse meg azt a hivatkozást, ahol elvégezheti az ajánlott műveleteket. Példa:

  • Ha az optimalizálás elemzési szabályok hozzáadására vonatkozó javaslatokat tartalmaz, válassza az Ugrás a Content Hubra lehetőséget.
  • Ha az optimalizálás javaslatokat tartalmaz a táblák alapszintű naplókba való áthelyezésére, válassza a Terv módosítása lehetőséget.

Ha elemzési szabálysablont telepít a Content Hubról a megoldás telepítése nélkül, csak a telepített sablon jelenik meg a megoldásban.

Telepítse a teljes megoldást a kijelölt megoldás összes elérhető tartalomelemének megtekintéséhez. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Optimalizálások kezelése

Alapértelmezés szerint az optimalizálási állapotok aktívak. A csoportok állapotának módosítása a javaslatok osztályozásával és implementálásával.

Válassza a beállítások menüt, vagy válassza a Részletek megtekintése lehetőséget az alábbi műveletek végrehajtásához:

Művelet Leírás
Teljes Az egyes javasolt műveletek végrehajtásakor optimalizálást végezhet.

Ha olyan változást észlel a környezetben, amely miatt a javaslat irreleváns, az optimalizálás automatikusan befejeződik, és a Kész lapra kerül.

Előfordulhat például, hogy egy korábban nem használt táblához kapcsolódó optimalizálási lehetőség áll rendelkezésére. Ha a táblázatot egy új elemzési szabályban használják, az optimalizálási javaslat már nem számít.

Ilyen esetekben egy szalagcím jelenik meg az Áttekintés lapon az utolsó látogatás óta automatikusan elvégzett optimalizálások számával.
Megjelölés folyamatban / a megjelölés aktívként Jelöljön meg egy optimalizálást folyamatban lévőként vagy aktívként, hogy értesítse a többi csapattagot arról, hogy aktívan dolgozik rajta.

Ezt a két állapotot rugalmasan, de konzisztensen, a szervezet igényeinek megfelelően használhatja.
Elvetés Zárja be az optimalizálást, ha nem tervezi elvégezni az ajánlott műveletet, és már nem szeretné látni a listában.
Visszajelzés küldése Kérjük, ossza meg gondolatait az ajánlott műveletekkel kapcsolatban a Microsoft csapatával!

A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

Befejezett és elvetett optimalizálás megtekintése

Ha egy adott optimalizálást befejezettként vagy elvetettként jelölt meg, vagy ha az optimalizálás automatikusan befejeződik, az a Kész és a Elvetett lapon jelenik meg.

Innen válassza a beállítások menüt, vagy válassza a Teljes adatok megtekintése lehetőséget az alábbi műveletek végrehajtásához:

  • Aktiválja újra az optimalizálást, és küldje vissza az Áttekintés lapra. Az újraaktivált optimalizálásokat újraszámítja a rendszer, hogy a legfrissebb értéket és műveletet biztosítsa. Ezeknek a részleteknek az újraszámítása akár egy órát is igénybe vehet, ezért várjon, mielőtt újra ellenőrzi a részleteket és a javasolt műveleteket.

    Az újraaktivált optimalizálások közvetlenül a Kész lapra is áthelyezhetők, ha a részletek újraszámítása után már nem relevánsak.

  • Küldjön további visszajelzést a Microsoft csapatának. A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

SOC-optimalizálási használati folyamat

Ez a szakasz egy mintafolyamatot biztosít a SOC-optimalizálás használatához a Defenderből vagy az Azure Portalról:

  1. Az SOC optimalizálási oldalán kezdje az irányítópult megismerésével:

    • Figyelje meg a legfontosabb metrikákat az általános optimalizálási állapothoz.
    • Tekintse át az adatértékekre és a fenyegetésalapú lefedettségre vonatkozó optimalizálási javaslatokat.
  2. Az optimalizálási javaslatok segítségével azonosíthatja az alacsony használatú táblákat, jelezve, hogy nem használják őket észlelésekhez. Válassza a Teljes adatok megtekintése lehetőséget a fel nem használt adatok méretének és költségének megtekintéséhez. Fontolja meg az alábbi műveletek egyikét:

    • Adjon hozzá elemzési szabályokat a táblázat fokozott védelemhez való használatához. A beállítás használatához válassza az Ugrás a Content Hubra lehetőséget a kiválasztott táblát használó speciális beépített elemzési szabálysablonok megtekintéséhez és konfigurálásához. A Tartalomközpontban nem kell keresnie a vonatkozó szabályt, mivel közvetlenül a vonatkozó szabályhoz kerül.

      Ha az új elemzési szabályok további naplóforrásokat igényelnek, fontolja meg a betöltésüket a fenyegetések lefedettségének javítása érdekében.

      További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése, valamint a fenyegetések észlelése a beépítettségen kívül.

    • A költségmegtakarítás érdekében módosítsa a kötelezettségvállalási szintet. További információ: A Microsoft Sentinel költségeinek csökkentése.

  3. Az optimalizálási javaslatok segítségével javíthatja az adott fenyegetések elleni lefedettséget. Például egy ember által üzemeltetett zsarolóprogram-optimalizálás esetében:

    1. Válassza a Teljes részletek megtekintése lehetőséget az aktuális lefedettség és a javasolt fejlesztések megtekintéséhez.

    2. Válassza a MITRE ATT&CK-technika fejlesztésének megtekintése lehetőséget a megfelelő taktikák és technikák részletezéséhez és elemzéséhez, segítve a lefedettségi rés megértését.

    3. Válassza az Ugrás a Tartalomközpontra lehetőséget az összes ajánlott biztonsági tartalom megtekintéséhez, amely kifejezetten erre az optimalizálásra van szűrve.

  4. Új szabályok konfigurálása vagy módosítások elvégzése után jelölje meg a javaslatot befejezettként, vagy hagyja, hogy a rendszer automatikusan frissüljön.