SOC-optimalisatieverwijzing van aanbevelingen (preview)
Gebruik SOC-optimalisatieaanbeveling om hiaten in de dekking tegen specifieke bedreigingen te sluiten en uw opnamepercentages aan te scherpen tegen gegevens die geen beveiligingswaarde bieden. MET SOC-optimalisaties kunt u uw Microsoft Sentinel-werkruimte optimaliseren zonder dat uw SOC-teams tijd besteden aan handmatige analyse en onderzoek.
Microsoft Sentinel SOC-optimalisaties omvatten de volgende typen aanbevelingen:
Optimalisaties op basis van bedreigingen raden u aan beveiligingscontroles toe te voegen waarmee u hiaten in de dekking kunt sluiten.
Optimalisaties van gegevenswaarden raden manieren aan om uw gegevensgebruik te verbeteren, zoals een beter gegevensplan voor uw organisatie.
Dit artikel bevat een overzicht van de aanbevelingen voor SOC-optimalisatie die beschikbaar zijn.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Microsoft Sentinel in de Defender-portal wordt nu ondersteund voor productiegebruik. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
Optimalisaties van gegevenswaarden
Voor het optimaliseren van uw kosten voor de verhouding tussen beveiligingswaarden worden nauwelijks gegevensconnectors of tabellen door SOC-optimalisatie gebruikt en worden manieren voorgesteld om de kosten van een tabel te verlagen of de waarde ervan te verbeteren, afhankelijk van uw dekking. Dit type optimalisatie wordt ook wel optimalisatie van gegevenswaarden genoemd.
Optimalisaties van gegevenswaarden kijken alleen naar factureerbare tabellen die gegevens in de afgelopen 30 dagen hebben opgenomen.
De volgende tabel bevat de aanbevelingen voor SOC-optimalisatie van de beschikbare gegevenswaarde:
| Observatie | Actie |
|---|---|
| De tabel is niet gebruikt door analyseregels of detecties in de afgelopen 30 dagen, maar is gebruikt door andere bronnen, zoals werkmappen, logboekquery's, opsporingsquery's. | Sjablonen voor analyseregels inschakelen OF Naar basislogboeken gaan als de tabel in aanmerking komt |
| De tabel is in de afgelopen 30 dagen helemaal niet gebruikt | Sjablonen voor analyseregels inschakelen OF Gegevensopname stoppen of de tabel archiveren |
| De tabel is alleen gebruikt door Azure Monitor | Relevante analyseregelsjablonen voor tabellen met beveiligingswaarde inschakelen OF Verplaatsen naar een niet-beveiligingswerkruimte van Log Analytics |
Als een tabel wordt gekozen voor UEBA of een regel voor overeenkomende analyseregels voor bedreigingsinformatie, raadt SOC-optimalisatie geen wijzigingen aan in opname.
Belangrijk
Wanneer u wijzigingen aanbrengt in opnameplannen, raden we u altijd aan ervoor te zorgen dat de limieten van uw opnameplannen duidelijk zijn en dat de betrokken tabellen niet worden opgenomen om naleving of andere vergelijkbare redenen.
Optimalisatie op basis van bedreigingen
Om de gegevenswaarde te optimaliseren, raadt SOC-optimalisatie aan om beveiligingscontroles toe te voegen aan uw omgeving in de vorm van extra detecties en gegevensbronnen, met behulp van een benadering op basis van bedreigingen.
Om aanbevelingen op basis van bedreigingen te bieden, kijkt SOC-optimalisatie naar uw opgenomen logboeken en ingeschakelde analyseregels en vergelijkt deze met de logboeken en detecties die vereist zijn om specifieke typen aanvallen te beveiligen, te detecteren en erop te reageren. Dit optimalisatietype wordt ook wel dekkingsoptimalisatie genoemd en is gebaseerd op het beveiligingsonderzoek van Microsoft.
De volgende tabel bevat de beschikbare aanbevelingen voor SOC-optimalisatie op basis van bedreigingen:
| Observatie | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Schakel analyseregelsjablonen in op basis van de bedreiging. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Verbinding maken nieuwe gegevensbronnen. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Verbinding maken detecties en gegevensbronnen of installeer een oplossing. |