Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A SOC-optimalizálási javaslatok segítségével megszüntetheti a lefedettségi hiányosságokat az adott fenyegetések ellen, és szigoríthatja a betöltési arányt olyan adatokkal szemben, amelyek nem biztosítanak biztonsági értéket. Az SOC-optimalizálásokkal optimalizálhatja a Microsoft Sentinel-munkaterületet anélkül, hogy az SOC-csapatok manuális elemzéssel és kutatásokkal töltenek időt.
Microsoft Sentinel SOC-optimalizálások a következő javaslatokat tartalmazzák:
Az adatértékekre vonatkozó javaslatok olyan módszereket javasolnak, amelyekkel javíthatja az adathasználatot, például egy jobb adatcsomagot a szervezet számára.
A lefedettségalapú javaslatok olyan vezérlők hozzáadását javasolják, amelyek megakadályozzák a lefedettségi hiányosságokat, amelyek pénzügyi veszteséget okozó támadások vagy forgatókönyvek sebezhetőségéhez vezethetnek. A lefedettségi javaslatok a következők:
- Fenyegetésalapú javaslatok: Olyan biztonsági vezérlők hozzáadását javasolja, amelyek segítenek észlelni a lefedettségi hiányosságokat a támadások és a biztonsági rések megelőzése érdekében.
- AI MITRE ATT&CK címkézési javaslatok (előzetes verzió): Mesterséges intelligenciával javasol biztonsági észleléseket a MITRE ATT&CK-taktikák és technikák használatával.
- Kockázatalapú javaslatok (előzetes verzió): Ellenőrzéseket javasol az olyan használati esetekhez kapcsolódó lefedettségi hiányosságok kezelésére, amelyek üzleti kockázatokat vagy pénzügyi veszteségeket okozhatnak, beleértve a működési, pénzügyi, hírnévbeli, megfelelőségi és jogi kockázatokat.
A hasonló szervezetekre vonatkozó javaslatok arra utalnak, hogy olyan szervezetek által használt forrástípusokból származó adatokat kell betölteniük, amelyek hasonló betöltési trendekkel és iparági profilokkal rendelkeznek az Önéhez.
Ez a cikk részletesen ismerteti az elérhető SOC-optimalizálási javaslatok típusait.
Fontos
2027. március 31. után a Microsoft Sentinel már nem támogatott a Azure Portal, és csak a Microsoft Defender portálon lesz elérhető. A Azure Portal-ben Microsoft Sentinel használó összes ügyfél át lesz irányítva a Defender portálra, és csak a Defender portálon Microsoft Sentinel fog használni.
Ha továbbra is Microsoft Sentinel használ a Azure Portal, javasoljuk, hogy kezdje el megtervezni a Defender portálra való áttérést, hogy zökkenőmentes átmenetet biztosítson, és teljes mértékben kihasználhassa a Microsoft Defender által kínált egységes biztonsági műveletek nyújtotta előnyöket.
Adatérték-optimalizálási javaslatok
A költség-biztonsági érték arány optimalizálása érdekében az SOC-optimalizálás alig használt adatösszekötőket vagy táblákat jelenít meg. A SOC-optimalizálás módot javasol a táblák költségeinek csökkentésére vagy értékének javítására a lefedettségtől függően. Ezt az optimalizálási típust adatérték-optimalizálásnak is nevezik.
Az adatértékek optimalizálása csak azokat a számlázható táblákat vizsgálja, amelyek az elmúlt 30 napban betöltötték az adatokat.
