Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruik AANBEVELINGEN voor SOC-optimalisatie om dekkingsgaten tegen specifieke bedreigingen te dichten en uw opnamepercentages te verbeteren voor gegevens die geen beveiligingswaarde bieden. MET SOC-optimalisaties kunt u uw Microsoft Sentinel werkruimte optimaliseren, zonder dat uw SOC-teams tijd hoeven te besteden aan handmatige analyse en onderzoek.
Microsoft Sentinel SOC-optimalisaties omvatten de volgende typen aanbevelingen:
Aanbevelingen voor gegevenswaarde suggereren manieren om uw gegevensgebruik te verbeteren, zoals een beter data-abonnement voor uw organisatie.
Aanbevelingen op basis van dekking suggereren het toevoegen van besturingselementen om dekkingsgaten te voorkomen die kunnen leiden tot kwetsbaarheid voor aanvallen of scenario's die kunnen leiden tot financieel verlies. Aanbevelingen voor dekking omvatten:
- Aanbevelingen op basis van bedreigingen: u wordt aangeraden beveiligingscontroles toe te voegen waarmee u dekkingsproblemen kunt detecteren om aanvallen en beveiligingsproblemen te voorkomen.
- AI MITRE ATT&CK-taggingaanbevelingen (preview): maakt gebruik van kunstmatige intelligentie om beveiligingsdetecties te taggen met MITRE ATT&CK-tactieken en -technieken.
- Aanbevelingen op basis van risico's (preview): beveelt het implementeren van controles aan om dekkings hiaten in verband met gebruiksscenario's aan te pakken die kunnen leiden tot bedrijfsrisico's of financiële verliezen, waaronder operationele, financiële, reputatie-, nalevings- en juridische risico's.
Vergelijkbare aanbevelingen van organisaties suggereren het opnemen van gegevens uit de typen bronnen die worden gebruikt door organisaties die vergelijkbare opnametrends en brancheprofielen hebben als die van u.
Dit artikel bevat een gedetailleerde verwijzing naar de typen beschikbare aanbevelingen voor SOC-optimalisatie.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Aanbevelingen voor optimalisatie van gegevenswaarden
Om de verhouding tussen kosten en beveiliging te optimaliseren, worden gegevensconnectors of tabellen in SOC-optimalisatie nauwelijks gebruikt. SOC-optimalisatie suggereert manieren om de kosten van een tabel te verlagen of de waarde ervan te verbeteren, afhankelijk van uw dekking. Dit type optimalisatie wordt ook wel optimalisatie van gegevenswaarden genoemd.
Optimalisaties van gegevenswaarden kijken alleen naar factureerbare tabellen die in de afgelopen 30 dagen gegevens hebben opgenomen.
De volgende tabel bevat de beschikbare typen soc-optimalisatieaanbevelingstypen:
| Type waarneming | Actie |
|---|---|
| De tabel is de afgelopen 30 dagen niet gebruikt door analyseregels of detecties, maar is gebruikt door andere bronnen, zoals werkmappen, logboekquery's, opsporingsquery's. | Sjablonen voor analyseregels inschakelen OF Verplaats de tabel naar een basislogboekplan als de tabel in aanmerking komt. |
| De tabel is de afgelopen 30 dagen helemaal niet gebruikt. | Sjablonen voor analyseregels inschakelen OF Stop de gegevensopname en verwijder de tabel of verplaats de tabel naar langetermijnretentie. |
| De tabel is alleen gebruikt door Azure Monitor. | Relevante analyseregelsjablonen inschakelen voor tabellen met een beveiligingswaarde OF Naar een log analytics-werkruimte zonder beveiliging gaan. |
Als een tabel wordt gekozen voor UEBA of een regel voor het vergelijken van bedreigingsinformatieanalyse, raadt SOC-optimalisatie geen wijzigingen in opname aan.
Ongebruikte kolommen (preview)
MET SOC-optimalisatie worden ook ongebruikte kolommen in uw tabellen weergegeven. De volgende tabel bevat de beschikbare typen kolommen die beschikbaar zijn voor aanbevelingen voor SOC-optimalisatie:
| Type waarneming | Actie |
|---|---|
| De kolom ConditionalAccessPolicies in de tabel SignInLogs of de tabel AADNonInteractiveUserSignInLogs wordt niet gebruikt. | Stop de gegevensopname voor de kolom. |
Belangrijk
Wanneer u wijzigingen aanbrengt in opnameplannen, raden we u aan er altijd voor te zorgen dat de limieten van uw opnameplannen duidelijk zijn en dat de betrokken tabellen niet worden opgenomen om nalevingsredenen of andere soortgelijke redenen.
Aanbevelingen voor optimalisatie op basis van dekking
Aanbevelingen voor optimalisatie op basis van dekking helpen u dekkingsgaten te dichten tegen specifieke bedreigingen of scenario's die kunnen leiden tot bedrijfsrisico's en financieel verlies.
Aanbevelingen voor optimalisatie op basis van bedreigingen
Om de gegevenswaarde te optimaliseren, raadt SOC-optimalisatie aan om beveiligingsbesturingselementen toe te voegen aan uw omgeving in de vorm van extra detecties en gegevensbronnen, met behulp van een benadering op basis van bedreigingen. Dit optimalisatietype wordt ook wel dekkingsoptimalisatie genoemd en is gebaseerd op het beveiligingsonderzoek van Microsoft.
