A biztonsági műveletek optimalizálása

• A következőre érvényes::

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A Security Operations Center (SOC) csapatai aktívan keresnek lehetőségeket a folyamatok és az eredmények optimalizálására. Gondoskodni szeretne arról, hogy minden olyan adattal rendelkezzen, amelyet a környezet kockázataival szemben meg kell tennie, ugyanakkor gondoskodnia kell arról, hogy ne kelljen több adatot beszednie, mint amennyi szükséges. Ugyanakkor a csapatoknak rendszeresen módosítaniuk kell a biztonsági ellenőrzéseket a veszélyforrások helyzetének és az üzleti prioritások változásának megfelelően, gyorsan és hatékonyan, hogy a beruházások megtérülése magas legyen.

Az SOC optimalizálási módjai lehetővé teszi Önnek a biztonsági vezérlőinek optimalizálását, az idő előrehaladtával egyre több értéket nyerve a Microsoft biztonsági szolgáltatásaiból.

Az SOC-optimalizálás magas megbízhatóságú és intézkedésre alkalmas javaslatokat jelent, amelyek segítenek azonosítani azokat a területeket, ahol csökkentheti a költségeit anélkül, hogy az érintené az SOC-igényeket vagy a lefedettséget, vagy ahol Ön biztonsági ellenőrzési eszközöket és adatokat adhat hozzá, ahol azok hiányoznak. Az SOC optimalizálása a környezethez igazodik, és a jelenlegi lefedettség és fenyegetési környezet alapján van kialakítva.

SoC-optimalizálási javaslatok használatával megszüntetheti a lefedettségi réseket az adott fenyegetések ellen, és szigoríthatja a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket. Az SOC-optimalizálásokkal optimalizálhatja a Microsoft Sentinel-munkaterületet anélkül, hogy saját SOC-csapatainak manuális elemzéssel és kutatásokkal kellene időt tölteniük.

Fontos

A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Az alábbi videóban áttekintheti és demózhatja az SOC-optimalizálást a Defender portálon. Ha csak egy bemutatót szeretne, ugorjon a 8:14-hez.

Előfeltételek

• Az SOC-optimalizálás szabványos Microsoft Sentinel-szerepköröket és engedélyeket használ. További információ: Szerepkörök és engedélyek a Microsoft Sentinelben.

• A SOC-optimalizálás Microsoft Defender portálon való használatához a Microsoft Sentinelnek integrálva kell lennie a Microsoft Defender XDR-sel. További információ: A Microsoft Sentinel csatlakoztatása a Microsoft Defender XDR-hez.

Az SOC optimalizálási oldalának elérése

Használja az alábbi lapok egyikét attól függően, hogy az egyesített SOC-üzemeltetési platformon vagy az Azure Portalon dolgozik:

Azure Portalra

Az Azure PortalOn, a Microsoft Sentinelben a Veszélyforrások kezelése területen válassza az SOC-optimalizálás lehetőséget.

Defender portál

A Microsoft Defender portál egyesített SOC-üzemeltetési platformján válassza a SOC-optimalizálás lehetőséget.

SoC-optimalizálási áttekintési metrikák ismertetése

Az Áttekintés lap tetején látható optimalizálási metrikák magas szintű ismereteket nyújtanak arról, hogy milyen hatékonyan használja az adatokat, és a javaslatok megvalósítása során idővel változni fog.

Az Áttekintés lap tetején támogatott metrikák a következők:

Azure Portalra

Cím	Leírás
Betöltött adatok az elmúlt 3 hónapban	Megjeleníti a munkaterületen az elmúlt három hónapban betöltött összes adatot.
Optimalizálások állapota	A jelenleg aktív, befejezett és elvetett javasolt optimalizálások számát jeleníti meg.

Válassza az Összes veszélyforrás-forgatókönyv megtekintése lehetőséget a releváns fenyegetések, az aktív és ajánlott észlelések, valamint a lefedettségi szintek teljes listájának megtekintéséhez.

