Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Security Operations Center -team (SOC) ser etter måter å forbedre prosesser og resultater på, og sikre at du har dataene som trengs for å håndtere risikoer uten ekstra inntakskostnader. SOC-team ønsker å sørge for at du har alle nødvendige data for å handle mot risiko, uten å betale for mer data enn nødvendig. Samtidig må SOC-team også justere sikkerhetskontrollene etter hvert som trusler og forretningsprioriteter endres, og gjøre det raskt og effektivt for å maksimere avkastningen på investeringen.
SOC-optimaliseringer er handlingsvennlige anbefalinger som viser måter du kan optimalisere sikkerhetskontrollene dine på, og få mer verdi fra Microsofts sikkerhetstjenester etter hvert som tiden går. Anbefalinger hjelper deg med å redusere kostnader uten å påvirke SOC-behov eller dekning, og kan hjelpe deg med å legge til sikkerhetskontroller og data der det er nødvendig. Disse optimaliseringene er skreddersydd for miljøet ditt og er basert på gjeldende dekning og trussellandskap.
Bruk SOC-optimaliseringsanbefalinger for å hjelpe deg med å lukke dekningshull mot spesifikke trusler og stramme inninntaksratene mot data som ikke gir sikkerhetsverdi. SOC-optimaliseringer hjelper deg med å optimalisere Microsoft Sentinel arbeidsområdet, uten at SOC-teamene dine bruker tid på manuell analyse og forskning.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Se følgende video for en oversikt og demonstrasjon av SOC-optimalisering i Microsoft Defender-portalen. Hvis du bare vil ha en demonstrasjon, kan du gå til minutt 08:14.
Forutsetninger
SOC-optimalisering bruker standard Microsoft Sentinel roller og tillatelser. Hvis du vil ha mer informasjon, kan du se Roller og tillatelser i Microsoft Sentinel.
Hvis du vil bruke SOC-optimalisering i Defender-portalen, Microsoft Sentinel om bord i Defender-portalen. Hvis du vil ha mer informasjon, kan du se Koble Microsoft Sentinel til Microsoft Defender-portalen.
Få tilgang til SOC-optimaliseringssiden
Bruk én av følgende faner, avhengig av om du arbeider i Azure Portal- eller Defender-portalen. Når arbeidsområdet er innebygd i Defender-portalen, inkluderer SOC-optimaliseringer dekning fra alle Microsofts sikkerhetstjenester.
Velg SOC-optimalisering i Defender-portalen.
Forstå måledata for soc-optimaliseringsoversikt
Optimaliseringsmåledata som vises øverst på Oversikt-fanen , gir deg en høy grad av forståelse av hvor effektivt du bruker dataene, og endres over tid etter hvert som du implementerer anbefalinger.
Måledata som støttes øverst på Oversikt-fanen inkluderer:
| Tittel | Beskrivelse |
|---|---|
| Nylig optimaliseringsverdi | Viser verdi oppnådd basert på anbefalinger du nylig har implementert |
| Data inntatt | Viser de totale dataene som er inntatt i arbeidsområdet i løpet av de siste 90 dagene. |
| Trusselbaserte dekningsoptimaliseringer | Viser én av følgende dekningsindikatorer, basert på antall analyseregler som finnes i arbeidsområdet, sammenlignet med antall regler som anbefales av Microsofts forskningsteam: - Høy: Over 75 % av anbefalte regler er aktivert - Middels: 30%-74 % av anbefalte regler er aktivert - Lav: 0%-29 % av anbefalte regler er aktivert. Velg Vis alle trusselscenarioer for å vise den fullstendige listen over relevante trussel- og risikobaserte scenarier, aktive og anbefalte gjenkjenninger og dekningsnivåer. Deretter velger du et trusselscenario for å drille ned for mer informasjon om anbefalingen på en egen detaljside for trusselscenario. |
| Optimaliseringsstatus | Viser antall anbefalte optimaliseringer som er aktive, fullførte og forkastet. |
Vis og administrer optimaliseringsanbefalinger
I Defender-portalen er SOC-optimaliseringsanbefalinger oppført i området Optimaliseringer på fanen SOC-optimaliseringer .