SOC-optimalisatie biedt aanbevelingen op basis van bedreigingen door uw opgenomen logboeken en ingeschakelde analyseregels te analyseren en deze vervolgens te vergelijken met de logboeken en detecties die nodig zijn om specifieke typen aanvallen aan te pakken.
Optimalisaties op basis van bedreigingen houden rekening met zowel vooraf gedefinieerde als door de gebruiker gedefinieerde detecties.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie op basis van bedreigingen:
| Type waarneming | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Sjablonen voor analyseregels inschakelen op basis van de bedreiging: maak een regel met behulp van een sjabloon voor analyseregels en pas de naam, beschrijving en querylogica aan aan uw omgeving. Zie Bedreigingsdetectie in Microsoft Sentinel voor meer informatie. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Nieuwe gegevensbronnen verbinden. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Detecties en gegevensbronnen verbinden of een oplossing installeren. |
AANBEVELINGEN voor AI MITRE ATT&CK-tagging (preview)
De functie AI MITRE ATT&CK-taggen maakt gebruik van kunstmatige intelligentie om beveiligingsdetecties automatisch te taggen. Het AI-model wordt uitgevoerd op de werkruimte van de klant om taggingsaanbevelingen te maken voor detecties zonder vlag met relevante MITRE ATT-&CK-tactieken en -technieken.
Klanten kunnen deze aanbevelingen toepassen om ervoor te zorgen dat hun beveiligingsdekking grondig en nauwkeurig is. Dit zorgt voor een volledige en nauwkeurige beveiligingsdekking, waardoor de detectie en reactiemogelijkheden van bedreigingen worden verbeterd.
Dit zijn drie manieren om de aanbevelingen voor AI MITRE ATT&CK-tagging toe te passen:
- Pas de aanbeveling toe op een specifieke analyseregel.
- Pas de aanbeveling toe op alle analyseregels in de werkruimte.
- Pas de aanbeveling niet toe op analyseregels.
Aanbevelingen voor optimalisatie op basis van risico's (preview)
Bij optimalisaties op basis van risico's wordt rekening gehouden met echte beveiligingsscenario's met een reeks bedrijfsrisico's, waaronder operationele, financiële, reputatierisico's, nalevings- en juridische risico's. De aanbevelingen zijn gebaseerd op de Microsoft Sentinel op risico gebaseerde benadering van beveiliging.
Om aanbevelingen op basis van risico's te bieden, bekijkt SOC-optimalisatie uw opgenomen logboeken en analyseregels en vergelijkt deze met de logboeken en detecties die nodig zijn om specifieke typen aanvallen te beveiligen, te detecteren en erop te reageren die bedrijfsrisico's kunnen veroorzaken. Optimalisaties van op risico gebaseerde aanbevelingen houden rekening met zowel vooraf gedefinieerde als door de gebruiker gedefinieerde detecties.
De volgende tabel bevat de beschikbare typen aanbevelingen voor SOC-optimalisatie op basis van risico's:
| Type waarneming | Actie |
|---|---|
| Er zijn gegevensbronnen, maar detecties ontbreken. | Analyseregelsjablonen inschakelen op basis van de bedrijfsrisico's: Maak een regel met behulp van een analyseregelsjabloon en pas de naam, beschrijving en querylogica aan aan uw omgeving. |
| Sjablonen zijn ingeschakeld, maar er ontbreken gegevensbronnen. | Nieuwe gegevensbronnen verbinden. |
| Er zijn geen bestaande detecties of gegevensbronnen. | Detecties en gegevensbronnen verbinden of een oplossing installeren. |
Vergelijkbare aanbevelingen van organisaties
SOC-optimalisatie maakt gebruik van geavanceerde machine learning om tabellen te identificeren die ontbreken in uw werkruimte, maar worden gebruikt door organisaties met vergelijkbare opnametrends en brancheprofielen. Het laat zien hoe andere organisaties deze tabellen gebruiken en adviseert de relevante gegevensbronnen, samen met gerelateerde regels, om uw beveiligingsdekking te verbeteren.
| Type waarneming | Actie |
|---|---|
| Logboekbronnen die door vergelijkbare klanten worden opgenomen, ontbreken | Verbind de voorgestelde gegevensbronnen. Deze aanbeveling omvat niet:
|
Overwegingen
Een werkruimte ontvangt alleen vergelijkbare organisatieaanbevelingen als het machine learning-model aanzienlijke overeenkomsten met andere organisaties identificeert en tabellen detecteert die zij hebben, maar u niet. SOC's in hun vroege fase of onboardingfase ontvangen deze aanbevelingen vaker dan SOC's met een hoger volwassenheidsniveau. Niet alle werkruimten krijgen vergelijkbare aanbevelingen van organisaties.
De machine learning-modellen hebben nooit toegang tot de inhoud van klantlogboeken of analyseren deze op enig moment. Er worden geen klantgegevens, inhoud of persoonlijke gegevens (EUII) aan de analyse blootgesteld. Aanbevelingen zijn gebaseerd op machine learning-modellen die uitsluitend afhankelijk zijn van organisatie-identificeerbare informatie (OII) en systeemmetagegevens.
Verwante onderwerpen
- SOC-optimalisaties programmatisch gebruiken (preview)
- Blog: SOC-optimalisatie: de kracht van precisiegestuurd beveiligingsbeheer ontgrendelen