Referência de recomendações de otimização do SOC (versão prévia)
Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.
As otimizações SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
As otimizações baseadas em ameaças recomendam a adição de controles de segurança que ajudam a fechar as lacunas de cobertura.
As otimizações de valor de dados recomendam maneiras de melhorar o uso de dados, como um melhor plano de dados para sua organização.
Este artigo fornece uma referência das recomendações de otimização SOC disponíveis.
Importante
O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.
Otimizações de valor de dados
Para otimizar sua relação custo/valor de segurança, a otimização SOC apresenta conectores de dados ou tabelas pouco usados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo de sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados examinam apenas tabelas faturáveis que ingeriram dados nos últimos 30 dias.
A tabela a seguir lista as recomendações de otimização SOC de valor de dados disponíveis:
| Observação | Ação |
|---|---|
| A tabela não foi usada por regras analíticas ou detecções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de caça. | Ativar modelos de regras de análise OR Mover para logs básicos se a tabela for qualificada |
| A tabela não foi usada nos últimos 30 dias | Ativar modelos de regras de análise OR Interromper a ingestão de dados ou arquivar a tabela |
| A tabela foi usada apenas pelo Azure Monitor | Ativar quaisquer modelos de regras de análise relevantes para tabelas com valor de segurança OR Mover para um espaço de trabalho do Log Analytics não relacionado à segurança |
Se uma tabela for escolhida para UEBA ou uma regra de análise de correspondência de inteligência de ameaças, a otimização SOC não recomendará alterações na ingestão.
Importante
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites de seus planos de ingestão sejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Otimização baseada em ameaças
Para otimizar o valor dos dados, a otimização SOC recomenda adicionar controles de segurança ao seu ambiente na forma de detecções e fontes de dados extras, usando uma abordagem baseada em ameaças.
Para fornecer recomendações baseadas em ameaças, a otimização SOC analisa os logs ingeridos e as regras de análise habilitadas e as compara com os logs e detecções necessários para proteger, detectar e responder a tipos específicos de ataques. Esse tipo de otimização também é conhecido como otimização de cobertura e é baseado na pesquisa de segurança da Microsoft.
A tabela a seguir lista as recomendações de otimização SOC baseadas em ameaças disponíveis:
| Observação | Ação |
|---|---|
| Há fontes de dados, mas faltam detecções. | Ative os modelos de regras de análise com base na ameaça. |
| Os modelos estão ativados, mas as fontes de dados estão ausentes. | Conecte novas fontes de dados. |
| Não há detecções ou fontes de dados existentes. | Conecte detecções e fontes de dados ou instale uma solução. |