Uw beveiligingsbewerkingen optimaliseren (preview)
Soc-teams (Security Operations Center) zoeken actief naar mogelijkheden om zowel processen als resultaten te optimaliseren. U wilt ervoor zorgen dat u alle gegevens hebt die u nodig hebt om actie te ondernemen tegen risico's in uw omgeving, terwijl u er ook voor zorgt dat u niet betaalt om meer gegevens op te nemen dan u nodig hebt. Tegelijkertijd moeten uw teams regelmatig beveiligingscontroles aanpassen naarmate bedreigingslandschappen en bedrijfsprioriteiten veranderen, snel en efficiënt worden aangepast om uw rendement op investeringen hoog te houden.
MET SOC-optimalisatie kunt u uw beveiligingscontroles optimaliseren, waardoor u meer waarde krijgt van Microsoft-beveiligingsservices wanneer de tijd aangaat.
SOC-optimalisaties zijn hoogwaardige en bruikbare aanbevelingen om u te helpen bij het identificeren van gebieden waar u kosten kunt verlagen, zonder dat dit van invloed is op soc-behoeften of dekking, of waar u beveiligingscontroles en gegevens kunt toevoegen waar het gevonden ontbreekt. SOC-optimalisaties zijn afgestemd op uw omgeving en op basis van uw huidige dekking en bedreigingslandschap.
Gebruik SOC-optimalisatieaanbeveling om hiaten in de dekking tegen specifieke bedreigingen te sluiten en uw opnamepercentages aan te scherpen tegen gegevens die geen beveiligingswaarde bieden. MET SOC-optimalisaties kunt u uw Microsoft Sentinel-werkruimte optimaliseren zonder dat uw SOC-teams tijd besteden aan handmatige analyse en onderzoek.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Bekijk de volgende video voor een overzicht en demo van SOC-optimalisatie in de Defender-portal. Als u alleen een demo wilt, springt u naar minuut 8:14.
Vereisten
SOC-optimalisatie maakt gebruik van standaardrollen en -machtigingen van Microsoft Sentinel. Zie Rollen en machtigingen in Microsoft Sentinel voor meer informatie.
Als u SOC-optimalisatie wilt gebruiken in de Microsoft Defender-portal, moet Microsoft Sentinel zijn geïntegreerd met Microsoft Defender XDR. Zie Verbinding maken Microsoft Sentinel naar Microsoft Defender XDR voor meer informatie.
De soc-optimalisatiepagina openen
Gebruik een van de volgende tabbladen, afhankelijk van of u werkt in het geïntegreerde SOC-bewerkingsplatform of in Azure Portal:
Selecteer SOC-optimalisatie in Microsoft Sentinel in Azure Portal onder Bedreigingsbeheer.
Inzicht in metrische gegevens over SOC-optimalisatie
Metrische gegevens over optimalisatie die boven aan het tabblad Overzicht worden weergegeven, geven u een algemeen inzicht in hoe efficiënt u uw gegevens gebruikt en worden in de loop van de tijd gewijzigd wanneer u aanbevelingen implementeert.
Ondersteunde metrische gegevens boven aan het tabblad Overzicht zijn onder andere:
| Title | Beschrijving |
|---|---|
| Opgenomen gegevens in de afgelopen 3 maanden | Geeft de totale gegevens weer die in de afgelopen drie maanden in uw werkruimte zijn opgenomen. |
| Optimalisatiestatus | Toont het aantal aanbevolen optimalisaties dat momenteel actief, voltooid en gesloten is. |
Selecteer Alle bedreigingsscenario's weergeven om de volledige lijst met relevante bedreigingen, actieve en aanbevolen detecties en dekkingsniveaus weer te geven.
Aanbevelingen voor optimalisatie weergeven en beheren
In Azure Portal worden aanbevelingen voor SOC-optimalisatie weergegeven op het tabblad OVERZICHT van SOC-optimalisatie>.
Voorbeeld:
Elke optimalisatiekaart bevat de status, titel, de datum waarop deze is gemaakt, een beschrijving op hoog niveau en de werkruimte waarop deze van toepassing is.