Defender portál

Cím	Leírás
Legutóbbi optimalizálási érték	A nemrég végrehajtott javaslatok alapján szerzett érték megjelenítése
Betöltött adatok	Megjeleníti a munkaterületen az elmúlt 90 napban betöltött összes adatot.
Fenyegetésalapú lefedettségoptimalizálások	A releváns fenyegetések lefedettségi szintjeit jeleníti meg. A lefedettségi szintek a munkaterületen található elemzési szabályok számán alapulnak, összehasonlítva a Microsoft kutatócsapata által javasolt szabályok számával. A támogatott lefedettségi szintek a következők: - Legjobb: a javasolt szabályok 90–100%-a megtalálható - Jobb: az ajánlott szabályok 60–89%-a jött létre - Jó: a javasolt szabályok 40–59%-a jött létre - Mérsékelt: az ajánlott szabályok 20–39%-a jött létre - Nincs: a javasolt szabályok 0–19%-a lett létrehozva Válassza az Összes veszélyforrás-forgatókönyv megtekintése lehetőséget a releváns fenyegetések, az aktív és ajánlott észlelések, valamint a lefedettségi szintek teljes listájának megtekintéséhez.
Optimalizálási állapot	A jelenleg aktív, befejezett és elvetett javasolt optimalizálások számát jeleníti meg.

Optimalizálási javaslatok megtekintése és kezelése

Azure Portalra

Az Azure Portal SOC-optimalizálási javaslatait az SOC optimalizálási > áttekintés lapján találja.

Példa:

Defender portál

A Defender portál SOC-optimalizálási javaslatait az SoC-optimalizálás lap Optimalizálások területén találja.

Minden optimalizálási kártya tartalmazza az állapotot, a címet, a létrehozás dátumát, a magas szintű leírást és a munkaterületet, amelyekre vonatkozik.

Feljegyzés

Az SOC-optimalizálási javaslatok kiszámítása 24 óránként történik.

Szűrőoptimalizálások

Az optimalizálási típus alapján szűrheti az optimalizálásokat, vagy egy adott optimalizálási címet kereshet az oldal keresőmezőjének használatával. Az optimalizálási típusok a következők:

• Lefedettség: Fenyegetésalapú javaslatokat tartalmaz a biztonsági vezérlők hozzáadásához, amelyek segítenek a különböző típusú támadások lefedettségi hiányosságainak megszüntetésében.

• Adatérték: Olyan javaslatokat tartalmaz, amelyek javasolják, hogyan javíthatja az adathasználatot a betöltött adatok biztonsági értékének maximalizálása érdekében, vagy javasolhat jobb adatcsomagot a szervezet számára.

Optimalizálási részletek megtekintése és művelet végrehajtása

Minden optimalizálási kártyán válassza a Teljes adatok megtekintése lehetőséget a javaslathoz vezető megfigyelés teljes leírásának megtekintéséhez, valamint a javaslat megvalósításakor a környezetben látható érték megtekintéséhez.

Görgessen le a részletek panel aljára, és keresse meg azt a hivatkozást, ahol elvégezheti az ajánlott műveleteket. Példa:

• Ha az optimalizálás elemzési szabályok hozzáadására vonatkozó javaslatokat tartalmaz, válassza az Ugrás a Content Hubra lehetőséget.
• Ha az optimalizálás javaslatokat tartalmaz a táblák alapszintű naplókba való áthelyezésére, válassza a Terv módosítása lehetőséget.

Ha úgy dönt, hogy egy elemzési szabálysablont telepít a Content Hubról, és még nincs telepítve a megoldás, akkor a megoldásban csak a telepített elemzési szabálysablon jelenik meg, amikor elkészült. Telepítse a teljes megoldást a kijelölt megoldás összes elérhető tartalomelemének megtekintéséhez. További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése.

Optimalizálások kezelése

Alapértelmezés szerint az optimalizálási állapotok aktívak. A csoportok állapotának módosítása a javaslatok osztályozásával és implementálásával.

Válassza a beállítások menüt, vagy válassza a Teljes adatok megtekintése lehetőséget az alábbi műveletek végrehajtásához:

Művelet	Leírás
Teljes	Az egyes javasolt műveletek végrehajtásakor optimalizálást végezhet. Ha olyan változást észlel a környezetben, amely miatt a javaslat irreleváns, az optimalizálás automatikusan befejeződik, és a Kész lapra kerül. Előfordulhat például, hogy egy korábban nem használt táblához kapcsolódó optimalizálási lehetőség áll rendelkezésére. Ha a táblázatot egy új elemzési szabályban használják, az optimalizálási javaslat már nem számít. Ilyen esetekben egy szalagcím jelenik meg az Áttekintés lapon az utolsó látogatás óta automatikusan elvégzett optimalizálások számával.
Megjelölés folyamatban / a megjelölés aktívként	Jelöljön meg egy optimalizálást folyamatban lévőként vagy aktívként, hogy értesítse a többi csapattagot arról, hogy aktívan dolgozik rajta. Ezt a két állapotot rugalmasan, de konzisztensen, a szervezet igényeinek megfelelően használhatja.
Elvetés	Zárja be az optimalizálást, ha nem tervezi elvégezni az ajánlott műveletet, és már nem szeretné látni a listában.
Visszajelzés küldése	Kérjük, ossza meg gondolatait az ajánlott műveletekkel kapcsolatban a Microsoft csapatával! A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

Befejezett és elvetett optimalizálás megtekintése

Ha egy adott optimalizálást befejezettként vagy elvetettként jelölt meg, vagy ha az optimalizálás automatikusan befejeződött, az a Kész és a Elvetett lapon jelenik meg.

