Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare le raccomandazioni di ottimizzazione SOC per colmare le lacune di copertura rispetto a minacce specifiche e rafforzare i tassi di inserimento rispetto ai dati che non forniscono valore di sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro Microsoft Sentinel, senza che i team soc trascorrano tempo nell'analisi manuale e nella ricerca.
Microsoft Sentinel ottimizzazioni SOC includono i tipi di raccomandazioni seguenti:
Le raccomandazioni sul valore dei dati suggeriscono modi per migliorare l'uso dei dati, ad esempio un piano dati migliore per l'organizzazione.
Le raccomandazioni basate sulla copertura suggeriscono di aggiungere controlli per evitare lacune di copertura che possono causare vulnerabilità ad attacchi o scenari che possono causare perdite finanziarie. Le raccomandazioni sulla copertura includono:
- Raccomandazioni basate sulle minacce: consiglia di aggiungere controlli di sicurezza che consentono di rilevare le lacune di copertura per prevenire attacchi e vulnerabilità.
- AI MITRE ATT&CK tagging recommendations (Anteprima): usa l'intelligenza artificiale per suggerire l'assegnazione di tag ai rilevamenti di sicurezza con MITRE ATT&tattiche e tecniche CK.
- Raccomandazioni basate sui rischi (anteprima): consiglia di implementare controlli per risolvere le lacune di copertura legate ai casi d'uso che possono comportare rischi aziendali o perdite finanziarie, inclusi rischi operativi, finanziari, reputazionali, di conformità e legali.
Raccomandazioni di organizzazioni simili suggeriscono di inserire dati dai tipi di origini usate dalle organizzazioni che hanno tendenze di inserimento e profili di settore simili al proprio.
Questo articolo fornisce un riferimento dettagliato dei tipi di raccomandazioni di ottimizzazione SOC disponibili.
Importante
Dopo il 31 marzo 2027, Microsoft Sentinel non sarà più supportato nel portale di Azure e sarà disponibile solo nel portale di Microsoft Defender. Tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza di operazioni di sicurezza unificata offerta da Microsoft Defender.
Raccomandazioni per l'ottimizzazione dei valori dei dati
Per ottimizzare il rapporto costi/valore di sicurezza, l'ottimizzazione SOC presenta tabelle o connettori dati poco usati. L'ottimizzazione SOC suggerisce modi per ridurre il costo di una tabella o migliorarne il valore, a seconda della copertura. Questo tipo di ottimizzazione è anche denominato ottimizzazione del valore dei dati.
Le ottimizzazioni dei valori dei dati esaminano solo le tabelle fatturabili che hanno inserito i dati negli ultimi 30 giorni.
Nella tabella seguente sono elencati i tipi disponibili di raccomandazioni di ottimizzazione SOC per i valori di dati:
| Tipo di osservazione | Azione |
|---|---|
| La tabella non è stata usata dalle regole di analisi o dai rilevamenti negli ultimi 30 giorni, ma è stata usata da altre origini, ad esempio cartelle di lavoro, query di log, query di ricerca. | Attivare i modelli di regola di analisi OPPURE Se la tabella è idonea, spostare la tabella in un piano di log di base . |
| La tabella non è stata usata affatto negli ultimi 30 giorni. | Attivare i modelli di regola di analisi OPPURE Arrestare l'inserimento dei dati e rimuovere la tabella o spostarla in conservazione a lungo termine. |
| La tabella è stata usata solo da Azure Monitor. | Attivare tutti i modelli di regola di analisi pertinenti per le tabelle con valore di sicurezza OPPURE Passare a un'area di lavoro Log Analytics non di sicurezza. |
Se viene scelta una tabella per UEBA o una regola di analisi corrispondente all'intelligence per le minacce, l'ottimizzazione SOC non consiglia alcuna modifica nell'inserimento.
Colonne non usate (anteprima)
L'ottimizzazione SOC consente anche di visualizzare le colonne non usate nelle tabelle. Nella tabella seguente sono elencati i tipi di colonne disponibili per le raccomandazioni di ottimizzazione soc:
| Tipo di osservazione | Azione |
|---|---|
| La colonna ConditionalAccessPolicies nella tabella SignInLogs o nella tabella AADNonInteractiveUserSignInLogs non è in uso. | Arrestare l'inserimento dei dati per la colonna. |
Importante
Quando si apportano modifiche ai piani di inserimento, è consigliabile assicurarsi sempre che i limiti dei piani di inserimento siano chiari e che le tabelle interessate non vengano ingerite per motivi di conformità o altri motivi simili.
Suggerimenti per l'ottimizzazione basata sulla copertura
Le raccomandazioni di ottimizzazione basate sulla copertura consentono di colmare le lacune di copertura rispetto a minacce specifiche o a scenari che possono comportare rischi aziendali e perdite finanziarie.
Raccomandazioni per l'ottimizzazione basata sulle minacce
Per ottimizzare il valore dei dati, l'ottimizzazione SOC consiglia di aggiungere controlli di sicurezza all'ambiente sotto forma di rilevamenti aggiuntivi e origini dati, usando un approccio basato sulle minacce. Questo tipo di ottimizzazione è noto anche come ottimizzazione della copertura e si basa sulla ricerca sulla sicurezza di Microsoft.
