Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Bruk SOC-optimaliseringsanbefalinger for å hjelpe deg med å lukke dekningshull mot spesifikke trusler og stramme inninntaksratene mot data som ikke gir sikkerhetsverdi. SOC-optimaliseringer hjelper deg med å optimalisere Microsoft Sentinel arbeidsområdet, uten at SOC-teamene dine bruker tid på manuell analyse og forskning.
Microsoft Sentinel SOC-optimaliseringer inkluderer følgende typer anbefalinger:
Anbefalinger for dataverdi foreslår måter å forbedre databruken på, for eksempel en bedre dataplan for organisasjonen.
Dekningsbaserte anbefalinger foreslår å legge til kontroller for å forhindre dekningshull som kan føre til sårbarhet for angrep eller scenarier som kan føre til økonomisk tap. Dekningsanbefalinger inkluderer:
- Trusselbaserte anbefalinger: Anbefaler å legge til sikkerhetskontroller som hjelper deg med å oppdage dekningshull for å forhindre angrep og sårbarheter.
- AI MITRE ATT&CK-merkingsanbefalinger (forhåndsvisning): Bruker kunstig intelligens til å foreslå merking av sikkerhetsgjenkjenninger med MITRE ATT&CK-taktikk og -teknikker.
- Risikobaserte anbefalinger (forhåndsvisning): Anbefaler implementering av kontroller for å håndtere dekningshull knyttet til brukstilfeller som kan føre til forretningsrisiko eller økonomiske tap, inkludert operasjonelle, finansielle, omdømmemessige, samsvars- og juridiske risikoer.
Lignende anbefalinger for organisasjoner foreslår inntak av data fra kildetypene som brukes av organisasjoner som har lignende inntakstrender og bransjeprofiler som din.
Denne artikkelen gir en detaljert referanse til hvilke typer soc-optimaliseringsanbefalinger som er tilgjengelige.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
Anbefalinger for optimalisering av dataverdi
For å optimalisere forholdet mellom kostnader og sikkerhet, bruker SOC-optimaliseringsoverflater knapt datakoblinger eller tabeller. SOC-optimalisering foreslår måter å enten redusere kostnadene for en tabell eller forbedre verdien, avhengig av dekningen. Denne typen optimalisering kalles også optimalisering av dataverdi.
Optimaliseringer av dataverdi ser bare på fakturerbare tabeller som har inntatt data de siste 30 dagene.
Tabellen nedenfor viser de tilgjengelige typene anbefalinger for dataverdi-SOC-optimalisering:
| Observasjonstype | Handling |
|---|---|
| Tabellen ble ikke brukt av analyseregler eller -gjenkjenninger de siste 30 dagene, men ble brukt av andre kilder, for eksempel arbeidsbøker, loggspørringer, jaktspørringer. | Slå på analyseregelmaler ELLER Flytt tabellen til en grunnleggende loggplan hvis tabellen er kvalifisert. |
| Tabellen ble ikke brukt i det hele tatt de siste 30 dagene. | Slå på analyseregelmaler ELLER Stopp datainntak og fjern tabellen, eller flytt tabellen til langsiktig oppbevaring. |
| Tabellen ble bare brukt av Azure Monitor. | Slå på alle relevante analyseregelmaler for tabeller med sikkerhetsverdi ELLER Flytte til et arbeidsområde for log analytics uten usikkerhet. |
Hvis en tabell er valgt for UEBA eller en regel for samsvarende analyse av trusselintelligens, anbefaler ikke SOC-optimalisering noen endringer i inntak.
Ubrukte kolonner (forhåndsvisning)
SOC-optimalisering viser også ubrukte kolonner i tabellene. Tabellen nedenfor viser de tilgjengelige kolonnetypene som er tilgjengelige for SOC-optimaliseringsanbefalinger:
| Observasjonstype | Handling |
|---|---|
| Kolonnen ConditionalAccessPolicies i SignInLogs-tabellen eller AADNonInteractiveUserSignInLogs-tabellen er ikke i bruk. | Stopp datainntak for kolonnen. |
Viktig
Når du gjør endringer i inntaksplaner, anbefaler vi at du alltid sikrer at grensene for inntaksplanene dine er klare, og at de berørte tabellene ikke blir inntatt av samsvar eller andre lignende årsaker.
Dekningsbaserte optimaliseringsanbefalinger
Dekningsbaserte optimaliseringsanbefalinger hjelper deg med å lukke dekningshull mot spesifikke trusler eller scenarier som kan føre til forretningsrisiko og økonomisk tap.
Trusselbaserte optimaliseringsanbefalinger
For å optimalisere dataverdien anbefaler SOC-optimalisering å legge til sikkerhetskontroller i miljøet i form av ekstra gjenkjenninger og datakilder, ved hjelp av en trusselbasert tilnærming. Denne optimaliseringstypen kalles også dekningsoptimalisering, og er basert på Microsofts sikkerhetsundersøkelser.
SOC-optimalisering gir trusselbaserte anbefalinger ved å analysere inntatte logger og aktiverte analyseregler, og deretter sammenligne dem med loggene og gjenkjenningene som er nødvendige for å håndtere bestemte typer angrep.