Filteroptimalisaties
Filter de optimalisaties op basis van het optimalisatietype of zoek naar een specifieke optimalisatietitel met behulp van het zoekvak aan de zijkant. Optimalisatietypen zijn onder andere:
Dekking: Bevat aanbevelingen op basis van bedreigingen voor het toevoegen van beveiligingscontroles om hiaten in de dekking voor verschillende soorten aanvallen te helpen dichten.
Gegevenswaarde: bevat aanbevelingen die manieren voorstellen om uw gegevensgebruik te verbeteren voor het maximaliseren van de beveiligingswaarde van opgenomen gegevens of een beter gegevensplan voor uw organisatie voorstellen.
Optimalisatiedetails weergeven en actie ondernemen
In elke optimalisatiekaart selecteert u Volledige details weergeven om een volledige beschrijving te zien van de observatie die tot de aanbeveling heeft geleid en de waarde die u in uw omgeving ziet wanneer die aanbeveling wordt geïmplementeerd.
Schuif omlaag naar de onderkant van het detailvenster voor een koppeling naar de locatie waar u de aanbevolen acties kunt uitvoeren. Voorbeeld:
- Als een optimalisatie aanbevelingen bevat voor het toevoegen van analyseregels, selecteert u Ga naar Content Hub.
- Als een optimalisatie aanbevelingen bevat voor het verplaatsen van een tabel naar basislogboeken, selecteert u Plan wijzigen.
Als u ervoor kiest om een analyseregelsjabloon te installeren vanuit de Content Hub en u de oplossing nog niet hebt geïnstalleerd, wordt alleen de analyseregelsjabloon die u installeert weergegeven in de oplossing wanneer u klaar bent. Installeer de volledige oplossing om alle beschikbare inhoudsitems van de geselecteerde oplossing te bekijken. Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren voor meer informatie.
Optimalisaties beheren
Optimalisatiestatussen zijn standaard actief. Wijzig hun statussen naarmate uw teams verder gaan met het trireren en implementeren van aanbevelingen.
Selecteer het menu Opties of selecteer Volledige details weergeven om een van de volgende acties uit te voeren:
| Actie | Beschrijving |
|---|---|
| Voltooien | Voltooi een optimalisatie wanneer u elke aanbevolen actie hebt voltooid. Als er een wijziging in uw omgeving wordt gedetecteerd die de aanbeveling irrelevant maakt, wordt de optimalisatie automatisch voltooid en verplaatst naar het tabblad Voltooid . U kunt bijvoorbeeld een optimalisatie hebben die betrekking heeft op een eerder ongebruikte tabel. Als uw tabel nu wordt gebruikt in een nieuwe analyseregel, is de aanbeveling voor optimalisatie nu irrelevant. In dergelijke gevallen wordt een banner weergegeven op het tabblad Overzicht met het aantal automatisch voltooide optimalisaties sinds uw laatste bezoek. |
| Markeren als actief / markeren | Markeer een optimalisatie als actief of actief om andere teamleden op de hoogte te stellen waaraan u actief werkt. Gebruik deze twee statussen flexibel, maar consistent, indien nodig voor uw organisatie. |
| Negeren | Sluit een optimalisatie als u niet van plan bent de aanbevolen actie uit te voeren en deze niet meer in de lijst wilt zien. |
| Feedback geven | We nodigen u uit uw gedachten te delen over de aanbevolen acties met het Microsoft-team. Wanneer u uw feedback deelt, moet u ervoor zorgen dat u geen vertrouwelijke gegevens deelt. Zie Microsoft Privacyverklaring voor meer informatie. |
Voltooide en gesloten optimalisaties weergeven
Als u een specifieke optimalisatie hebt gemarkeerd als Voltooid of Gesloten, of als een optimalisatie automatisch is voltooid, wordt deze weergegeven op respectievelijk de tabbladen Voltooid en Gesloten .