L'ottimizzazione SOC fornisce raccomandazioni basate sulle minacce analizzando i log inseriti e le regole di analisi abilitate, quindi confrontandoli con i log e i rilevamenti necessari per affrontare tipi specifici di attacchi.
Le ottimizzazioni basate sulle minacce considerano i rilevamenti predefiniti e definiti dall'utente.
Nella tabella seguente sono elencati i tipi disponibili di raccomandazioni di ottimizzazione soc basate su minacce:
| Tipo di osservazione | Azione |
|---|---|
| Esistono origini dati, ma i rilevamenti sono mancanti. | Attivare i modelli di regola di analisi in base alla minaccia: creare una regola usando un modello di regola di analisi e modificare il nome, la descrizione e la logica di query in base all'ambiente. Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel. |
| I modelli sono attivati, ma le origini dati sono mancanti. | Connettere nuove origini dati. |
| Non sono presenti rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
AI MITRE ATT&raccomandazioni per l'assegnazione di tag CK (anteprima)
La funzionalità ai mitre ATT&CK Tagging usa l'intelligenza artificiale per contrassegnare automaticamente i rilevamenti di sicurezza. Il modello di intelligenza artificiale viene eseguito nell'area di lavoro del cliente per creare raccomandazioni di assegnazione di tag per rilevamenti senza tag con mitre ATT pertinente&tattiche e tecniche CK.
I clienti possono applicare queste raccomandazioni per garantire che la copertura di sicurezza sia accurata e precisa. Ciò garantisce una copertura di sicurezza completa e accurata, migliorando il rilevamento delle minacce e le funzionalità di risposta.
Questi sono 3 modi per applicare le raccomandazioni per l'assegnazione di tag AI MITRE ATT&CK:
- Applicare la raccomandazione a una regola di analisi specifica.
- Applicare la raccomandazione a tutte le regole di analisi nell'area di lavoro.
- Non applicare la raccomandazione ad alcuna regola di analisi.
Raccomandazioni per l'ottimizzazione basata sui rischi (anteprima)
Le ottimizzazioni basate sui rischi prendono in considerazione scenari di sicurezza reali con un set di rischi aziendali associati, tra cui rischi operativi, finanziari, reputazionali, di conformità e legali. Le raccomandazioni si basano sull'approccio alla sicurezza basato sui rischi Microsoft Sentinel.
Per fornire raccomandazioni basate sui rischi, l'ottimizzazione SOC esamina i log e le regole di analisi inseriti e li confronta con i log e i rilevamenti necessari per proteggere, rilevare e rispondere a tipi specifici di attacchi che possono causare rischi aziendali. Le ottimizzazioni delle raccomandazioni basate sui rischi considerano i rilevamenti predefiniti e definiti dall'utente.
Nella tabella seguente sono elencati i tipi disponibili di raccomandazioni di ottimizzazione soc basate sui rischi:
| Tipo di osservazione | Azione |
|---|---|
| Esistono origini dati, ma i rilevamenti sono mancanti. | Attivare i modelli di regole di analisi in base ai rischi aziendali: creare una regola usando un modello di regola di analisi e modificare il nome, la descrizione e la logica di query in base all'ambiente. |
| I modelli sono attivati, ma le origini dati sono mancanti. | Connettere nuove origini dati. |
| Non sono presenti rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
Raccomandazioni di organizzazioni simili
L'ottimizzazione SOC usa l'apprendimento automatico avanzato per identificare le tabelle mancanti nell'area di lavoro, ma usate da organizzazioni con tendenze di inserimento e profili di settore simili. Illustra il modo in cui altre organizzazioni usano queste tabelle e consiglia le origini dati pertinenti, insieme alle regole correlate, per migliorare la copertura della sicurezza.
| Tipo di osservazione | Azione |
|---|---|
| Le origini di log ingerite da clienti simili sono mancanti | Connettere le origini dati suggerite. Questa raccomandazione non include:
|
Considerazioni
Un'area di lavoro riceve raccomandazioni dell'organizzazione simili solo se il modello di Machine Learning identifica analogie significative con altre organizzazioni e individua le tabelle disponibili, ma non è possibile. È più probabile che i soc nelle fasi iniziali o di onboarding ricevano queste raccomandazioni rispetto ai SOC con un livello di maturità superiore. Non tutte le aree di lavoro ricevono raccomandazioni di organizzazioni simili.
I modelli di Machine Learning non accedono o analizzano mai il contenuto dei log dei clienti o li inseriiscono in qualsiasi momento. Nessun dato del cliente, contenuto o dati personali (EUII) è esposto all'analisi. Le raccomandazioni si basano su modelli di Machine Learning che si basano esclusivamente su informazioni di identificazione dell'organizzazione (OII) e metadati di sistema.
Contenuto correlato
- Uso delle ottimizzazioni SOC a livello di codice (anteprima)
- Blog: Ottimizzazione SOC: sbloccare la potenza della gestione della sicurezza basata sulla precisione