Оптимизация операций безопасности

• Применяется к:

  Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Команды центра безопасности (SOC) активно ищут возможности для оптимизации процессов и результатов. Вы хотите убедиться, что у вас есть все данные, необходимые для принятия мер в отношении рисков в вашей среде, а также обеспечение того, чтобы вы не платили за прием больше данных, чем вам нужно. В то же время ваши команды должны регулярно настраивать средства управления безопасностью, как ландшафты угроз и бизнес-приоритеты изменяются, корректируя быстро и эффективно, чтобы обеспечить высокую отдачу от инвестиций.

Оптимизация SOC предоставляет возможности оптимизации элементов управления системой безопасности и тем самым более эффективного использования служб безопасности Майкрософт с течением времени.

Оптимизация SOC — это высокоуровневые, практические рекомендации, которые помогут вам выявить области, в которых можно сократить затраты без ущерба для потребностей или сферы охвата SOC, либо добавить недостающие элементы управления системой безопасности и данные безопасности. Оптимизация SOC адаптирована к вашей среде и основана на текущем охвате и ландшафте угроз.

Используйте рекомендации по оптимизации SOC, чтобы помочь вам закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не вынуждая группы по SOC тратить время на выполнение анализа и исследований в ручном режиме.

Внимание

Microsoft Sentinel доступен в составе единой платформы операций безопасности на портале Microsoft Defender. Microsoft Sentinel на портале Defender теперь поддерживается для использования в рабочей среде. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.

Просмотрите следующее видео, чтобы просмотреть обзор и демонстрацию оптимизации SOC на портале Defender. Если вы просто хотите демонстрацию, перейдите к минуте 8:14.

Необходимые компоненты

• Оптимизация SOC использует стандартные роли и разрешения Microsoft Sentinel. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.

• Чтобы использовать оптимизацию SOC на портале Microsoft Defender, необходимо интегрировать Microsoft Sentinel с Microsoft Defender XDR. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel к XDR в Microsoft Defender".

Доступ к странице оптимизации SOC

Используйте одну из следующих вкладок в зависимости от того, работаете ли вы в единой платформе операций SOC или в портал Azure:

Портал Azure

В Microsoft Sentinel в портал Azure в разделе "Управление угрозами" выберите оптимизацию SOC.

Портал Defender

На единой платформе операций SOC на портале Microsoft Defender выберите оптимизацию SOC.

Общие сведения о метриках оптимизации SOC

Метрики оптимизации, отображаемые в верхней части вкладки "Обзор ", дают вам общее представление о том, насколько эффективно вы используете данные, и изменится с течением времени при реализации рекомендаций.

Поддерживаемые метрики в верхней части вкладки "Обзор " включают:

Портал Azure

Заголовок	Description
Прием данных за последние 3 месяца	Отображает общий объем данных, которые будут приемированы в рабочей области за последние три месяца.
Состояние оптимизации	Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены.

Выберите "Просмотреть все сценарии угроз" , чтобы просмотреть полный список соответствующих угроз, активных и рекомендуемых обнаружений и уровней покрытия.

Портал Defender

Заголовок	Description
Последнее значение оптимизации	Показывает значение, полученное на основе рекомендаций, которые вы недавно реализовали
Прием данных	Отображает общий объем данных, передаваемых в рабочую область за последние 90 дней.
Оптимизация покрытия на основе угроз	Показывает уровни покрытия для соответствующих угроз. Уровни покрытия основаны на количестве правил аналитики, найденных в рабочей области, по сравнению с количеством правил, рекомендуемых исследовательской группой Майкрософт. Поддерживаемые уровни покрытия включают: - Лучше всего: найдены 90% до 100% рекомендуемых правил. - Лучше: были созданы 60% до 89% рекомендуемых правил. - Хорошо: были созданы 40% до 59% рекомендуемых правил - Умеренный: были созданы 20% до 39% рекомендуемых правил - Нет: 0% до 19% рекомендуемых правил были созданы Выберите "Просмотреть все сценарии угроз" , чтобы просмотреть полный список соответствующих угроз, активные и рекомендуемые обнаружения и уровни покрытия.
Состояние оптимизации	Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены.

Просмотр рекомендаций по оптимизации и управление ими

Портал Azure

В портал Azure рекомендации по оптимизации SOC перечислены на вкладке "Обзор оптимизации > SOC".

Например:

Портал Defender

На портале Defender рекомендации по оптимизации SOC перечислены в области "Оптимизация " на вкладке "Оптимизация SOC".

Каждая карточка оптимизации включает состояние, название, дату его создания, высокоуровневое описание и рабочую область, к ней относится.

Примечание.

Рекомендации по оптимизации SOC вычисляются каждые 24 часа.

Оптимизация фильтров

Отфильтруйте оптимизацию на основе типа оптимизации или выполните поиск определенного заголовка оптимизации с помощью поля поиска на стороне. Типы оптимизации включают:

• Охват: включает рекомендации по добавлению средств управления безопасностью для закрытия пробелов в охвате для различных типов атак.

• Значение данных. Включает рекомендации, которые предлагают способы улучшения использования данных для максимизации ценности безопасности от приема данных или предложения лучшего плана данных для вашей организации.

Просмотр сведений о оптимизации и принятие действий

На каждой карточке оптимизации выберите "Просмотреть полные сведения" , чтобы увидеть полное описание наблюдения, которое привело к рекомендации, и значение, которое отображается в вашей среде при реализации этой рекомендации.

