Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik SOC-optimalisatieaanbeveling om hiaten in de dekking tegen specifieke bedreigingen te sluiten en uw opnamepercentages aan te scherpen tegen gegevens die geen beveiligingswaarde bieden. Met SOC-optimalisaties kunt u uw Microsoft Sentinel-werkruimte optimaliseren zonder dat uw SOC-teams tijd besteden aan handmatige analyse en onderzoek.
Microsoft Sentinel SOC-optimalisaties omvatten de volgende typen aanbevelingen:
Aanbevelingen voor gegevenswaarden stellen manieren voor om uw gegevensgebruik te verbeteren, zoals een beter gegevensplan voor uw organisatie.
Aanbevelingen op basis van dekking stellen voor het toevoegen van controles aan om dekkingsgaten te voorkomen die kunnen leiden tot kwetsbaarheid voor aanvallen of scenario's die kunnen leiden tot financieel verlies. Aanbevelingen voor dekking zijn onder andere:
- Aanbevelingen op basis van bedreigingen: raadt u aan beveiligingscontroles toe te voegen waarmee u hiaten in de dekking kunt detecteren om aanvallen en beveiligingsproblemen te voorkomen.
- AANBEVELINGEN voor AI MITRE ATT&CK-tagging (preview): maakt gebruik van kunstmatige intelligentie om beveiligingsdetecties te suggereren met MITRE ATT&CK-tactieken en -technieken.
- Aanbevelingen op basis van risico's (preview):raadt aan controles te implementeren om hiaten in de dekking aan te pakken die verband houden met gebruiksvoorbeelden die kunnen leiden tot bedrijfsrisico's of financiële verliezen, waaronder operationele, financiële, reputatie- en nalevingsrisico's en juridische risico's.
Vergelijkbare aanbevelingen van organisaties suggereren het opnemen van gegevens uit de typen bronnen die worden gebruikt door organisaties die vergelijkbare opnametrends en brancheprofielen hebben.
Dit artikel bevat een gedetailleerde verwijzing naar de typen aanbevelingen voor SOC-optimalisatie die beschikbaar zijn.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 wordt Microsoft Sentinel alleen ondersteund in de Defender-portal en worden alle resterende klanten die azure Portal gebruiken, automatisch omgeleid.
Het is raadzaam dat klanten die Microsoft Sentinel in Azure gebruiken, beginnen met het plannen van de overgang naar de Defender-portal voor de volledige geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Planning van uw overstap naar de Microsoft Defender-portal voor alle Microsoft Sentinel-klanten voor meer informatie.
Aanbevelingen voor optimalisatie van gegevenswaarden
Om de verhouding tussen kosten/beveiligingswaarden te optimaliseren, worden met SOC-optimalisatie nauwelijks gegevensconnectors of tabellen gebruikt. SOC-optimalisatie stelt manieren voor om de kosten van een tabel te verlagen of de waarde ervan te verbeteren, afhankelijk van uw dekking. Dit type optimalisatie wordt ook wel optimalisatie van gegevenswaarden genoemd.
Optimalisaties van gegevenswaarden kijken alleen naar factureerbare tabellen die gegevens in de afgelopen 30 dagen hebben opgenomen.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie van gegevenswaarden:
| Type observatie | Actie |
|---|---|
| De tabel is niet gebruikt door analyseregels of detecties in de afgelopen 30 dagen, maar is gebruikt door andere bronnen, zoals werkmappen, logboekquery's, opsporingsquery's. | Sjablonen voor analyseregels inschakelen OF Verplaats de tabel naar een basislogboekplan als de tabel in aanmerking komt. |
| De tabel is in de afgelopen 30 dagen helemaal niet gebruikt. | Sjablonen voor analyseregels inschakelen OF Stop de gegevensopname en verwijder de tabel of verplaats de tabel naar langetermijnretentie. |
| De tabel is alleen gebruikt door Azure Monitor. | Relevante analyseregelsjablonen voor tabellen met beveiligingswaarde inschakelen OF Naar een niet-beveiligingswerkruimte van Log Analytics gaan. |
Als een tabel wordt gekozen voor UEBA of een regel voor overeenkomende analyseregels voor bedreigingsinformatie, raadt SOC-optimalisatie geen wijzigingen aan in opname.
Ongebruikte kolommen (preview)
MET SOC-optimalisatie worden ook ongebruikte kolommen in uw tabellen weergegeven. De volgende tabel bevat de beschikbare typen kolommen die beschikbaar zijn voor aanbevelingen voor SOC-optimalisatie:
| Type observatie | Actie |
|---|---|
| De kolom ConditionalAccessPolicies in de tabel SignInLogs of de tabel AADNonInteractiveUserSignInLogs wordt niet gebruikt. | Stop de gegevensopname voor de kolom. |
Belangrijk
Wanneer u wijzigingen aanbrengt in opnameplannen, raden we u altijd aan ervoor te zorgen dat de limieten van uw opnameplannen duidelijk zijn en dat de betrokken tabellen niet worden opgenomen om naleving of andere vergelijkbare redenen.
Aanbevelingen voor optimalisatie op basis van dekking
Aanbevelingen voor optimalisatie op basis van dekking helpen u om hiaten in dekking te sluiten tegen specifieke bedreigingen of scenario's die kunnen leiden tot bedrijfsrisico's en financieel verlies.
