Otimize suas operações de segurança

• Aplica-se a:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

As equipes do centro de operações de segurança (SOC) procuram ativamente oportunidades para otimizar processos e resultados. Você quer garantir que tem todos os dados necessários para tomar medidas contra os riscos em seu ambiente, ao mesmo tempo em que garante que não está pagando para ingerir mais dados do que precisa. Ao mesmo tempo, suas equipes devem ajustar regularmente os controles de segurança à medida que os cenários de ameaças e as prioridades de negócios mudam, ajustando-se de forma rápida e eficiente para manter o retorno sobre os investimentos alto.

A otimização SOC apresenta maneiras de otimizar os seus controlos de segurança, ganhando mais valor dos serviços Microsoft Security com o passar do tempo.

As otimizações SOC são recomendações de alta fidelidade e acionáveis para ajudá-lo a identificar áreas onde pode reduzir custos, sem afetar as necessidades ou a cobertura de SOC, ou onde pode adicionar controlos de segurança e dados onde eles estão em falta. As otimizações SOC são adaptadas ao seu ambiente e baseadas na sua cobertura atual e no cenário de ameaças.

Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.

Importante

O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal Microsoft Defender. O Microsoft Sentinel no portal do Defender agora é suportado para uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização SOC no portal Defender. Se você quiser apenas uma demonstração, pule para o minuto 8:14.

Pré-requisitos

• A otimização SOC usa funções e permissões padrão do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.

• Para usar a otimização SOC no portal do Microsoft Defender, você deve ter o Microsoft Sentinel integrado ao Microsoft Defender XDR. Para obter mais informações, consulte Conectar o Microsoft Sentinel ao Microsoft Defender XDR.

Acesse a página de otimização SOC

Use uma das seguintes guias, dependendo se você está trabalhando na plataforma unificada de operações SOC ou no portal do Azure:

Portal do Azure

No Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Otimização SOC.

Portal do Defender

Na plataforma unificada de operações SOC no portal do Microsoft Defender, selecione Otimização SOC.

Compreender as métricas de visão geral da otimização SOC

As métricas de otimização mostradas na parte superior da guia Visão geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e mudarão ao longo do tempo à medida que você implementa recomendações.

As métricas suportadas na parte superior da guia Visão geral incluem:

Portal do Azure

Title	Description
Dados ingeridos nos últimos 3 meses	Mostra o total de dados ingeridos em seu espaço de trabalho nos últimos três meses.
Status das otimizações	Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento.

Selecione Ver todos os cenários de ameaça para visualizar a lista completa de ameaças relevantes, deteções ativas e recomendadas e níveis de cobertura.

Portal do Defender

Title	Description
Valor de otimização recente	Mostra o valor ganho com base nas recomendações implementadas recentemente
Dados ingeridos	Mostra o total de dados ingeridos em seu espaço de trabalho nos últimos 90 dias.
Otimizações de cobertura baseadas em ameaças	Mostra os níveis de cobertura para ameaças relevantes. Os níveis de cobertura são baseados no número de regras de análise encontradas em seu espaço de trabalho, em comparação com o número de regras recomendadas pela equipe de pesquisa da Microsoft. Os níveis de cobertura suportados incluem: - Melhor: 90% a 100% das regras recomendadas são encontradas - Melhor: 60% a 89% das regras recomendadas foram criadas - Bom: 40% a 59% das regras recomendadas foram criadas - Moderado: 20% a 39% das regras recomendadas foram criadas - Nenhuma: 0% a 19% das regras recomendadas foram criadas Selecione Exibir todos os cenários de ameaça para exibir a lista completa de ameaças relevantes, deteções ativas e recomendadas e níveis de cobertura.
Estado de otimização	Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento.

Visualizar e gerenciar recomendações de otimização

Portal do Azure

No portal do Azure, as recomendações de otimização SOC estão listadas na guia Visão geral da otimização > SOC.

Por exemplo:

Portal do Defender

No portal do Defender, as recomendações de otimização de SOC estão listadas na área Suas otimizações na guia Otimizações de SOC.

Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o espaço de trabalho ao qual se aplica.

Otimizações de filtro

Filtre as otimizações com base no tipo de otimização ou procure um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:

• Cobertura: Inclui recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.

• Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso de dados para maximizar o valor de segurança dos dados ingeridos ou sugerem um plano de dados melhor para sua organização.

Veja os detalhes da otimização e tome medidas

Em cada cartão de otimização, selecione Exibir detalhes completos para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.

Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:

• Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de conteúdo.
• Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.

Se você optar por instalar um modelo de regra de análise a partir do Hub de Conteúdo e ainda não tiver a solução instalada, somente o modelo de regra de análise instalado será mostrado na solução quando terminar. Instale a solução completa para ver todos os itens de conteúdo disponíveis da solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Gerenciar otimizações

Por padrão, os status de otimização são Ativo. Altere seus status à medida que suas equipes progridem na triagem e na implementação de recomendações.

Selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:

Ação	Descrição
Concluída	Conclua uma otimização quando concluir cada ação recomendada. Se for detetada uma alteração no seu ambiente que torne a recomendação irrelevante, a otimização será automaticamente concluída e movida para a guia Concluído . Por exemplo, você pode ter uma otimização relacionada a uma tabela não utilizada anteriormente. Se sua tabela agora é usada em uma nova regra de análise, a recomendação de otimização agora é irrelevante. Nesses casos, um banner é exibido na guia Visão geral com o número de otimizações concluídas automaticamente desde sua última visita.
Marcar como em andamento / Marcar como ativo	Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela. Use esses dois status de forma flexível, mas consistente, conforme necessário para sua organização.
Dispensar	Dispense uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista.
Enviar comentários	Convidamo-lo a partilhar a sua opinião sobre as ações recomendadas com a equipa da Microsoft! Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.

Ver otimizações concluídas e descartadas

Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização foi concluída automaticamente, ela será listada nas guias Concluída e Descartada, respectivamente.

A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:

• Reative a otimização, enviando-a de volta para a guia Visão geral . As otimizações reativadas são recalculadas para fornecer o valor e a ação mais atualizados. Recalcular esses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.

  As otimizações reativadas também podem ser movidas diretamente para a guia Concluído se, depois de recalcular os detalhes, elas não forem mais relevantes.

• Forneça mais comentários à equipe da Microsoft. Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.

Use otimizações via API

O Recommendations grupo de operações fornece acesso a otimizações SOC por meio da API REST do Azure. Por exemplo, use a API para obter detalhes sobre uma recomendação específica ou todas as recomendações atuais em seus espaços de trabalho, ou para reavaliar uma recomendação se você tiver feito alterações.

A documentação da API de otimização SOC está disponível apenas na especificação Swagger e não na referência da API REST. Para obter mais informações, consulte Versões de API das APIs REST do Microsoft Sentinel.

Fluxo de uso de otimização de SOC

Esta seção fornece um fluxo de exemplo para usar otimizações SOC, do Defender ou do portal do Azure:

1. Na página de otimização SOC, comece entendendo o painel:

   • Observe as principais métricas para o status geral de otimização.
   • Analise as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.

2. Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para deteções. Selecione Ver detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:

   • Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar essa opção, selecione Ir para o Hub de Conteúdo para exibir e configurar modelos de regras analíticas prontos para uso específicos que usam a tabela selecionada. No hub de conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente para a regra relevante.

     Se novas regras analíticas exigirem fontes de log adicionais, considere ingeri-las para melhorar a cobertura de ameaças.

     Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detetar ameaças prontas para uso.

   • Altere seu nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.

3. Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:

   1. Selecione Ver detalhes completos para ver a cobertura atual e as melhorias sugeridas.

   2. Selecione Ver todas as melhorias da técnica MITRE ATT&CK para detalhar e analisar as táticas e técnicas relevantes, ajudando-o a entender a lacuna de cobertura.

   3. Selecione Ir para o hub de conteúdo para visualizar todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.

4. Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou deixe o sistema atualizar automaticamente.

Conteúdos relacionados

• Referência de recomendações de otimização SOC