Прокрутите вниз до нижней части области сведений ссылку, в которой можно выполнить рекомендуемые действия. Например:

• Если оптимизация содержит рекомендации по добавлению правил аналитики, выберите "Перейти в Центр содержимого".
• Если оптимизация содержит рекомендации по перемещению таблицы в базовые журналы, выберите "Изменить план".

Если вы решили установить шаблон правила аналитики из Центра содержимого, и вы еще не установили решение, только шаблон правила аналитики, который вы устанавливаете, отображается в решении после завершения. Установите полное решение, чтобы просмотреть все доступные элементы содержимого из выбранного решения. Дополнительные сведения см. в статье "Обнаружение и управление содержимым Microsoft Sentinel вне поля".

Управление оптимизацией

По умолчанию состояния оптимизации являются активными. Измените их состояние по мере выполнения команд с помощью трех и реализации рекомендаций.

Выберите меню параметров или выберите "Просмотреть полные сведения" , чтобы выполнить одно из следующих действий:

Действие	Description
Завершен	Выполните оптимизацию после завершения каждого рекомендуемого действия. Если в вашей среде обнаружено изменение, которое делает рекомендацию неуместным, оптимизация будет автоматически завершена и перемещена на вкладку "Завершено ". Например, у вас может быть оптимизация, связанная с ранее неиспользуемой таблицей. Если таблица теперь используется в новом правиле аналитики, рекомендация по оптимизации теперь не имеет значения. В таких случаях баннер отображается на вкладке "Обзор " с количеством автоматически завершенных оптимизаций с момента последнего визита.
Пометить как выполняющиеся / отметки как активные	Пометьте оптимизацию как выполняющуюся или активную, чтобы уведомить других участников команды о том, что вы активно работаете над ней. Используйте эти два состояния гибко, но последовательно, по мере необходимости для вашей организации.
Закрыть	Отклоните оптимизацию, если вы не планируете принять рекомендуемое действие и больше не хотите видеть его в списке.
Отправить отзыв	Мы предлагаем вам поделиться своими мыслями о рекомендуемых действиях с командой Майкрософт! При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в разделе Заявление о конфиденциальности корпорации Майкрософт.

Просмотр завершенных и отклоненных оптимизаций

Если вы помечаете определенную оптимизацию как завершенную или уволенную или если оптимизация была автоматически завершена, она отображается на вкладках "Завершено" и "Отклонено" соответственно.

В этом разделе выберите меню параметров или выберите "Просмотреть полные сведения ", чтобы выполнить одно из следующих действий:

• Повторно активируйте оптимизацию, отправив ее обратно на вкладку "Обзор ". Повторно активируемые оптимизации пересчитываются для предоставления наиболее обновленного значения и действия. Пересчет этих сведений может занять до часа, поэтому дождитесь проверки сведений и рекомендуемых действий еще раз.

  При повторной активации оптимизации можно также перейти непосредственно на вкладку "Завершено ", если после пересчета сведений они больше не относятся.

• Укажите дополнительные отзывы в команде Майкрософт. При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в разделе Заявление о конфиденциальности корпорации Майкрософт.

Поток использования оптимизации SOC

В этом разделе представлен пример потока для использования оптимизаций SOC из Defender или портал Azure:

1. На странице оптимизации SOC начните с понимания панели мониторинга:

   • Просмотрите основные метрики для общего состояния оптимизации.
   • Ознакомьтесь с рекомендациями по оптимизации для значения данных и охвата на основе угроз.

2. Используйте рекомендации по оптимизации для идентификации таблиц с низким уровнем использования, указывая, что они не используются для обнаружения. Выберите "Просмотреть полные сведения" , чтобы просмотреть размер и стоимость неиспользуемых данных. Рассмотрим одно из следующих действий:

   • Добавьте правила аналитики для использования таблицы для расширенной защиты. Чтобы использовать этот параметр, выберите "Перейти в Центр контента", чтобы просмотреть и настроить определенные шаблоны правил аналитики вне поля, использующие выбранную таблицу. В центре контента вам не нужно искать соответствующее правило, так как вы непосредственно перейдете к соответствующему правилу.

     Если для новых правил аналитики требуются дополнительные источники журналов, рассмотрите возможность приема их для улучшения охвата угроз.

     Дополнительные сведения см. в статье "Обнаружение и управление содержимое Microsoft Sentinel вне поля" и "Обнаружение угроз" вне поля.

   • Измените уровень обязательств для экономии затрат. Дополнительные сведения см. в разделе "Сокращение затрат на Microsoft Sentinel".

3. Используйте рекомендации по оптимизации для повышения охвата конкретных угроз. Например, для оптимизации программ-шантажистов, управляемых человеком:

   1. Выберите "Просмотреть полные сведения" , чтобы просмотреть текущее покрытие и предлагаемые улучшения.

   2. Выберите "Просмотреть все улучшения метода MITRE ATT&CK", чтобы детализировать и проанализировать соответствующие тактики и методы, помогая вам понять разрыв покрытия.

   3. Выберите "Перейти к центру контента", чтобы просмотреть все рекомендуемое содержимое безопасности, отфильтрованное специально для этой оптимизации.

4. После настройки новых правил или внесения изменений пометьте рекомендацию как завершенную или допустите автоматическое обновление системы.

Связанный контент

• Справочник по оптимизации SOC рекомендаций
• Использование оптимизаций SOC программным способом
• Блог: оптимизация SOC: разблокировка возможностей управления безопасностью на основе точности