Aanbevelingen voor optimalisatie op basis van bedreigingen
Om de gegevenswaarde te optimaliseren, raadt SOC-optimalisatie aan om beveiligingscontroles toe te voegen aan uw omgeving in de vorm van extra detecties en gegevensbronnen, met behulp van een benadering op basis van bedreigingen. Dit optimalisatietype wordt ook wel dekkingsoptimalisatie genoemd en is gebaseerd op het beveiligingsonderzoek van Microsoft.
SOC-optimalisatie biedt aanbevelingen op basis van bedreigingen door uw opgenomen logboeken en ingeschakelde analyseregels te analyseren en deze vervolgens te vergelijken met de logboeken en detecties die nodig zijn om specifieke typen aanvallen aan te pakken.
Optimalisaties op basis van bedreigingen houden rekening met zowel vooraf gedefinieerde als door de gebruiker gedefinieerde detecties.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie op basis van bedreigingen:
| Type observatie | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Schakel analyseregelsjablonen in op basis van de bedreiging: maak een regel met behulp van een analyseregelsjabloon en pas de naam, beschrijving en querylogica aan op basis van uw omgeving. Zie Detectie van bedreigingen in Microsoft Sentinel voor meer informatie. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Nieuwe gegevensbronnen verbinden. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Maak verbinding met detecties en gegevensbronnen of installeer een oplossing. |
Aanbevelingen voor AI MITRE ATT&CK-tagging (preview)
De functie AI MITRE ATT&CK Tagging maakt gebruik van kunstmatige intelligentie om automatisch beveiligingsdetecties te taggen. Het AI-model wordt uitgevoerd op de werkruimte van de klant om aanbevelingen voor taggen te maken voor detecties zonder vlag met relevante MITRE ATT&CK-tactiek en -technieken.
Klanten kunnen deze aanbevelingen toepassen om ervoor te zorgen dat hun beveiligingsdekking grondig en nauwkeurig is. Dit zorgt voor volledige en nauwkeurige beveiligingsdekking, waardoor de detectie en reactiemogelijkheden van bedreigingen worden verbeterd.
Dit zijn drie manieren om de aanbevelingen voor AI MITRE ATT&CK-tags toe te passen:
- Pas de aanbeveling toe op een specifieke analyseregel.
- Pas de aanbeveling toe op alle analyseregels in de werkruimte.
- Pas de aanbeveling niet toe op analyseregels.
Aanbevelingen voor optimalisatie op basis van risico's (preview)
Optimalisaties op basis van risico's beschouwen echte beveiligingsscenario's met een reeks bedrijfsrisico's die eraan zijn gekoppeld, waaronder operationele, financiële, reputatie- en nalevingsrisico's en juridische risico's. De aanbevelingen zijn gebaseerd op de op risico's gebaseerde benadering van Microsoft Sentinel voor beveiliging.
Om aanbevelingen op basis van risico's te bieden, kijkt SOC-optimalisatie naar uw opgenomen logboeken en analyseregels en vergelijkt deze met de logboeken en detecties die nodig zijn om specifieke soorten aanvallen te beveiligen, te detecteren en erop te reageren die bedrijfsrisico's kunnen veroorzaken. Optimalisaties van aanbevelingen op basis van risico's houden rekening met zowel vooraf gedefinieerde als door de gebruiker gedefinieerde detecties.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie op basis van risico's:
| Type observatie | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Schakel analyseregelsjablonen in op basis van de bedrijfsrisico's: Maak een regel met behulp van een analyseregelsjabloon en pas de naam, beschrijving en querylogica aan op basis van uw omgeving. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Nieuwe gegevensbronnen verbinden. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Maak verbinding met detecties en gegevensbronnen of installeer een oplossing. |
Aanbevelingen voor vergelijkbare organisaties
SOC-optimalisatie maakt gebruik van geavanceerde machine learning om tabellen te identificeren die ontbreken in uw werkruimte, maar worden gebruikt door organisaties met vergelijkbare opnametrends en brancheprofielen. Het laat zien hoe andere organisaties deze tabellen gebruiken en de relevante gegevensbronnen, samen met gerelateerde regels, aanbevelen om uw beveiligingsdekking te verbeteren.
| Type observatie | Actie |
|---|---|
| Logboekbronnen die door vergelijkbare klanten zijn opgenomen, ontbreken | Verbind de voorgestelde gegevensbronnen. Deze aanbeveling bevat niet:
|
Overwegingen
Een werkruimte ontvangt alleen vergelijkbare aanbevelingen voor organisaties als het machine learning-model aanzienlijke overeenkomsten identificeert met andere organisaties en tabellen detecteert die ze hebben, maar u niet. SOC's in hun vroege of onboardingfasen ontvangen deze aanbevelingen waarschijnlijker dan SOC's met een hoger volwassenheidsniveau. Niet alle werkruimten krijgen vergelijkbare aanbevelingen van organisaties.
De machine learning-modellen hebben nooit toegang tot de inhoud van klantlogboeken of nemen ze op elk gewenst moment op. Er worden geen klantgegevens, inhoud of persoonlijke gegevens (EUII) aan de analyse blootgesteld. Aanbevelingen zijn gebaseerd op machine learning-modellen die uitsluitend afhankelijk zijn van organisatieidentificeerbare informatie (OII) en systeemmetagegevens.
Gerelateerde inhoud
- SOC-optimalisaties programmatisch gebruiken (preview)
- Blog: SOC-optimalisatie: de kracht van precisiegestuurd beveiligingsbeheer ontgrendelen