Trusselbaserte optimaliseringer vurderer både forhåndsdefinerte og brukerdefinerte gjenkjenninger.
Tabellen nedenfor viser de tilgjengelige typene trusselbaserte soc-optimaliseringsanbefalinger:
| Observasjonstype | Handling |
|---|---|
| Det finnes datakilder, men gjenkjenninger mangler. | Slå på analyseregelmaler basert på trusselen: Opprett en regel ved hjelp av en analyseregelmal, og juster navnet, beskrivelsen og spørringslogikken slik at den passer til miljøet ditt. Hvis du vil ha mer informasjon, kan du se Trusselregistrering i Microsoft Sentinel. |
| Maler er aktivert, men datakilder mangler. | Koble til nye datakilder. |
| Det finnes ingen eksisterende gjenkjenninger eller datakilder. | Koble til gjenkjenninger og datakilder, eller installer en løsning. |
AI MITRE ATT&CK-merkingsanbefalinger (forhåndsversjon)
FUNKSJONEN AI MITRE ATT&CK-merking bruker kunstig intelligens til automatisk å merke sikkerhetsgjenkjenninger. AI-modellen kjører på kundens arbeidsområde for å opprette kodeanbefalinger for ukodede gjenkjenninger med relevant MITRE ATT&CK-taktikk og -teknikker.
Kunder kan bruke disse anbefalingene for å sikre at sikkerhetsdekningen er grundig og presis. Dette sikrer fullstendig og nøyaktig sikkerhetsdekning, noe som forbedrer trusselregistrering og responsfunksjoner.
Dette er tre måter å bruke AI MITRE ATT&CK-merkingsanbefalinger på:
- Bruk anbefalingen på en bestemt analyseregel.
- Bruk anbefalingen på alle analysereglene i arbeidsområdet.
- Ikke bruk anbefalingen på noen analyseregler.
Risikobaserte optimaliseringsanbefalinger (forhåndsversjon)
Risikobaserte optimaliseringer vurderer virkelige sikkerhetsscenarioer med et sett med forretningsrisiko knyttet til den, inkludert operasjonelle, finansielle, omdømmemessige, samsvars- og juridiske risikoer. Anbefalingene er basert på Microsoft Sentinel risikobasert tilnærming til sikkerhet.
For å gi risikobaserte anbefalinger ser SOC-optimalisering på inntatte logger og analyseregler, og sammenligner dem med loggene og gjenkjenningene som kreves for å beskytte, oppdage og reagere på bestemte typer angrep som kan forårsake forretningsrisiko. Risikobaserte anbefalingsoptimaliseringer vurderer både forhåndsdefinerte og brukerdefinerte gjenkjenninger.
Tabellen nedenfor viser de tilgjengelige typene risikobaserte soc-optimaliseringsanbefalinger:
| Observasjonstype | Handling |
|---|---|
| Det finnes datakilder, men gjenkjenninger mangler. | Slå på analyseregelmaler basert på forretningsrisikoene: Opprett en regel ved hjelp av en analyseregelmal, og juster navnet, beskrivelsen og spørringslogikken slik at den passer til miljøet ditt. |
| Maler er aktivert, men datakilder mangler. | Koble til nye datakilder. |
| Det finnes ingen eksisterende gjenkjenninger eller datakilder. | Koble til gjenkjenninger og datakilder, eller installer en løsning. |
Anbefalinger for lignende organisasjoner
SOC-optimalisering bruker avansert maskinlæring til å identifisere tabeller som mangler i arbeidsområdet, men brukes av organisasjoner med lignende inntakstrender og bransjeprofiler. Den viser hvordan andre organisasjoner bruker disse tabellene og anbefaler de relevante datakildene, sammen med relaterte regler, for å forbedre sikkerhetsdekningen.
| Observasjonstype | Handling |
|---|---|
| Loggkilder som er inntatt av lignende kunder, mangler | Koble til de foreslåtte datakildene. Denne anbefalingen inkluderer ikke:
|
Hensyn
Et arbeidsområde mottar bare lignende organisasjonsanbefalinger hvis maskinlæringsmodellen identifiserer betydelige likheter med andre organisasjoner og oppdager tabeller som de har, men ikke du. SOCer i de tidlige fasene eller pålastingsfasene har større sannsynlighet for å motta disse anbefalingene enn SOCer med høyere forfallsnivå. Ikke alle arbeidsområder får lignende anbefalinger for organisasjoner.
Maskinlæringsmodellene får aldri tilgang til eller analyserer innholdet i kundelogger eller inntar dem når som helst. Ingen kundedata, innhold eller personlige data (EUII) eksponeres for analysen. Anbefalinger er basert på maskinlæringsmodeller som utelukkende er avhengige av identifiserbar informasjon for organisasjonen (OII) og systemmetadata.
Beslektet innhold
- Bruke SOC-optimaliseringer programmatisk (forhåndsversjon)
- Blogg: SOC-optimalisering: Lås opp kraften i presisjonsdrevet sikkerhetsadministrasjon