Referência de recomendações de otimização SOC
Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.
As otimizações SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
As otimizações baseadas em ameaças recomendam a adição de controles de segurança que ajudam a fechar lacunas de cobertura.
As otimizações de valor de dados recomendam maneiras de melhorar o uso de dados, como um melhor plano de dados para sua organização.
Este artigo fornece uma referência das recomendações de otimização de SOC disponíveis.
Importante
O Microsoft Sentinel está disponível como parte da plataforma unificada de operações de segurança no portal Microsoft Defender. O Microsoft Sentinel no portal do Defender agora é suportado para uso em produção. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Otimizações de valor de dados
Para otimizar sua relação custo/valor de segurança, a otimização SOC apresenta conectores de dados ou tabelas pouco usados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados examinam apenas tabelas faturáveis que ingeriram dados nos últimos 30 dias.
A tabela a seguir lista o valor de dados disponível recomendações de otimização SOC:
Observação | Ação |
---|---|
A tabela não foi usada por regras analíticas ou deteções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de caça. | Ativar modelos de regras de análise OU Mover para logs básicos se a tabela for qualificada |
A tabela não foi usada nos últimos 30 dias | Ativar modelos de regras de análise OU Parar a ingestão de dados ou arquivar a tabela |
A tabela foi usada apenas pelo Azure Monitor | Ative todos os modelos de regras de análise relevantes para tabelas com valor de segurança OU Mover para um espaço de trabalho do Log Analytics que não seja de segurança |
Se uma tabela for escolhida para UEBA ou uma regra de análise de correspondência de inteligência de ameaça, a otimização SOC não recomenda nenhuma alteração na ingestão.
Importante
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites dos seus planos de ingestão sejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Otimização baseada em ameaças
Para otimizar o valor dos dados, a otimização SOC recomenda adicionar controles de segurança ao seu ambiente na forma de deteções e fontes de dados extras, usando uma abordagem baseada em ameaças.
Para fornecer recomendações baseadas em ameaças, a otimização SOC analisa seus logs ingeridos e regras de análise habilitadas e as compara com os logs e deteções necessários para proteger, detetar e responder a tipos específicos de ataques. Esse tipo de otimização também é conhecido como otimização de cobertura e é baseado na pesquisa de segurança da Microsoft.
A tabela a seguir lista as recomendações de otimização de SOC baseadas em ameaças disponíveis:
Observação | Ação |
---|---|
Existem fontes de dados, mas faltam deteções. | Ative modelos de regras de análise com base na ameaça. |
Os modelos estão ativados, mas faltam fontes de dados. | Conecte novas fontes de dados. |
Não existem deteções ou fontes de dados existentes. | Conecte deteções e fontes de dados ou instale uma solução. |
Próximo passo
Comentários
https://aka.ms/ContentUserFeedback.
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja:Submeter e ver comentários