Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Skorzystaj z zaleceń optymalizacji SOC, aby pomóc w zlikwidowaniu luk w zakresie pokrycia określonych zagrożeń i zaostrzeniu szybkości pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC ułatwiają optymalizację Microsoft Sentinel obszaru roboczego bez konieczności poświęcania czasu zespołom SOC na ręczną analizę i badania.
Microsoft Sentinel optymalizacje SOC obejmują następujące typy zaleceń:
Zalecenia dotyczące wartości danych sugerują sposoby poprawy wykorzystania danych, takie jak lepszy plan danych dla organizacji.
Zalecenia oparte na zasięgu sugerują dodanie mechanizmów kontroli, aby zapobiec lukom w zakresie pokrycia, które mogą prowadzić do podatności na ataki lub scenariusze, które mogą prowadzić do strat finansowych. Zalecenia dotyczące pokrycia obejmują:
- Zalecenia oparte na zagrożeniach: zaleca dodanie mechanizmów kontroli zabezpieczeń, które ułatwiają wykrywanie luk w zasięgu, aby zapobiec atakom i lukom w zabezpieczeniach.
- AI MITRE ATT&zalecenia dotyczące tagowania CK (wersja zapoznawcza): używa sztucznej inteligencji do sugerowania wykrywania zabezpieczeń tagowaniem za pomocą&taktyk i technik CK mitre att.
- Zalecenia oparte na ryzyku (wersja zapoznawcza): zaleca wdrożenie mechanizmów kontroli w celu wyeliminowania luk w zakresie pokrycia związanych ze przypadkami użycia, które mogą powodować ryzyko biznesowe lub straty finansowe, w tym ryzyko operacyjne, finansowe, reputację, zgodność i ryzyko prawne.
Podobne zalecenia organizacji sugerują pozyskiwanie danych z typów źródeł używanych przez organizacje, które mają podobne trendy pozyskiwania i profile branżowe do Twoich.
Ten artykuł zawiera szczegółowe informacje na temat dostępnych typów zaleceń dotyczących optymalizacji SOC.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Zalecenia dotyczące optymalizacji wartości danych
Aby zoptymalizować stosunek kosztów do wartości zabezpieczeń, optymalizacja SOC prawie nie korzysta z łączników danych lub tabel. Optymalizacja SOC sugeruje sposoby zmniejszenia kosztów tabeli lub poprawienia jej wartości w zależności od pokrycia. Ten typ optymalizacji jest również nazywany optymalizacją wartości danych.
Optymalizacje wartości danych sprawdzają tylko tabele rozliczane, które pozyskiwane dane w ciągu ostatnich 30 dni.
Poniższa tabela zawiera listę dostępnych typów zaleceń optymalizacji SOC dotyczących wartości danych:
| Typ obserwacji | Akcja |
|---|---|
| Tabela nie była używana przez reguły analizy ani wykrywania w ciągu ostatnich 30 dni, ale była używana przez inne źródła, takie jak skoroszyty, zapytania dzienników, zapytania wyszukiwania zagrożeń. | Włączanie szablonów reguł analizy LUB Przenieś tabelę do podstawowego planu dzienników , jeśli tabela kwalifikuje się. |
| Tabela nie była w ogóle używana w ciągu ostatnich 30 dni. | Włączanie szablonów reguł analizy LUB Zatrzymaj pozyskiwanie danych i usuń tabelę lub przenieś tabelę do przechowywania długoterminowego. |
| Tabela była używana tylko przez Azure Monitor. | Włączanie wszystkich odpowiednich szablonów reguł analizy dla tabel z wartością zabezpieczeń LUB Przejdź do obszaru roboczego usługi Log Analytics bez zabezpieczeń. |
Jeśli wybrano tabelę dla interfejsu UEBA lub regułę analizy dopasowania analizy zagrożeń, optymalizacja SOC nie zaleca żadnych zmian w pozyskiwaniu.
Nieużywane kolumny (wersja zapoznawcza)
Optymalizacja SOC udostępnia również nieużywane kolumny w tabelach. Poniższa tabela zawiera listę dostępnych typów kolumn dostępnych dla zaleceń dotyczących optymalizacji SOC:
| Typ obserwacji | Akcja |
|---|---|
| Kolumna ConditionalAccessPolicies w tabeli SignInLogs lub tabela AADNonInteractiveUserSignInLogs nie jest używana. | Zatrzymaj pozyskiwanie danych dla kolumny. |
Ważna
Podczas wprowadzania zmian w planach pozyskiwania zalecamy zawsze upewnienie się, że limity planów pozyskiwania są jasne i że tabele, których dotyczy problem, nie są pozyskiwane ze względu na zgodność lub inne podobne przyczyny.
Zalecenia dotyczące optymalizacji opartej na pokryciach
Zalecenia dotyczące optymalizacji opartej na pokryciach pomagają zlikwidować luki w zakresie pokrycia określonych zagrożeń lub scenariuszy, które mogą prowadzić do ryzyka biznesowego i strat finansowych.
Zalecenia dotyczące optymalizacji opartej na zagrożeniach
Aby zoptymalizować wartość danych, optymalizacja SOC zaleca dodanie mechanizmów kontroli zabezpieczeń do środowiska w postaci dodatkowych wykrywania i źródeł danych przy użyciu podejścia opartego na zagrożeniach. Ten typ optymalizacji jest również znany jako optymalizacja pokrycia i jest oparty na badaniach nad zabezpieczeniami firmy Microsoft.
