Оптимизация операций безопасности

Команды центра управления безопасностью (SOC) ищут способы улучшения процессов и результатов и обеспечивают наличие данных, необходимых для устранения рисков без дополнительных затрат на прием. Команды SOC хотят убедиться, что у вас есть все необходимые данные для борьбы с рисками, не оплачивая больше данных, чем требуется. В то же время команды SOC должны также корректировать средства управления безопасностью по мере изменения угроз и бизнес-приоритетов, что делает это быстро и эффективно, чтобы максимально повысить рентабельность инвестиций.

Оптимизация SOC — это практические рекомендации, которые позволяют оптимизировать элементы управления безопасностью, получая больше пользы от служб безопасности Майкрософт с течением времени. Рекомендации помогут снизить затраты, не влияя на потребности SOC или покрытие, а также помогут добавить элементы управления безопасностью и данные, где это необходимо. Эти оптимизации адаптированы к вашей среде и основаны на текущем покрытии и ландшафте угроз.

Используйте рекомендации по оптимизации SOC, чтобы устранить пробелы в покрытии от конкретных угроз и повысить скорость приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не тратя время на ручной анализ и исследования.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Просмотрите следующее видео, чтобы просмотреть обзор и демонстрацию оптимизации SOC на портале Microsoft Defender. Если вы просто хотите демонстрацию, перейдите к минуте 8:14.

Предварительные условия

• Оптимизация SOC использует стандартные роли и разрешения Microsoft Sentinel. Дополнительные сведения см. в разделе Роли и разрешения в Microsoft Sentinel.

• Чтобы использовать оптимизацию SOC на портале Defender, Microsoft Sentinel на портал Defender. Дополнительные сведения см. в статье Подключение Microsoft Sentinel к порталу Microsoft Defender.

Доступ к странице оптимизации SOC

Используйте одну из следующих вкладок в зависимости от того, работаете ли вы на портале портал Azure или Defender. Когда ваша рабочая область подключена к порталу Defender, оптимизация SOC включает охват всех служб безопасности Майкрософт.

Портал Defender

На портале Defender выберите оптимизация SOC.

Портал Azure

В Microsoft Sentinel в портал Azure в разделе Управление угрозами выберите Оптимизация SOC.

Общие сведения о метриках оптимизации SOC

Метрики оптимизации, отображаемые в верхней части вкладки "Обзор ", позволяют получить общее представление о том, насколько эффективно вы используете данные, и со временем будут меняться по мере реализации рекомендаций.

Поддерживаемые метрики в верхней части вкладки Обзор :

Портал Defender

Название	Описание
Последнее значение оптимизации	Показывает значение, полученное на основе недавно реализованных рекомендаций
Данные, которые были в приеме	Показывает общий объем данных, которые были загружены в рабочую область за последние 90 дней.
Оптимизация покрытия на основе угроз	Показывает один из следующих индикаторов охвата, основанный на количестве правил аналитики, найденных в рабочей области, по сравнению с количеством правил, рекомендованных исследовательской группой Майкрософт: - Высокий: активируется более 75 % рекомендуемых правил. - Средний: активируется 30%-74% рекомендуемых правил. - Низкий: активируется 0–29 % рекомендуемых правил. Выберите Просмотреть все сценарии угроз , чтобы просмотреть полный список соответствующих сценариев на основе угроз и рисков, активных и рекомендуемых обнаружений и уровней охвата. Затем выберите сценарий угрозы, чтобы получить дополнительные сведения о рекомендации на отдельной странице сведений о сценарии угрозы.
Состояние оптимизации	Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены.

Портал Azure

Название	Описание
Данные приема за последние 3 месяца	Показывает общий объем данных, которые были загружены в рабочую область за последние три месяца.
Состояние оптимизаций	Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены.

Выберите Просмотреть все сценарии угроз, чтобы просмотреть полный список соответствующих сценариев на основе угроз и рисков, процент активных и рекомендуемых правил аналитики и уровни охвата.

Просмотр рекомендаций по оптимизации и управление ими

Портал Defender

На портале Defender рекомендации по оптимизации SOC перечислены в области Ваши оптимизации на вкладке Оптимизации SOC .

Портал Azure

В портал Azure рекомендации по оптимизации SOC перечислены на вкладке Обзор оптимизации > SOC.

