Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте рекомендации по оптимизации SOC, чтобы устранить пробелы в покрытии от конкретных угроз и повысить скорость приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не тратя время на ручной анализ и исследования.
Microsoft Sentinel оптимизации SOC включают следующие типы рекомендаций:
Рекомендации по значению данных предлагают способы улучшения использования данных, например лучший план данных для вашей организации.
В рекомендациях на основе охвата рекомендуется добавить элементы управления, чтобы предотвратить пробелы в покрытии, которые могут привести к уязвимости к атакам или сценариям, которые могут привести к финансовым потерям. Рекомендации по охвату включают:
- Рекомендации на основе угроз. Рекомендуется добавить элементы управления безопасностью, которые помогают обнаруживать пробелы в покрытии для предотвращения атак и уязвимостей.
- Ai MITRE ATT&рекомендации по маркировке CK (предварительная версия): использует искусственный интеллект, чтобы предложить обнаружение тегов безопасности с помощью тактики и методов MITRE ATT&CK.
- Рекомендации на основе рисков (предварительная версия): рекомендует реализовать средства управления для устранения пробелов в покрытии, связанных с вариантами использования, которые могут привести к бизнес-рискам или финансовым потерям, включая операционные, финансовые, репутационные, нормативные и юридические риски.
В рекомендациях аналогичных организаций рекомендуется принимать данные из типов источников, используемых организациями, которые имеют тенденции приема и отраслевые профили, аналогичные вашим.
В этой статье приводятся подробные сведения о типах доступных рекомендаций по оптимизации SOC.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Рекомендации по оптимизации значений данных
Чтобы оптимизировать соотношение стоимости и безопасности, оптимизация SOC практически не использует соединители данных или таблицы. Оптимизация SOC предлагает способы снижения затрат на таблицу или повышения ее стоимости в зависимости от охвата. Этот тип оптимизации также называется оптимизацией значений данных.
Оптимизация значений данных просматривает только оплачиваемые таблицы, в которые были приняты данные за последние 30 дней.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC для значения данных:
| Тип наблюдения | Действие |
|---|---|
| Таблица не использовалась правилами аналитики или обнаружениями в течение последних 30 дней, но использовалась другими источниками, такими как книги, запросы журналов, запросы охоты. | Включение шаблонов правил аналитики ИЛИ Переместите таблицу в базовый план журналов, если таблица подходит. |
| Таблица не использовалась вообще в течение последних 30 дней. | Включение шаблонов правил аналитики ИЛИ Остановите прием данных и удалите таблицу или переместите таблицу на долгосрочное хранение. |
| Таблица использовалась только монитором Azure. | Включение всех соответствующих шаблонов правил аналитики для таблиц со значением безопасности ИЛИ Перейдите в рабочую область Log Analytics без безопасности. |
Если выбрана таблица для UEBA или правила аналитики, соответствующего аналитике угроз, оптимизация SOC не рекомендует никаких изменений при приеме.
Неиспользуемые столбцы (предварительная версия)
Оптимизация SOC также содержит неиспользуемые столбцы в таблицах. В следующей таблице перечислены доступные типы столбцов, доступные для рекомендаций по оптимизации SOC:
| Тип наблюдения | Действие |
|---|---|
| Столбец ConditionalAccessPolicies в таблице SignInLogs или таблице AADNonInteractiveUserSignInLogs не используется. | Остановите прием данных для столбца. |
Важно!
При внесении изменений в планы приема рекомендуется всегда следить за тем, чтобы ограничения планов приема были ясны и что затронутые таблицы не будут приниматься для соответствия требованиям или по другим аналогичным причинам.
Рекомендации по оптимизации на основе покрытия
Рекомендации по оптимизации на основе покрытия помогают устранить пробелы в покрытии от конкретных угроз или сценариев, которые могут привести к бизнес-рискам и финансовым потерям.
Рекомендации по оптимизации на основе угроз
Чтобы оптимизировать значение данных, оптимизация SOC рекомендует добавлять элементы управления безопасностью в среду в виде дополнительных источников обнаружения и источников данных, используя подход на основе угроз. Этот тип оптимизации также называется оптимизацией покрытия и основан на исследованиях майкрософт по безопасности.
Оптимизация SOC предоставляет рекомендации на основе угроз, анализируя принятые журналы и включенные правила аналитики, а затем сравнивая их с журналами и обнаружениями, необходимыми для устранения определенных типов атак.