Innen válassza a beállítások menüt, vagy válassza a Teljes adatok megtekintése lehetőséget az alábbi műveletek végrehajtásához:

• Aktiválja újra az optimalizálást, és küldje vissza az Áttekintés lapra. Az újraaktivált optimalizálásokat újraszámítja a rendszer, hogy a legfrissebb értéket és műveletet biztosítsa. Ezeknek a részleteknek az újraszámítása akár egy órát is igénybe vehet, ezért várjon, mielőtt újra ellenőrzi a részleteket és a javasolt műveleteket.

  Az újraaktivált optimalizálások közvetlenül a Kész lapra is áthelyezhetők, ha a részletek újraszámítása után már nem relevánsak.

• Küldjön további visszajelzést a Microsoft csapatának. A visszajelzés megosztásakor ügyeljen arra, hogy ne ossza meg bizalmas adatait. További információt a Microsoft adatvédelmi nyilatkozatában talál.

SOC-optimalizálási használati folyamat

Ez a szakasz egy mintafolyamatot biztosít a SOC-optimalizálás használatához a Defenderből vagy az Azure Portalról:

1. Az SOC optimalizálási oldalán kezdje az irányítópult megismerésével:

   • Figyelje meg a legfontosabb metrikákat az általános optimalizálási állapothoz.
   • Tekintse át az adatértékekre és a fenyegetésalapú lefedettségre vonatkozó optimalizálási javaslatokat.

2. Az optimalizálási javaslatok segítségével azonosíthatja az alacsony használatú táblákat, jelezve, hogy nem használják őket észlelésekhez. Válassza a Teljes adatok megtekintése lehetőséget a fel nem használt adatok méretének és költségének megtekintéséhez. Fontolja meg az alábbi műveletek egyikét:

   • Adjon hozzá elemzési szabályokat a táblázat fokozott védelemhez való használatához. A beállítás használatához válassza az Ugrás a Content Hubra lehetőséget a kiválasztott táblát használó speciális beépített elemzési szabálysablonok megtekintéséhez és konfigurálásához. A Tartalomközpontban nem kell keresnie a vonatkozó szabályt, mivel közvetlenül a vonatkozó szabályhoz kerül.

     Ha az új elemzési szabályok további naplóforrásokat igényelnek, fontolja meg a betöltésüket a fenyegetések lefedettségének javítása érdekében.

     További információ: A Microsoft Sentinel beépített tartalmainak felderítése és kezelése, valamint a fenyegetések észlelése a beépítettségen kívül.

   • A költségmegtakarítás érdekében módosítsa a kötelezettségvállalási szintet. További információ: A Microsoft Sentinel költségeinek csökkentése.

3. Az optimalizálási javaslatok segítségével javíthatja az adott fenyegetések elleni lefedettséget. Például egy ember által üzemeltetett zsarolóprogram-optimalizálás esetében:

   1. Válassza a Teljes részletek megtekintése lehetőséget az aktuális lefedettség és a javasolt fejlesztések megtekintéséhez.

   2. Válassza a MITRE ATT&CK-technika fejlesztésének megtekintése lehetőséget a megfelelő taktikák és technikák részletezéséhez és elemzéséhez, segítve a lefedettségi rés megértését.

   3. Válassza az Ugrás a Tartalomközpontra lehetőséget az összes ajánlott biztonsági tartalom megtekintéséhez, amely kifejezetten erre az optimalizálásra van szűrve.

4. Új szabályok konfigurálása vagy módosítások elvégzése után jelölje meg a javaslatot befejezettként, vagy hagyja, hogy a rendszer automatikusan frissüljön.

Kapcsolódó tartalom

• JAVASLATOK SOC-optimalizálási referenciája
• SOC-optimalizálások programozott használata
• Blog: SOC-optimalizálás: a pontosságalapú biztonságkezelés erejének feloldása