Udostępnij za pośrednictwem

Dokumentacja optymalizacji SOC zaleceń

  • Artykuł
  • Dotyczy:
    Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Użyj zaleceń dotyczących optymalizacji SOC, aby pomóc w zamknięciu luk w zakresie pokrycia określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC pomagają zoptymalizować obszar roboczy Microsoft Sentinel bez konieczności poświęcania czasu przez zespoły SOC na ręczną analizę i badania.

Optymalizacje SOC usługi Microsoft Sentinel obejmują następujące typy zaleceń:

  • Optymalizacje oparte na zagrożeniach zalecają dodawanie mechanizmów kontroli zabezpieczeń, które ułatwiają zamykanie luk w zakresie pokrycia.

  • Optymalizacje wartości danych zalecają sposoby ulepszania użycia danych, takie jak lepszy plan danych dla organizacji.

Ten artykuł zawiera informacje na temat dostępnych zaleceń dotyczących optymalizacji SOC.

Ważne

Usługa Microsoft Sentinel jest teraz ogólnie dostępna na platformie Ujednolicone operacje zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Optymalizacje wartości danych

Aby zoptymalizować stosunek kosztów do wartości zabezpieczeń, optymalizacja SOC powierzchnie rzadko używane łączniki danych lub tabele i sugeruje sposoby zmniejszenia kosztów tabeli lub zwiększenia jej wartości, w zależności od pokrycia. Ten typ optymalizacji jest również nazywany optymalizacją wartości danych.

Optymalizacje wartości danych patrzą tylko na rozliczane tabele, które pozyskały dane w ciągu ostatnich 30 dni.

W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC dla wartości danych:

Obserwacja Akcja
Tabela nie była używana przez reguły analityczne ani wykrycia w ciągu ostatnich 30 dni, ale była używana przez inne źródła, takie jak skoroszyty, zapytania dzienników, zapytania wyszukiwania zagrożeń. Włączanie szablonów reguł analizy
LUB
Przechodzenie do dzienników podstawowych, jeśli tabela kwalifikuje się
Tabela nie była używana w ogóle w ciągu ostatnich 30 dni Włączanie szablonów reguł analizy
LUB
Zatrzymywanie pozyskiwania danych lub archiwizowanie tabeli
Tabela była używana tylko przez usługę Azure Monitor Włącz wszystkie odpowiednie szablony reguł analizy dla tabel z wartością zabezpieczeń
LUB
Przechodzenie do obszaru roboczego usługi Log Analytics bez zabezpieczeń

Jeśli dla analizy zgodności z analizą zagrożeń wybrano tabelę UEBA lub regułę analizy zgodności analizy zagrożeń, optymalizacja SOC nie zaleca żadnych zmian w pozyskiwaniu danych.

Ważne

Podczas wprowadzania zmian w planach pozyskiwania zalecamy zawsze zapewnienie, że limity planów pozyskiwania są jasne i że objęte tabele nie są pozyskiwane ze względu na zgodność lub inne podobne przyczyny.

Optymalizacja oparta na zagrożeniach

Aby zoptymalizować wartość danych, optymalizacja SOC zaleca dodanie mechanizmów kontroli zabezpieczeń do środowiska w postaci dodatkowych wykryć i źródeł danych przy użyciu podejścia opartego na zagrożeniach.

Aby udostępnić zalecenia oparte na zagrożeniach, optymalizacja SOC analizuje pozyskane dzienniki i włączone reguły analizy oraz porównuje je z dziennikami i wykrywaniami wymaganymi do ochrony, wykrywania i reagowania na określone typy ataków. Ten typ optymalizacji jest również nazywany optymalizacją pokrycia i jest oparty na badaniach nad zabezpieczeniami firmy Microsoft.

W poniższej tabeli wymieniono dostępne zalecenia dotyczące optymalizacji SOC oparte na zagrożeniach:

Obserwacja Akcja
Istnieją źródła danych, ale brakuje wykrywania. Włącz szablony reguł analizy na podstawie zagrożenia.
Szablony są włączone, ale brakuje źródeł danych. Połącz nowe źródła danych.
Nie ma istniejących wykryć ani źródeł danych. Łączenie wykrywania i źródeł danych lub instalowanie rozwiązania.

Powiązana zawartość

Następny krok