Otimizar suas operações de segurança (versão prévia)
As equipes do SOC (Centro de Operações de Segurança) buscam ativamente oportunidades para otimizar os processos e os resultados. Você deseja garantir que tenha todos os dados necessários para tomar medidas contra os riscos em seu ambiente, ao mesmo tempo em que garante que não esteja pagando para ingerir mais dados do que precisa. Ao mesmo tempo, suas equipes devem ajustar regularmente os controles de segurança à medida que os cenários de ameaças e as prioridades de negócios mudam, ajustando-se de forma rápida e eficiente para manter seu retorno sobre o investimento elevado.
A otimização do SOC apresenta maneiras de otimizar seus controles de segurança, ganhando mais valor com os serviços de segurança da Microsoft com o passar do tempo.
As otimizações do SOC são recomendações de alta fidelidade e acionáveis para ajudá-lo a identificar áreas onde você pode reduzir custos, sem afetar as necessidades ou a cobertura do SOC, ou onde você pode adicionar controles de segurança e dados onde eles estiverem ausentes. As otimizações do SOC são adaptadas ao seu ambiente e baseadas na cobertura atual e no cenário de ameaças.
Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.
Importante
O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para o uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização do SOC no portal do Defender. Se você só quer uma demonstração, pule para o minuto 8:14.
Pré-requisitos
A otimização do SOC usa funções e permissões padrão do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Para usar a otimização do SOC no portal do Microsoft Defender, você deve ter o Microsoft Sentinel integrado ao Microsoft Defender XDR. Para obter mais informações, confira Conectar o Microsoft Sentinel ao Microsoft Defender XDR.
Acessar a página de otimização do SOC
Use uma das seguintes guias, dependendo se você está trabalhando na plataforma unificada de operações do SOC ou no portal do Azure:
No Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Otimização do SOC.
Noções básicas sobre as métricas de visão geral da otimização do SOC
As métricas de otimização mostradas na parte superior da guia Visão Geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e serão alteradas ao longo do tempo à medida que você implementa as recomendações.
As métricas com suporte na parte superior da guia Visão Geral incluem:
| Título | Descrição |
|---|---|
| Dados ingeridos nos últimos 3 meses | Mostra o total de dados ingeridos em seu workspace nos últimos três meses. |
| Status das otimizações | Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento. |
Selecione Ver todos os cenários de ameaça para exibir a lista completa de ameaças relevantes, detecções ativas e recomendadas e níveis de cobertura.
Exibir e gerenciar as recomendações de otimização
No portal do Azure, as recomendações de otimização do SOC estão listadas na guia Otimização do SOC > Visão geral.
Por exemplo:
Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o workspace ao qual ele se aplica.
Filtrar otimizações
Filtre as otimizações com base no tipo de otimização ou pesquise um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:
Cobertura: inclui recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.
Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso dos seus dados para maximizar o valor de segurança dos dados ingeridos ou sugerir um plano de dados melhor para sua organização.
Exibir detalhes da otimização e tomar medidas
Em cada cartão de otimização, selecione Exibir detalhes completos para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.
Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:
- Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de Conteúdo.
- Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.
Se você optar por instalar um modelo de regra de análise do Hub de Conteúdo e ainda não tiver a solução instalada, somente o modelo de regra de análise instalado será mostrado na solução quando terminar. Instale a solução completa para ver todos os itens de conteúdo disponíveis na solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Gerenciar otimizações
Por padrão, os status de otimização estão definidos como Ativo. Altere seus status à medida que suas equipes progridem por meio da triagem e implementação das recomendações.
Selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:
| Ação | Descrição |
|---|---|
| Concluir | Conclua uma otimização ao concluir cada ação recomendada. Se for detectada uma alteração em seu ambiente que torna a recomendação irrelevante, a otimização será concluída automaticamente e movida para a guia Concluídas. Por exemplo, você pode ter uma otimização relacionada a uma tabela não usada anteriormente. Se sua tabela agora for usada em uma nova regra de análise, a recomendação de otimização agora será irrelevante. Nesses casos, uma faixa é exibida na guia Visão Geral com o número de otimizações concluídas automaticamente desde sua última visita. |
| Marcar como em andamento / Marcar como ativa | Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela. Use esses dois status de forma flexível, mas de forma consistente, conforme necessário para sua organização. |
| Ignorar | Descarte uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista. |
| Fornecer comentários | Convidamos você a compartilhar suas ideias sobre as ações recomendadas com a equipe da Microsoft! Ao compartilhar seus comentários, tenha cuidado para não compartilhar dados confidenciais. Para obter mais informações, consulte Política de Privacidade da Microsoft. |
Exibir otimizações concluídas e descartadas
Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização foi concluída automaticamente, ela será listada nas guias Concluídas e Descartadas, respectivamente.
A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:
Reativar a otimização, enviando-a de volta para a guia Visão Geral. As otimizações reativadas são recalculadas para fornecer o valor e a ação mais atualizados. O recálculo desses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.
As otimizações reativadas também poderão ser movidas diretamente para a guia Concluídas se, depois de recalcular os detalhes, elas não forem mais relevantes.
Forneça mais comentários à equipe da Microsoft. Ao compartilhar seus comentários, tenha cuidado para não compartilhar dados confidenciais. Para obter mais informações, consulte Política de Privacidade da Microsoft.
Usar otimizações por meio da API
O grupo de operações Recommendations fornece acesso a otimizações SOC por meio da API REST do Azure. Por exemplo, use a API para obter detalhes sobre recomendações específicas ou todas as recomendações atuais em seus workspaces ou para reavaliar uma recomendação se você tiver feito alterações.
Embora as otimizações de SOC estejam em versão prévia, a documentação da API está disponível apenas na especificação do Swagger e não na referência da API REST. Para obter mais informações, confira as versões de API das APIs REST do Microsoft Sentinel.
Fluxo de uso da otimização do SOC
Esta seção fornece um fluxo de exemplo para usar otimizações do SOC no portal do Defender ou do Azure:
Na página de Otimização do SOC, comece entendendo o painel:
- Observe as principais métricas para o status geral da otimização.
- Examine as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.
Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para detecções. Selecione Exibir detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:
Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar esta opção, selecione Ir para o Hub de Conteúdo para visualizar e configurar modelos específicos de regras analíticas prontas para uso que usam a tabela selecionada. No Hub de Conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente até ela.
Se novas regras analíticas exigirem fontes de log adicionais, considere ingeri-las para melhorar a cobertura de ameaças.
Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detecção de ameaças pronta para uso.
Altere o nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.
Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:
Selecione Exibir detalhes completos para ver a cobertura atual e as melhorias sugeridas.
Selecione Exibir todo o aprimoramento de técnicas MITRE ATT&CK para fazer drill down e analisar as táticas e técnicas relevantes, ajudando você a entender a lacuna de cobertura.
Selecione Ir para o Hub de Conteúdo para exibir todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.
Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou permita que o sistema seja atualizado automaticamente.