Например, вы можете:

Рекомендации по оптимизации SOC вычисляются каждые 24 часа. Каждый карта оптимизации включает в себя состояние, название, дату создания, общее описание и рабочую область, к которому она применяется.

Оптимизация фильтров

Отфильтруйте оптимизации по типу оптимизации или выполните поиск определенного заголовка оптимизации с помощью поля поиска сбоку. Типы оптимизации:

• Охват . Включает рекомендации, которые помогут устранить пробелы в покрытии от конкретных угроз и ужесточить частоту приема данных, которые не обеспечивают безопасность. Рекомендации по охвату включают:
  • Рекомендации по добавлению элементов управления безопасностью на основе угроз, которые помогут устранить пробелы в покрытии для различных типов атак.
  • AI MITRE ATT&рекомендации CK по добавлению рекомендаций по добавлению тегов для устранения пробелов в покрытии для различных типов атак на основе платформы MITRE ATT&CK.
  • Рекомендации по добавлению элементов управления безопасностью на основе рисков, которые помогут устранить пробелы в покрытии для различных типов бизнес-рисков.
• Значение данных. Содержит рекомендации, предлагающие способы улучшения использования данных для максимального повышения ценности безопасности из полученных данных или предлагающие лучший план данных для вашей организации.

Просмотр сведений об оптимизации и принятие мер

Выберите одну из следующих вкладок в зависимости от используемого портала:

Портал Defender

1. В каждом карта оптимизации выберите Просмотреть сведения, чтобы просмотреть полное описание наблюдения, которое привело к рекомендации, и значение, которое отображается в вашей среде при реализации этой рекомендации.

2. Для оптимизации покрытия на основе угроз:

   • Переключение между диаграммами-пауками, чтобы понять охват различными тактиками и методами, основанными на определяемых пользователем и стандартных обнаружениях, активных в вашей среде.
   • Выберите Просмотр сценария угрозы в MITRE ATT&CK, чтобы перейти на страницу MITRE ATT&CK в Microsoft Sentinel с предварительной фильтрацией для сценария угрозы. Дополнительные сведения см. в разделе [Сведения о покрытии безопасности с помощью платформы MITRE ATT&CK®].

3. Прокрутите вниз до нижней части области сведений ссылку, где можно выполнить рекомендуемые действия. Например, вы можете:

• Если оптимизация включает рекомендации по добавлению правил аналитики, выберите Перейти к центру содержимого.

• Если оптимизация включает рекомендации по перемещению таблицы в базовые журналы, выберите Изменить план.

• Для оптимизации покрытия на основе угроз выберите Просмотреть полный сценарий угроз , чтобы просмотреть полный список соответствующих угроз, активных и рекомендуемых обнаружений и уровней охвата. Оттуда можно перейти непосредственно к центру содержимого , чтобы активировать рекомендуемые обнаружения, или на страницу MITRE ATT&CK , чтобы просмотреть полный охват MITRE ATT&CK для выбранного сценария. Например, вы можете:

  

Портал Azure

В каждом карта оптимизации выберите Просмотреть сведения, чтобы просмотреть полное описание наблюдения, которое привело к рекомендации, и значение, которое отображается в вашей среде при реализации этой рекомендации.

Прокрутите вниз до нижней части области сведений ссылку, где можно выполнить рекомендуемые действия. Например, вы можете:

• Если оптимизация включает рекомендации по добавлению правил аналитики, выберите Перейти к центру содержимого.
• Если оптимизация включает рекомендации по перемещению таблицы в базовые журналы, выберите Изменить план.

Если вы устанавливаете шаблон правила аналитики из Центра содержимого без установленного решения, в решении отображается только установленный шаблон.

Установите полное решение, чтобы просмотреть все доступные элементы содержимого из выбранного решения. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.

Управление оптимизацией

По умолчанию состояние оптимизации активно. Изменяйте свои состояния по мере выполнения команд путем рассмотрения и реализации рекомендаций.