Az alábbi táblázat az adatértékek SOC-optimalizálási javaslatainak elérhető típusait sorolja fel:
| A megfigyelés típusa | Művelet |
|---|---|
| A táblát nem használták elemzési szabályok vagy észlelések az elmúlt 30 napban, hanem más források, például munkafüzetek, naplóbeli lekérdezések és keresési lekérdezések használták. | Elemzési szabálysablonok bekapcsolása VAGY Helyezze át a táblát egy alapszintű naplócsomagba , ha a tábla jogosult. |
| A táblázatot az elmúlt 30 napban egyáltalán nem használták. | Elemzési szabálysablonok bekapcsolása VAGY Állítsa le az adatbetöltést, és távolítsa el a táblát, vagy helyezze át a táblát hosszú távú megőrzésre. |
| A táblát csak Azure Monitor használta. | A megfelelő elemzési szabálysablonok bekapcsolása biztonsági értékkel rendelkező táblákhoz VAGY Lépjen egy nem biztonsági Log Analytics-munkaterületre. |
Ha egy táblát választ az UEBA-hoz vagy egy fenyegetésintelligencia-egyeztetési elemzési szabályhoz, az SOC-optimalizálás nem javasol módosításokat a betöltésben.
Nem használt oszlopok (előzetes verzió)
A SOC-optimalizálás a táblák nem használt oszlopait is felfedi. Az alábbi táblázat az SOC-optimalizálási javaslatokhoz elérhető oszloptípusokat sorolja fel:
| A megfigyelés típusa | Művelet |
|---|---|
| A SignInLogs tábla ConditionalAccessPolicies oszlopa vagy az AADNonInteractiveUserSignInLogs tábla nincs használatban. | Állítsa le az oszlop adatbetöltését. |
Fontos
A betöltési tervek módosításakor azt javasoljuk, hogy mindig gondoskodjon arról, hogy a betöltési tervek korlátai egyértelműek legyenek, és hogy az érintett táblákat ne a megfelelőség vagy más hasonló okok miatt lehessen betöltésre.
Lefedettségalapú optimalizálási javaslatok
A lefedettségalapú optimalizálási javaslatok segítenek megszüntetni a lefedettségi hiányosságokat az adott fenyegetések vagy az üzleti kockázatokhoz és pénzügyi veszteséghez vezető forgatókönyvek esetén.
Fenyegetésalapú optimalizálási javaslatok
Az adatérték optimalizálása érdekében az SOC-optimalizálás biztonsági vezérlők hozzáadását javasolja a környezethez további észlelések és adatforrások formájában, fenyegetésalapú megközelítés használatával. Ezt az optimalizálási típust lefedettségoptimalizálásnak is nevezik, és a Microsoft biztonsági kutatásán alapul.
Az SOC-optimalizálás fenyegetésalapú javaslatokat nyújt a betöltött naplók és az engedélyezett elemzési szabályok elemzésével, majd összehasonlítja őket az adott típusú támadások kezeléséhez szükséges naplókkal és észlelésekkel.
A fenyegetésalapú optimalizálás előre definiált és felhasználó által definiált észleléseket is figyelembe vesz.
Az alábbi táblázat a fenyegetésalapú SOC-optimalizálási javaslatok elérhető típusait sorolja fel:
| A megfigyelés típusa | Művelet |
|---|---|
| Vannak adatforrások, de az észlelések hiányoznak. | Kapcsolja be az elemzési szabálysablonokat a fenyegetés alapján: Hozzon létre egy szabályt egy elemzési szabálysablon használatával, és módosítsa a nevet, a leírást és a lekérdezési logikát a környezetének megfelelően. További információ: Fenyegetésészlelés Microsoft Sentinel. |
| A sablonok be vannak kapcsolva, de az adatforrások hiányoznak. | Új adatforrások csatlakoztatása. |
| Nincsenek meglévő észlelések vagy adatforrások. | Csatlakoztassa az észleléseket és az adatforrásokat, vagy telepítsen egy megoldást. |
AI MITRE ATT&CK címkézési javaslatok (előzetes verzió)
Az AI MITRE ATT&CK címkézési funkciója mesterséges intelligenciát használ a biztonsági észlelések automatikus címkézéséhez. Az AI-modell az ügyfél munkaterületén fut, és címkézési javaslatokat hoz létre a címkézetlen észlelésekhez a megfelelő MITRE ATT&CK-taktikával és -technikákkal.
Az ügyfelek alkalmazhatják ezeket a javaslatokat annak érdekében, hogy a biztonsági lefedettségük alapos és pontos legyen. Ez biztosítja a teljes és pontos biztonsági lefedettséget, javítva a fenyegetésészlelési és reagálási képességeket.
