Riferimento dei consigli di ottimizzazione SOC
Usare i consigli per l'ottimizzazione SOC per ridurre i gap di copertura contro minacce specifiche e limitare i tassi di inserimento dati che non forniscono valore per la sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro di Microsoft Sentinel, senza dedicare tempo ai team SOC per l'analisi manuale e la ricerca.
Le ottimizzazioni SOC di Microsoft Sentinel includono i tipi di raccomandazioni seguenti:
Le ottimizzazioni basate sulle minacce consigliano di aggiungere controlli di sicurezza che consentono di chiudere le lacune di copertura.
Le ottimizzazioni dei valori dei dati consigliano modi per migliorare l'uso dei dati, ad esempio un piano dati migliore per l'organizzazione.
Questo articolo fornisce un riferimento alle raccomandazioni di ottimizzazione SOC disponibili.
Importante
Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Ottimizzazioni dei valori dei dati
Per ottimizzare il rapporto tra costo e valore di sicurezza, l'ottimizzazione SOC non usa connettori dati o tabelle e suggerisce modi per ridurre il costo di una tabella o migliorarne il valore, a seconda della copertura. Questo tipo di ottimizzazione è detto anche ottimizzazione dei valori dei dati.
Le ottimizzazioni dei valori dei dati esaminano solo le tabelle fatturabili che hanno inserito i dati negli ultimi 30 giorni.
Nella tabella seguente sono elencate le raccomandazioni per l'ottimizzazione SOC del valore dei dati disponibili:
| Osservazione | Azione |
|---|---|
| La tabella non è stata usata dalle regole di analisi o dai rilevamenti negli ultimi 30 giorni, ma è stata usata da altre origini, ad esempio cartelle di lavoro, query di log, query di ricerca. | Attivare analitica modelli di regola OPPURE Passare ai log di base se la tabella è idonea |
| La tabella non è stata usata affatto negli ultimi 30 giorni | Attivare analitica modelli di regola OPPURE Arrestare l'inserimento dati o archiviare la tabella |
| La tabella è stata usata solo da Monitoraggio di Azure | Attivare i modelli di regola di analitica pertinenti per le tabelle con valore di sicurezza OPPURE Passare a un'area di lavoro log non di sicurezza Analitica |
Se si seleziona una tabella per UEBA o una regola di intelligence per le minacce corrispondente analitica regola, l'ottimizzazione SOC non consiglia alcuna modifica nell'inserimento.
Importante
Quando si apportano modifiche ai piani di inserimento, è consigliabile assicurarsi sempre che i limiti dei piani di inserimento siano chiari e che le tabelle interessate non vengano inserite per motivi di conformità o altri motivi simili.
Ottimizzazione basata sulle minacce
Per ottimizzare il valore dei dati, l'ottimizzazione SOC consiglia di aggiungere controlli di sicurezza all'ambiente sotto forma di rilevamenti aggiuntivi e origini dati, usando un approccio basato sulle minacce.
Per fornire raccomandazioni basate sulle minacce, l'ottimizzazione SOC esamina i log inseriti e le regole di analitica abilitate e la confronta con i log e i rilevamenti necessari per proteggere, rilevare e rispondere a tipi specifici di attacchi. Questo tipo di ottimizzazione è noto anche come ottimizzazione della copertura ed è basato sulla ricerca sulla sicurezza di Microsoft. L'ottimizzazione SOC considera i rilevamenti definiti dall'utente e predefiniti.
La tabella seguente elenca le raccomandazioni di ottimizzazione SOC basate sulle minacce disponibili:
| Osservazione | Azione |
|---|---|
| Esistono origini dati, ma mancano rilevamenti. | Attivare analitica modelli di regola in base alla minaccia. |
| I modelli sono attivati, ma mancano le origini dati. | Connettere nuove origini dati. |
| Non esistono rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
Contenuto correlato
- Uso delle ottimizzazioni SOC a livello di codice (anteprima)
- Blog: ottimizzazione SOC: sbloccare la potenza di una gestione della sicurezza basata sulla precisione