Selecteer hier het menu Opties of selecteer Volledige details weergeven om een van de volgende acties uit te voeren:
De optimalisatie opnieuw activeren en terugsturen naar het tabblad Overzicht . Opnieuw geactiveerde optimalisaties worden herberekend om de meest bijgewerkte waarde en actie te bieden. Het opnieuw berekenen van deze details kan maximaal een uur duren. Wacht dus voordat u de details en aanbevolen acties opnieuw controleert.
Opnieuw geactiveerde optimalisaties kunnen ook rechtstreeks naar het tabblad Voltooid worden verplaatst als ze na het herberekenen van de details niet meer relevant zijn.
Geef meer feedback aan het Microsoft-team. Wanneer u uw feedback deelt, moet u ervoor zorgen dat u geen vertrouwelijke gegevens deelt. Zie Microsoft Privacyverklaring voor meer informatie.
Optimalisaties gebruiken via API
De Recommendations bewerkingsgroep biedt toegang tot SOC-optimalisaties via de Azure REST API. Gebruik bijvoorbeeld de API om details over een specifieke aanbevelingen of alle huidige aanbevelingen in uw werkruimten op te halen of om een aanbeveling opnieuw te evalueeren als u wijzigingen hebt aangebracht.
Hoewel SOC-optimalisaties in preview zijn, is API-documentatie alleen beschikbaar in de Swagger-specificatie en niet in de REST API-verwijzing. Zie API-versies van Microsoft Sentinel REST API's voor meer informatie.
SOC-optimalisatiegebruiksstroom
Deze sectie bevat een voorbeeldstroom voor het gebruik van SOC-optimalisaties vanuit Defender of Azure Portal:
Op de pagina SOC-optimalisatie begint u met het begrijpen van het dashboard:
- Bekijk de belangrijkste metrische gegevens voor de algehele optimalisatiestatus.
- Bekijk aanbevelingen voor optimalisatie voor gegevenswaarde en dekking op basis van bedreigingen.
Gebruik de aanbevelingen voor optimalisatie om tabellen met weinig gebruik te identificeren, wat aangeeft dat ze niet worden gebruikt voor detecties. Selecteer Volledige details weergeven om de grootte en kosten van ongebruikte gegevens te bekijken. Overweeg een van de volgende acties:
Voeg analyseregels toe om de tabel te gebruiken voor verbeterde beveiliging. Als u deze optie wilt gebruiken, selecteert u Ga naar de Inhoudshub om specifieke out-of-the-box analyseregelsjablonen te bekijken en te configureren die gebruikmaken van de geselecteerde tabel. In de Inhoudshub hoeft u niet te zoeken naar de relevante regel, omdat u rechtstreeks naar de relevante regel wordt gebracht.
Als voor nieuwe analyseregels aanvullende logboekbronnen nodig zijn, kunt u overwegen deze op te nemen om de dekking van bedreigingen te verbeteren.
Zie Microsoft Sentinel out-of-the-box-inhoud ontdekken en beheren en Bedreigingen detecteren, out-of-the-box.
Wijzig uw toezeggingslaag voor kostenbesparingen. Zie Kosten verlagen voor Microsoft Sentinel voor meer informatie.
Gebruik de aanbevelingen voor optimalisatie om de dekking tegen specifieke bedreigingen te verbeteren. Bijvoorbeeld voor een door mensen beheerde ransomware-optimalisatie:
Selecteer Volledige details weergeven om de huidige dekking en voorgestelde verbeteringen te bekijken.
Selecteer Alle verbetering van MITRE ATT&CK-technieken weergeven om in te zoomen en de relevante tactieken en technieken te analyseren, zodat u inzicht krijgt in de dekkingsverschillen.
Selecteer Ga naar Inhoudshub om alle aanbevolen beveiligingsinhoud weer te geven, die specifiek is gefilterd voor deze optimalisatie.
Nadat u nieuwe regels hebt geconfigureerd of wijzigingen hebt aangebracht, markeert u de aanbeveling als voltooid of laat u het systeem automatisch bijwerken.