Referência de recomendações de otimização SOC
Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.
As otimizações SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
As otimizações baseadas em ameaças recomendam a adição de controles de segurança que ajudam a fechar lacunas de cobertura.
As otimizações de valor de dados recomendam maneiras de melhorar o uso de dados, como um melhor plano de dados para sua organização.
Este artigo fornece uma referência das recomendações de otimização de SOC disponíveis.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Otimizações de valor de dados
Para otimizar sua relação custo/valor de segurança, a otimização SOC apresenta conectores de dados ou tabelas pouco usados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados examinam apenas tabelas faturáveis que ingeriram dados nos últimos 30 dias.
A tabela a seguir lista o valor de dados disponível recomendações de otimização SOC:
| Observação | Ação |
|---|---|
| A tabela não foi usada por regras analíticas ou deteções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de caça. | Ativar modelos de regras de análise OU Mover para logs básicos se a tabela for qualificada |
| A tabela não foi usada nos últimos 30 dias | Ativar modelos de regras de análise OU Parar a ingestão de dados ou arquivar a tabela |
| A tabela foi usada apenas pelo Azure Monitor | Ative todos os modelos de regras de análise relevantes para tabelas com valor de segurança OU Mover para um espaço de trabalho do Log Analytics que não seja de segurança |
Se uma tabela for escolhida para UEBA ou uma regra de análise de correspondência de inteligência de ameaça, a otimização SOC não recomenda nenhuma alteração na ingestão.
Importante
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites dos seus planos de ingestão sejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Otimização baseada em ameaças
Para otimizar o valor dos dados, a otimização SOC recomenda adicionar controles de segurança ao seu ambiente na forma de deteções e fontes de dados extras, usando uma abordagem baseada em ameaças.
Para fornecer recomendações baseadas em ameaças, a otimização SOC analisa seus logs ingeridos e regras de análise habilitadas e as compara com os logs e deteções necessários para proteger, detetar e responder a tipos específicos de ataques. Esse tipo de otimização também é conhecido como otimização de cobertura e é baseado na pesquisa de segurança da Microsoft. A otimização SOC considera deteções definidas pelo usuário e prontas para uso.
A tabela a seguir lista as recomendações de otimização de SOC baseadas em ameaças disponíveis:
| Observação | Ação |
|---|---|
| Existem fontes de dados, mas faltam deteções. | Ative modelos de regras de análise com base na ameaça. |
| Os modelos estão ativados, mas faltam fontes de dados. | Conecte novas fontes de dados. |
| Não existem deteções ou fontes de dados existentes. | Conecte deteções e fontes de dados ou instale uma solução. |
Conteúdos relacionados
- Usando otimizações SOC programaticamente (Visualização)
- Blog: Otimização SOC: desbloqueie o poder do gerenciamento de segurança orientado por precisão