Выберите меню параметров или выберите Просмотреть сведения , чтобы выполнить одно из следующих действий:

Действие	Описание
Завершение	Выполните оптимизацию по завершении каждого рекомендуемого действия. Если в вашей среде обнаружено изменение, которое делает рекомендацию неактуальной, оптимизация автоматически завершается и перемещается на вкладку Завершено . Например, у вас может быть оптимизация, связанная с ранее неиспользуемой таблицей. Если таблица теперь используется в новом правиле аналитики, рекомендация по оптимизации теперь не имеет значения. В таких случаях на вкладке Обзор отображается баннер с количеством автоматически завершенных оптимизаций с момента последнего посещения.
Пометка как выполняется / Пометка как активной	Пометьте оптимизацию как выполняющуюся или активную, чтобы уведомить других участников команды о том, что вы активно над ней работаете. Используйте эти два состояния гибко, но согласованно по мере необходимости для вашей организации.
Dismiss	Отклоните оптимизацию, если вы не планируете выполнять рекомендуемое действие и больше не хотите видеть его в списке.
Отправьте отзыв	Мы приглашаем вас поделиться своими мыслями о рекомендуемых действиях с командой Майкрософт! Делясь своими отзывами, не делитесь конфиденциальными данными. Дополнительные сведения см. в заявлении о конфиденциальности Майкрософт.

Просмотр завершенных и отклоненных оптимизаций

Если вы помечаете определенную оптимизацию как Завершенная или Отклоненная или если оптимизация завершается автоматически, она отображается на вкладках Завершено и Отклонено соответственно.

Здесь выберите меню параметров или выберите Просмотреть полные сведения , чтобы выполнить одно из следующих действий:

• Повторно активируйте оптимизацию, отправив ее обратно на вкладку Обзор . Повторно активированные оптимизации пересчитываются для предоставления наиболее обновленных значений и действий. Пересчет этих сведений может занять до часа, поэтому подождите, прежде чем снова проверить сведения и рекомендуемые действия.

  Повторно активированные оптимизации также могут перейти непосредственно на вкладку Завершено , если после пересчета сведений они больше не актуальны.

• Предоставьте дополнительные отзывы команде Майкрософт. Делясь своими отзывами, не делитесь конфиденциальными данными. Дополнительные сведения см. в заявлении о конфиденциальности Майкрософт.

Поток использования оптимизации SOC

В этом разделе представлен пример потока для использования оптимизации SOC из Defender или портал Azure:

1. На странице оптимизации SOC начните с сведений о панели мониторинга:

   • Просмотрите основные метрики для общего состояния оптимизации.
   • Ознакомьтесь с рекомендациями по оптимизации для значения данных и покрытия на основе угроз.

2. Используйте рекомендации по оптимизации, чтобы определить таблицы с низким уровнем использования, указывая, что они не используются для обнаружения. Выберите Просмотреть полные сведения , чтобы просмотреть размер и стоимость неиспользуемых данных. Рассмотрим одно из следующих действий.

   • Добавьте правила аналитики, чтобы использовать таблицу для расширенной защиты. Чтобы использовать этот параметр, выберите Перейти к центру содержимого , чтобы просмотреть и настроить определенные готовые шаблоны правил аналитики, использующие выбранную таблицу. В центре содержимого не нужно искать соответствующее правило, так как вы перейдете непосредственно к соответствующему правилу.

     Если для новых правил аналитики требуются дополнительные источники журналов, рассмотрите возможность их приема, чтобы улучшить охват угроз.

     Дополнительные сведения см. в разделах Обнаружение и управление Microsoft Sentinel готовом содержимом и Обнаружение угроз в готовом режиме.

   • Измените уровень обязательств для экономии затрат. Дополнительные сведения см. в статье Снижение затрат на Microsoft Sentinel.

3. Используйте рекомендации по оптимизации, чтобы улучшить охват конкретными угрозами. Например, для оптимизации программ-шантажистов, управляемых человеком:

   1. Выберите Просмотреть полные сведения, чтобы просмотреть текущее покрытие и предлагаемые улучшения.

   2. Выберите Просмотреть все mitre ATT&улучшения техники CK , чтобы детализировать и проанализировать соответствующие тактики и методы, чтобы понять разрыв в покрытии.

   3. Выберите Перейти к центру содержимого , чтобы просмотреть все рекомендуемое содержимое системы безопасности, отфильтрованное специально для этой оптимизации.

4. После настройки новых правил или внесения изменений пометьте рекомендацию как выполненную или дайте системе автоматическое обновление.

Связанные материалы

• Справочник по оптимизации SOC по рекомендациям
• Использование оптимизаций SOC программными средствами
• Блог: Оптимизация SOC: разблокировка возможностей точного управления безопасностью