Optymalizacja SOC udostępnia zalecenia oparte na zagrożeniach, analizując pozyskane dzienniki i włączone reguły analizy, a następnie porównując je z dziennikami i wykrywaniami potrzebnymi do rozwiązywania określonych typów ataków.
Optymalizacje oparte na zagrożeniach uwzględniają zarówno wykrywanie wstępnie zdefiniowane, jak i zdefiniowane przez użytkownika.
W poniższej tabeli wymieniono dostępne typy zaleceń dotyczących optymalizacji SOC opartych na zagrożeniach:
| Typ obserwacji | Akcja |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analizy na podstawie zagrożenia: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań do swojego środowiska. Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń w Microsoft Sentinel. |
| Szablony są włączone, ale brakuje źródeł danych. | Łączenie nowych źródeł danych. |
| Brak istniejących wykryć ani źródeł danych. | Połącz wykrywanie i źródła danych lub zainstaluj rozwiązanie. |
AI MITRE ATT&zalecenia dotyczące tagowania CK (wersja zapoznawcza)
Funkcja tagowania AI MITRE ATT&CK używa sztucznej inteligencji do automatycznego tagowania wykrywania zabezpieczeń. Model sztucznej inteligencji działa w obszarze roboczym klienta, aby utworzyć zalecenia dotyczące tagowania dla wykrywania bez znaczników za pomocą odpowiedniej taktyki i technik CK&MITRE ATT.
Klienci mogą zastosować te zalecenia, aby upewnić się, że ich zakres zabezpieczeń jest dokładny i precyzyjny. Zapewnia to pełne i dokładne pokrycie zabezpieczeń, zwiększając możliwości wykrywania zagrożeń i reagowania na nie.
Oto 3 sposoby stosowania zaleceń dotyczących tagowania AI MITRE ATT&CK:
- Zastosuj zalecenie do określonej reguły analizy.
- Zastosuj zalecenie do wszystkich reguł analizy w obszarze roboczym.
- Nie stosuj zalecenia do żadnych reguł analizy.
Zalecenia dotyczące optymalizacji opartej na ryzyku (wersja zapoznawcza)
Optymalizacje oparte na ryzyku uwzględniają rzeczywiste scenariusze zabezpieczeń z zestawem powiązanych z nim zagrożeń biznesowych, w tym ryzyka operacyjnego, finansowego, reputacji, zgodności i ryzyka prawnego. Zalecenia są oparte na Microsoft Sentinel podejścia opartego na ryzyku do zabezpieczeń.
Aby zapewnić rekomendacje oparte na ryzyku, optymalizacja SOC analizuje pozyskane dzienniki i reguły analizy oraz porównuje je z dziennikami i wykrywaniami wymaganymi do ochrony, wykrywania i reagowania na określone typy ataków, które mogą powodować ryzyko biznesowe. Optymalizacje zaleceń opartych na ryzyku uwzględniają zarówno wykrywanie wstępnie zdefiniowane, jak i zdefiniowane przez użytkownika.
W poniższej tabeli wymieniono dostępne typy zaleceń dotyczących optymalizacji SOC opartych na ryzyku:
| Typ obserwacji | Akcja |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analizy na podstawie ryzyka biznesowego: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań do swojego środowiska. |
| Szablony są włączone, ale brakuje źródeł danych. | Łączenie nowych źródeł danych. |
| Brak istniejących wykryć ani źródeł danych. | Połącz wykrywanie i źródła danych lub zainstaluj rozwiązanie. |
Podobne zalecenia dotyczące organizacji
Optymalizacja SOC używa zaawansowanego uczenia maszynowego do identyfikowania tabel, których brakuje w obszarze roboczym, ale są używane przez organizacje o podobnych trendach pozyskiwania i profilach branżowych. Pokazuje on, jak inne organizacje korzystają z tych tabel i zaleca odpowiednie źródła danych wraz z powiązanymi regułami, aby zwiększyć zakres zabezpieczeń.
| Typ obserwacji | Akcja |
|---|---|
| Brak źródeł dzienników pozyskanych przez podobnych klientów | Połącz sugerowane źródła danych. To zalecenie nie obejmuje:
|
Zagadnienia dotyczące
Obszar roboczy otrzymuje podobne zalecenia dotyczące organizacji tylko wtedy, gdy model uczenia maszynowego identyfikuje znaczące podobieństwa z innymi organizacjami i odnajduje tabele, które mają, ale nie. SoC na wczesnym etapie lub dołączania są bardziej prawdopodobne, aby otrzymać te zalecenia niż SOC z wyższym poziomem dojrzałości. Nie wszystkie obszary robocze otrzymują podobne zalecenia dotyczące organizacji.
Modele uczenia maszynowego nigdy nie uzyskują dostępu ani nie analizują zawartości dzienników klientów ani nie pozyskują ich w dowolnym momencie. Żadne dane klienta, zawartość ani dane osobowe (EUII) nie są uwidocznione w analizie. Zalecenia są oparte na modelach uczenia maszynowego, które opierają się wyłącznie na informacjach OII (Organizational Identifiable Information) i metadanych systemu.
Zawartość pokrewna
- Programowe korzystanie z optymalizacji SOC (wersja zapoznawcza)
- Blog: Optymalizacja SOC: odblokowywanie możliwości precyzyjnego zarządzania zabezpieczeniami