Оптимизация на основе угроз учитывает как предопределенные, так и определяемые пользователем обнаружения.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC на основе угроз.
| Тип наблюдения | Действие |
|---|---|
| Есть источники данных, но обнаружения отсутствуют. | Включите шаблоны правил аналитики на основе угрозы. Создайте правило с помощью шаблона правила аналитики и измените имя, описание и логику запросов в соответствии с вашей средой. Дополнительные сведения см. в разделе Обнаружение угроз в Microsoft Sentinel. |
| Шаблоны включены, но источники данных отсутствуют. | Подключение новых источников данных. |
| Обнаружения или источники данных отсутствуют. | Подключите обнаружения и источники данных или установите решение. |
Рекомендации по маркировке CK&AI MITRE ATT (предварительная версия)
Функция добавления тегов ai MITRE ATT&CK использует искусственный интеллект для автоматического добавления тегов для обнаружения безопасности. Модель ИИ выполняется в рабочей области клиента для создания рекомендаций по добавлению тегов для обнаружения без тегов с помощью соответствующей тактики и методов MITRE ATT&CK.
Клиенты могут применить эти рекомендации, чтобы обеспечить тщательное и точное покрытие безопасности. Это обеспечивает полное и точное покрытие безопасности, расширяя возможности обнаружения угроз и реагирования на нее.
Ниже приведены три способа применения рекомендаций ai MITRE ATT&CK.
- Примените рекомендацию к определенному правилу аналитики.
- Примените рекомендацию ко всем правилам аналитики в рабочей области.
- Не применяйте рекомендацию к правилам аналитики.
Рекомендации по оптимизации на основе рисков (предварительная версия)
Оптимизация на основе рисков учитывает реальные сценарии безопасности с набором связанных с ним бизнес-рисков, включая операционные, финансовые, репутационные, соответствия требованиям и юридические риски. Рекомендации основаны на Microsoft Sentinel подходе к безопасности на основе рисков.
Для предоставления рекомендаций на основе рисков оптимизация SOC проверяет ваши журналы приема и правила аналитики и сравнивает их с журналами и обнаружениями, необходимыми для защиты, обнаружения и реагирования на определенные типы атак, которые могут привести к бизнес-рискам. При оптимизации рекомендаций на основе рисков учитываются предопределенные и определяемые пользователем обнаружения.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC на основе рисков.
| Тип наблюдения | Действие |
|---|---|
| Есть источники данных, но обнаружения отсутствуют. | Включите шаблоны правил аналитики на основе бизнес-рисков. Создайте правило с помощью шаблона правила аналитики и измените имя, описание и логику запросов в соответствии с вашей средой. |
| Шаблоны включены, но источники данных отсутствуют. | Подключение новых источников данных. |
| Обнаружения или источники данных отсутствуют. | Подключите обнаружения и источники данных или установите решение. |
Рекомендации аналогичных организаций
Оптимизация SOC использует расширенное машинное обучение для выявления таблиц, которые отсутствуют в рабочей области, но используются организациями с аналогичными тенденциями приема и отраслевыми профилями. В ней показано, как другие организации используют эти таблицы, и рекомендуется использовать соответствующие источники данных, а также соответствующие правила для повышения уровня безопасности.
| Тип наблюдения | Действие |
|---|---|
| Отсутствуют источники журналов, принятые аналогичными клиентами | Подключите предлагаемые источники данных. Эта рекомендация не включает в себя:
|
Рекомендации
Рабочая область получает аналогичные рекомендации организации только в том случае, если модель машинного обучения обнаруживает значительные сходства с другими организациями и обнаруживает таблицы, которые у них есть, но у вас нет. SoC на ранних стадиях или стадиях адаптации с большей вероятностью получат эти рекомендации, чем SOC с более высоким уровнем зрелости. Не все рабочие области получают одинаковые рекомендации организаций.
Модели машинного обучения никогда не получают доступ к содержимому журналов клиентов и не анализируют их в любой момент. Данные клиента, содержимое или персональные данные (EUII) не предоставляются для анализа. Рекомендации основаны на моделях машинного обучения, которые используют исключительно организационную идентифицируемую информацию (OII) и системные метаданные.
Связанные материалы
- Программное использование оптимизации SOC (предварительная версия)
- Блог: Оптимизация SOC: разблокировка возможностей точного управления безопасностью