Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
As equipes do centro de operações de segurança (SOC) procuram maneiras de melhorar os processos e os resultados e garantir que você tenha os dados necessários para lidar com os riscos sem custos extras de ingestão. As equipes de SOC querem ter certeza de que você tem todos os dados necessários para agir contra riscos, sem pagar por mais dados do que o necessário. Ao mesmo tempo, as equipes SOC também devem ajustar os controles de segurança à medida que as ameaças e as prioridades de negócios mudam, fazendo isso de forma rápida e eficiente para maximizar o retorno do investimento.
As otimizações SOC são recomendações acionáveis que revelam maneiras de otimizar seus controles de segurança, ganhando mais valor dos serviços de segurança da Microsoft com o passar do tempo. As recomendações ajudam a reduzir custos sem afetar as necessidades ou a cobertura do SOC e podem ajudá-lo a adicionar controles de segurança e dados onde necessário. Essas otimizações são adaptadas ao seu ambiente e baseadas em sua cobertura atual e cenário de ameaças.
Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.
Importante
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, o Microsoft Sentinel terá suporte apenas no portal do Defender e todos os clientes restantes que usarem o portal do Azure serão redirecionados automaticamente.
Recomendamos que todos os clientes que usam o Microsoft Sentinel no Azure comecem a planejar a transição para o portal do Defender para obter a experiência completa de operações de segurança unificadas oferecida pelo Microsoft Defender. Para obter mais informações, consulte Planejando sua mudança para o portal do Microsoft Defender para todos os clientes do Microsoft Sentinel.
Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização SOC no portal do Microsoft Defender. Se você quiser apenas uma demonstração, pule para o minuto 8:14.
Pré-requisitos
A otimização SOC usa funções e permissões padrão do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Para usar a otimização SOC no portal do Defender, integre o Microsoft Sentinel ao portal do Defender. Para obter mais informações, consulte Conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Acesse a página de otimização SOC
Use uma das guias a seguir, dependendo se você está trabalhando no portal do Azure ou no portal do Defender. Quando seu espaço de trabalho é integrado ao portal do Defender, as otimizações SOC incluem cobertura de todos os serviços de segurança da Microsoft.
No portal do Defender, selecione Otimização SOC.
Compreender as métricas de visão geral da otimização SOC
As métricas de otimização mostradas na parte superior da guia Visão geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e mudarão ao longo do tempo à medida que você implementa recomendações.
As métricas suportadas na parte superior da guia Visão geral incluem:
| Título | Descrição |
|---|---|
| Valor de otimização recente | Mostra o valor ganho com base nas recomendações implementadas recentemente |
| Dados ingeridos | Mostra o total de dados ingeridos em seu espaço de trabalho nos últimos 90 dias. |
| Otimizações de cobertura baseadas em ameaças | Mostra um dos seguintes indicadores de cobertura, com base no número de regras de análise encontradas em seu espaço de trabalho, em comparação com o número de regras recomendadas pela equipe de pesquisa da Microsoft: - Alta: Mais de 75% das regras recomendadas são ativadas - Médio: 30%-74% das regras recomendadas são ativadas - Baixo: 0% a 29% das regras recomendadas são ativadas. Selecione Exibir todos os cenários de ameaça para exibir a lista completa de cenários relevantes baseados em ameaças e riscos, deteções ativas e recomendadas e níveis de cobertura. Em seguida, selecione um cenário de ameaça para detalhar para obter mais detalhes sobre a recomendação em uma página separada de detalhes do cenário de ameaça. |
| Estado de otimização | Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento. |
Visualizar e gerenciar recomendações de otimização
No portal do Defender, as recomendações de otimização de SOC estão listadas na área Suas otimizações na guia Otimizações de SOC.
As recomendações de otimização SOC são calculadas a cada 24 horas. Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o espaço de trabalho ao qual se aplica.
Otimizações de filtro
Filtre as otimizações com base no tipo de otimização ou procure um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:
-
Cobertura : Inclui recomendações para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e reduzir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As recomendações de cobertura incluem:
- Recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.
- Recomendações AI MITRE ATT&CK para adicionar recomendações de marcação para ajudar a fechar lacunas de cobertura para vários tipos de ataques, com base na estrutura MITRE ATT&CK.
- Recomendações baseadas em risco para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de riscos de negócios.
- Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso de dados para maximizar o valor de segurança dos dados ingeridos ou sugerem um plano de dados melhor para sua organização.
Veja os detalhes da otimização e tome medidas
Selecione uma das seguintes guias, dependendo do portal que você está usando:
Em cada cartão de otimização, selecione Exibir detalhes para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.
Para otimizações de cobertura baseadas em ameaças:
- Alterne entre os gráficos spider para entender sua cobertura em diferentes táticas e técnicas, com base nas deteções definidas pelo usuário e prontas para uso ativas em seu ambiente.
- Selecione Exibir cenário de ameaça em MITRE ATT&CK para ir para a página MITRE ATT&CK no Microsoft Sentinel, pré-filtrada para seu cenário de ameaça. Para obter mais informações, consulte [Compreender a cobertura de segurança pela estrutura MITRE ATT&CK®].
Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:
Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de conteúdo.
Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.
Para otimizações de cobertura baseadas em ameaças, selecione Exibir cenário completo de ameaças para ver a lista completa de ameaças relevantes, deteções ativas e recomendadas e níveis de cobertura. De lá, você pode ir diretamente para o hub de conteúdo para ativar as deteções recomendadas ou para a página MITRE ATT&CK para visualizar a cobertura completa do MITRE ATT&CK para o cenário selecionado. Por exemplo:
Se você instalar um modelo de regra de análise do hub de conteúdo sem a solução instalada, somente o modelo instalado aparecerá na solução.
Instale a solução completa para ver todos os itens de conteúdo disponíveis da solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.
Gerenciar otimizações
Por padrão, os status de otimização são Ativo. Altere seus status à medida que suas equipes progridem na triagem e na implementação de recomendações.
Selecione o menu de opções ou selecione Exibir detalhes para executar uma das seguintes ações:
| Ação | Descrição |
|---|---|
| Concluída | Conclua uma otimização quando concluir cada ação recomendada. Se for detetada uma alteração no seu ambiente que torne a recomendação irrelevante, a otimização será automaticamente concluída e movida para a guia Concluído . Por exemplo, você pode ter uma otimização relacionada a uma tabela não utilizada anteriormente. Se sua tabela agora é usada em uma nova regra de análise, a recomendação de otimização agora é irrelevante. Nesses casos, um banner é exibido na guia Visão geral com o número de otimizações concluídas automaticamente desde sua última visita. |
| Marcar como em andamento / Marcar como ativo | Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela. Use esses dois status de forma flexível, mas consistente, conforme necessário para sua organização. |
| Dispensar | Dispense uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista. |
| Enviar comentários | Convidamo-lo a partilhar a sua opinião sobre as ações recomendadas com a equipa da Microsoft! Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft. |
Ver otimizações concluídas e descartadas
Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização for concluída automaticamente, ela será listada nas guias Concluída e Descartada, respectivamente.
A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:
Reative a otimização, enviando-a de volta para a guia Visão geral . As otimizações reativadas são recalculadas para fornecer o valor e a ação mais atualizados. Recalcular esses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.
As otimizações reativadas também podem ser movidas diretamente para a guia Concluído se, depois de recalcular os detalhes, elas não forem mais relevantes.
Forneça mais comentários à equipe da Microsoft. Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.
Fluxo de uso de otimização de SOC
Esta seção fornece um fluxo de exemplo para usar otimizações SOC, do Defender ou do portal do Azure:
Na página de otimização SOC, comece entendendo o painel:
- Observe as principais métricas para o status geral de otimização.
- Analise as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.
Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para deteções. Selecione Ver detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:
Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar essa opção, selecione Ir para o Hub de Conteúdo para exibir e configurar modelos de regras analíticas prontos para uso específicos que usam a tabela selecionada. No hub de conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente para a regra relevante.
Se novas regras analíticas exigirem fontes de log extras, considere ingeri-las para melhorar a cobertura de ameaças.
Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detetar ameaças prontas para uso.
Altere seu nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.
Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:
Selecione Ver detalhes completos para ver a cobertura atual e as melhorias sugeridas.
Selecione Ver todas as melhorias da técnica MITRE ATT&CK para detalhar e analisar as táticas e técnicas relevantes, ajudando-o a entender a lacuna de cobertura.
Selecione Ir para o hub de conteúdo para visualizar todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.
Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou deixe o sistema atualizar automaticamente.