JAVASLATOK SOC-optimalizálási referenciája
SoC-optimalizálási javaslatok használatával megszüntetheti a lefedettségi réseket az adott fenyegetések ellen, és szigoríthatja a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket. Az SOC-optimalizálásokkal optimalizálhatja a Microsoft Sentinel-munkaterületet anélkül, hogy saját SOC-csapatainak manuális elemzéssel és kutatásokkal kellene időt tölteniük.
A Microsoft Sentinel SOC optimalizálása a következő javaslatokat tartalmazza:
A fenyegetésalapú optimalizálások olyan biztonsági vezérlők hozzáadását javasolják, amelyek segítenek a lefedettségi rések megszüntetésében.
Az adatérték-optimalizálások olyan módszereket javasolnak, amelyekkel javíthatja az adathasználatot, például jobb adatcsomagot hozhat létre a szervezet számára.
Ez a cikk az elérhető SOC-optimalizálási javaslatokra hivatkozik.
Fontos
A Microsoft Sentinel mostantól általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
Adatérték-optimalizálások
A biztonsági érték arányának optimalizálása érdekében az SOC optimalizálása alig használt adatösszekötőket vagy táblákat fed fel, és a lefedettségtől függően módot javasol a táblák költségeinek csökkentésére vagy értékének javítására. Ezt az optimalizálási típust adatérték-optimalizálásnak is nevezik.
Az adatérték-optimalizálások csak azokat a számlázható táblákat tekintik meg, amelyek az elmúlt 30 napban töltötték be az adatokat.
Az alábbi táblázat az elérhető adatérték SOC-optimalizálási javaslatait sorolja fel:
| Megfigyelés | Művelet |
|---|---|
| A táblát az elmúlt 30 napban nem használták elemzési szabályok vagy észlelések, hanem más források, például munkafüzetek, napló lekérdezések, keresési lekérdezések használták. | Elemzési szabálysablonok bekapcsolása VAGY Váltás alapnaplókra, ha a tábla jogosult |
| A táblázatot egyáltalán nem használták az elmúlt 30 napban | Elemzési szabálysablonok bekapcsolása VAGY Adatbetöltés leállítása vagy a tábla archiválása |
| A táblát csak az Azure Monitor használta | A biztonsági értékkel rendelkező táblákra vonatkozó elemzési szabálysablonok bekapcsolása VAGY Áthelyezés nem biztonsági Log Analytics-munkaterületre |
Ha az UEBA-hoz vagy a fenyegetésintelligencia-megfeleltetési elemzési szabályhoz van kiválasztva egy tábla, az SOC-optimalizálás nem javasolja a betöltés módosítását.
Fontos
A betöltési tervek módosításakor azt javasoljuk, hogy mindig gondoskodjon arról, hogy a betöltési tervek korlátai egyértelműek legyenek, és hogy az érintett táblák ne kerüljenek be a megfelelőség vagy más hasonló okok miatt.
Fenyegetésalapú optimalizálás
Az adatérték optimalizálása érdekében az SOC-optimalizálás azt javasolja, hogy biztonsági vezérlőket adjon hozzá a környezethez további észlelések és adatforrások formájában, fenyegetésalapú megközelítéssel.
A fenyegetésalapú javaslatok biztosítása érdekében az SOC optimalizálása megvizsgálja a betöltött naplókat és az engedélyezett elemzési szabályokat, és összehasonlítja azokat a naplókkal és észlelésekkel, amelyek a támadások bizonyos típusainak védelméhez, észleléséhez és megválaszolásához szükségesek. Ezt az optimalizálási típust lefedettségoptimalizálásnak is nevezik, és a Microsoft biztonsági kutatásán alapul. Az SOC-optimalizálás a felhasználó által definiált és a beépített észleléseket is figyelembe veszi.
Az alábbi táblázat a veszélyforrás-alapú SOC-optimalizálási javaslatokat sorolja fel:
| Megfigyelés | Művelet |
|---|---|
| Vannak adatforrások, de az észlelések hiányoznak. | Kapcsolja be az elemzési szabálysablonokat a fenyegetés alapján. |
| A sablonok be vannak kapcsolva, de az adatforrások hiányoznak. | Új adatforrások csatlakoztatása. |
| Nincsenek meglévő észlelések vagy adatforrások. | Csatlakoztassa az észleléseket és az adatforrásokat, vagy telepítsen egy megoldást. |
Kapcsolódó tartalom
- SOC-optimalizálások programozott használata (előzetes verzió)
- Blog: SOC-optimalizálás: a pontosságalapú biztonságkezelés erejének feloldása