SOC-optimaliseringsanbefalinger beregnes hver 24. time. Hvert optimaliseringskort inneholder statusen, tittelen, datoen det ble opprettet, en beskrivelse på høyt nivå og arbeidsområdet det gjelder for.
Filteroptimaliseringer
Filtrer optimaliseringene basert på optimaliseringstype, eller søk etter en bestemt optimaliseringstittel ved hjelp av søkeboksen på siden. Optimaliseringstyper inkluderer:
-
Dekning : Inkluderer anbefalinger for å hjelpe deg med å lukke dekningshull mot spesifikke trusler og stramme inninntaksratene mot data som ikke gir sikkerhetsverdi. Dekningsanbefalinger inkluderer:
- Trusselbaserte anbefalinger for å legge til sikkerhetskontroller for å bidra til å lukke dekningshull for ulike typer angrep.
- AI MITRE ATT&CK-anbefalinger for å legge til merkingsanbefalinger for å bidra til å lukke dekningshull for ulike typer angrep, basert på MITRE ATT&CK-rammeverket.
- Risikobaserte anbefalinger for å legge til sikkerhetskontroller for å bidra til å tette dekningshull for ulike typer forretningsrisikoer.
- Dataverdi: Inkluderer anbefalinger som foreslår måter å forbedre databruken på for å maksimere sikkerhetsverdien fra inntatte data, eller foreslå en bedre dataplan for organisasjonen.
Vis optimaliseringsdetaljer og utfør handling
Velg én av følgende faner, avhengig av portalen du bruker:
I hvert optimaliseringskort velger du Vis detaljer for å se en fullstendig beskrivelse av observasjonen som førte til anbefalingen, og verdien du ser i miljøet når denne anbefalingen implementeres.
For trusselbaserte dekningsoptimaliseringer:
- Veksle mellom edderkoppdiagrammer for å forstå dekningen din på tvers av ulike taktikker og teknikker, basert på de brukerdefinerte og forhåndsdefinerte oppdagelsene som er aktive i miljøet ditt.
- Velg Vis trusselscenario i MITRE ATT&CK for å hoppe til MITRE ATT-&CK-siden i Microsoft Sentinel, forhåndsfiltrert for trusselscenarioet. Hvis du vil ha mer informasjon, kan du se [Forstå sikkerhetsdekning av MITRE ATT&CK-rammeverket®].
Rull ned til bunnen av detaljruten for å få en kobling til der du kan utføre anbefalte handlinger. Eksempel:
Hvis en optimalisering inkluderer anbefalinger for å legge til analyseregler, velger du Gå til Innholdshub.
Hvis en optimalisering inneholder anbefalinger for å flytte en tabell til grunnleggende logger, velger du Endre plan.
For trusselbaserte dekningsoptimaliseringer velger du Vis fullstendig trusselscenario for å se den fullstendige listen over relevante trusler, aktive og anbefalte oppdagelser og dekningsnivåer. Derfra kan du gå direkte til innholdshuben for å aktivere eventuelle anbefalte gjenkjenninger, eller til MITRE ATT&CK-siden for å vise den fullstendige MITRE ATT-&CK-dekning for det valgte scenariet. Eksempel:
Hvis du installerer en analyseregelmal fra innholdshuben uten at løsningen er installert, vises bare den installerte malen i løsningen.
Installer den fullstendige løsningen for å se alle tilgjengelige innholdselementer fra den valgte løsningen. Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel forhåndsdefinert innhold.
Behandle optimaliseringer
Som standard er optimaliseringsstatusene aktive. Endre statusene etter hvert som teamene utvikler seg gjennom triaging og implementering av anbefalinger.