3 módszer az AI MITRE ATT&CK címkézési javaslatainak alkalmazására:
- Alkalmazza a javaslatot egy adott elemzési szabályra.
- Alkalmazza a javaslatot a munkaterület összes elemzési szabályára.
- Ne alkalmazza a javaslatot semmilyen elemzési szabályra.
Kockázatalapú optimalizálási javaslatok (előzetes verzió)
A kockázatalapú optimalizálás valós biztonsági forgatókönyveket is figyelembe vesz, amelyekhez üzleti kockázatok tartoznak, például működési, pénzügyi, megbízhatósági, megfelelőségi és jogi kockázatokkal. A javaslatok a biztonság Microsoft Sentinel kockázatalapú megközelítésén alapulnak.
A kockázatalapú javaslatok biztosításához az SOC-optimalizálás megvizsgálja a betöltött naplókat és elemzési szabályokat, és összehasonlítja őket azokkal a naplókkal és észlelésekkel, amelyek az üzleti kockázatokat okozó konkrét típusú támadások védelméhez, észleléséhez és megválaszolásához szükségesek. A kockázatalapú javaslatok optimalizálása előre definiált és felhasználó által definiált észleléseket is figyelembe vesz.
Az alábbi táblázat a kockázatalapú SOC-optimalizálási javaslatok elérhető típusait sorolja fel:
| A megfigyelés típusa | Művelet |
|---|---|
| Vannak adatforrások, de az észlelések hiányoznak. | Az elemzési szabálysablonok bekapcsolása az üzleti kockázatok alapján: Hozzon létre egy szabályt egy elemzési szabálysablon használatával, és módosítsa a nevet, a leírást és a lekérdezési logikát a környezetének megfelelően. |
| A sablonok be vannak kapcsolva, de az adatforrások hiányoznak. | Új adatforrások csatlakoztatása. |
| Nincsenek meglévő észlelések vagy adatforrások. | Csatlakoztassa az észleléseket és az adatforrásokat, vagy telepítsen egy megoldást. |
Hasonló szervezetekre vonatkozó javaslatok
Az SOC-optimalizálás fejlett gépi tanulással azonosítja a munkaterületről hiányzó, de hasonló betöltési trendekkel és iparági profilokkal rendelkező szervezetek által használt táblákat. Bemutatja, hogy más szervezetek hogyan használják ezeket a táblákat, és a kapcsolódó szabályokkal együtt javasolják a megfelelő adatforrásokat a biztonsági lefedettség javítása érdekében.
| A megfigyelés típusa | Művelet |
|---|---|
| A hasonló ügyfelek által betöltött naplóforrások hiányoznak | Csatlakoztassa a javasolt adatforrásokat. Ez a javaslat nem tartalmazza a következőket:
|
Megfontolások
A munkaterületek csak akkor kapnak hasonló szervezeti javaslatokat, ha a gépi tanulási modell jelentős hasonlóságokat azonosít más szervezetekkel, és felderíti azokat a táblákat, amelyekkel rendelkezik, de Ön nem. A korai vagy előkészítési szakaszban lévő SOC-k nagyobb valószínűséggel kapják meg ezeket a javaslatokat, mint a magasabb szintű érettségű SOC-k. Nem minden munkaterület kap hasonló szervezeti javaslatokat.
A gépi tanulási modellek soha nem férnek hozzá és nem elemezik az ügyfélnaplók tartalmát, és nem is tudják beolvasni őket. Az elemzéshez semmilyen ügyféladat, tartalom vagy személyes adat (EUII) nem érhető el. A javaslatok olyan gépi tanulási modelleken alapulnak, amelyek kizárólag a szervezeti azonosításra alkalmas adatokra (OII) és a rendszer metaadataira támaszkodnak.
Kapcsolódó tartalom
- SOC-optimalizálások programozott használata (előzetes verzió)
- Blog: SOC-optimalizálás: a pontosságalapú biztonságkezelés erejének kiaknázása