Velg alternativmenyen, eller velg Vis detaljer for å utføre én av følgende handlinger:
| Handling | Beskrivelse |
|---|---|
| Fullstendig | Fullfør en optimalisering når du har fullført hver anbefalte handling. Hvis det oppdages en endring i miljøet som gjør anbefalingen irrelevant, fullføres optimaliseringen automatisk og flyttes til fullført-fanen. Du kan for eksempel ha en optimalisering relatert til en tidligere ubrukt tabell. Hvis tabellen nå brukes i en ny analyseregel, er optimaliseringsanbefalingen nå irrelevant. I slike tilfeller vises et banner i Oversikt-fanen med antall automatisk fullførte optimaliseringer siden forrige besøk. |
| Marker som pågår / Marker som aktiv | Merk en optimalisering som pågående eller aktiv for å varsle andre gruppemedlemmer om at du arbeider aktivt med den. Bruk disse to statusene fleksibelt, men konsekvent, etter behov for organisasjonen. |
| Avvise | Lukk en optimalisering hvis du ikke planlegger å utføre den anbefalte handlingen og ikke lenger vil se den i listen. |
| Gi tilbakemelding | Vi inviterer deg til å dele tankene dine om anbefalte handlinger med Microsoft-teamet! Når du deler tilbakemeldingen, må du være forsiktig så du ikke deler konfidensielle data. Hvis du vil ha mer informasjon, kan du se Microsofts personvernerklæring. |
Vis fullførte og avviste optimaliseringer
Hvis du har merket en bestemt optimalisering som Fullført eller Avvist, eller hvis en optimalisering fullføres automatisk, vises den på fanene Fullført og Forkastet .
Herfra velger du alternativmenyen eller velger Vis alle detaljer for å utføre én av følgende handlinger:
Aktiver optimaliseringen på nytt, og send den tilbake til Oversikt-fanen . Reaktiverte optimaliseringer beregnes på nytt for å gi den mest oppdaterte verdien og handlingen. Det kan ta opptil en time å beregne disse detaljene på nytt, så vent litt før du sjekker detaljene og anbefalte handlinger på nytt.
Reaktiverte optimaliseringer kan også flyttes direkte til Fullført-fanen hvis de ikke lenger er relevante etter å ha beregnet detaljene på nytt.
Gi ytterligere tilbakemelding til Microsoft-teamet. Når du deler tilbakemeldingen, må du være forsiktig så du ikke deler konfidensielle data. Hvis du vil ha mer informasjon, kan du se Microsofts personvernerklæring.
Bruksflyt for SOC-optimalisering
Denne delen inneholder en eksempelflyt for bruk av SOC-optimaliseringer, enten fra Defender eller Azure Portal:
Start med å forstå instrumentbordet på soc-optimaliseringssiden :
- Se de viktigste måledataene for generell optimaliseringsstatus.
- Se gjennom optimaliseringsanbefalinger for dataverdi og trusselbasert dekning.
Bruk optimaliseringsanbefalingene til å identifisere tabeller med lav bruk, noe som indikerer at de ikke brukes til gjenkjenninger. Velg Vis alle detaljer for å se størrelsen og kostnaden for ubrukte data. Vurder én av følgende handlinger:
Legg til analyseregler for å bruke tabellen for forbedret beskyttelse. Hvis du vil bruke dette alternativet, velger du Gå til innholdshuben for å vise og konfigurere spesifikke analyseregelmaler som bruker den valgte tabellen. I innholdshuben trenger du ikke å søke etter den relevante regelen, da du blir tatt direkte til den relevante regelen.
Hvis nye analytiske regler krever ekstra loggkilder, bør du vurdere å ta dem inn for å forbedre trusseldekningen.
Hvis du vil ha mer informasjon, kan du se Oppdage og administrere Microsoft Sentinel ut-av-boksen-innhold og Oppdage trusler som er klare til bruk.
Endre forpliktelsesnivået for kostnadsbesparelser. Hvis du vil ha mer informasjon, kan du se Redusere kostnader for Microsoft Sentinel.
Bruk optimaliseringsanbefalingene til å forbedre dekningen mot spesifikke trusler. For eksempel for optimalisering av løsepengevirus som drives av mennesker:
Velg Vis alle detaljer for å se gjeldende dekning og foreslåtte forbedringer.
Velg Vis alle MITRE ATT-&forbedring av CK-teknikken for å drille ned og analysere relevante taktikker og teknikker, slik at du kan forstå dekningsgapet.
Velg Gå til innholdshub for å vise alt anbefalt sikkerhetsinnhold, filtrert spesielt for denne optimaliseringen.
Når du har konfigurert nye regler eller gjort endringer, merker du anbefalingen som fullført eller lar systemet oppdateres automatisk.