REFERENS för SOC-optimering av rekommendationer
Använd rekommendationer för SOC-optimering för att hjälpa dig att minska täckningsluckorna mot specifika hot och skärpa dina inmatningshastigheter mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel-arbetsyta, utan att SOC-teamen lägger tid på manuell analys och forskning.
Microsoft Sentinel SOC-optimeringar innehåller följande typer av rekommendationer:
Hotbaserade optimeringar rekommenderar att du lägger till säkerhetskontroller som hjälper dig att stänga täckningsluckor.
Datavärdesoptimeringar rekommenderar sätt att förbättra dataanvändningen, till exempel en bättre dataplan för din organisation.
Den här artikeln innehåller en referens till tillgängliga rekommendationer för SOC-optimering.
Viktigt!
Microsoft Sentinel är tillgängligt som en del av den enhetliga säkerhetsåtgärdsplattformen i Microsoft Defender-portalen. Microsoft Sentinel i Defender-portalen stöds nu för produktionsanvändning. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
Datavärdesoptimeringar
För att optimera förhållandet mellan kostnads- och säkerhetsvärde kommer SOC-optimeringen knappt att använda dataanslutningar eller tabeller, och föreslår sätt att antingen minska kostnaden för en tabell eller förbättra dess värde, beroende på din täckning. Den här typen av optimering kallas även för datavärdesoptimering.
Datavärdeoptimeringar tittar bara på fakturerbara tabeller som har matat in data under de senaste 30 dagarna.
I följande tabell visas de tillgängliga rekommendationer för SOC-optimering av datavärdet:
| Observation | Åtgärd |
|---|---|
| Tabellen användes inte av analysregler eller identifieringar under de senaste 30 dagarna, men användes av andra källor, till exempel arbetsböcker, loggfrågor, jaktfrågor. | Aktivera mallar för analysregler ELLER Flytta till grundläggande loggar om tabellen är berättigad |
| Tabellen användes inte alls under de senaste 30 dagarna | Aktivera mallar för analysregler ELLER Stoppa datainmatning eller arkivera tabellen |
| Tabellen användes endast av Azure Monitor | Aktivera relevanta analysregelmallar för tabeller med säkerhetsvärde ELLER Flytta till en Log Analytics-arbetsyta utan säkerhet |
Om en tabell väljs för UEBA eller en matchande analysregel för hotinformation rekommenderar SOC-optimering inte några ändringar i inmatningen.
Viktigt!
När du gör ändringar i inmatningsplaner rekommenderar vi att du alltid ser till att gränserna för dina inmatningsplaner är tydliga och att de berörda tabellerna inte matas in av kompatibilitetsskäl eller andra liknande orsaker.
Hotbaserad optimering
För att optimera datavärdet rekommenderar SOC-optimering att du lägger till säkerhetskontroller i din miljö i form av extra identifieringar och datakällor med hjälp av en hotbaserad metod.
För att tillhandahålla hotbaserade rekommendationer tittar SOC-optimeringen på dina inmatade loggar och aktiverade analysregler och jämför dem med de loggar och identifieringar som krävs för att skydda, identifiera och svara på specifika typer av attacker. Den här optimeringstypen kallas även täckningsoptimering och baseras på Microsofts säkerhetsforskning.
I följande tabell visas tillgängliga rekommendationer för hotbaserad SOC-optimering:
| Observation | Åtgärd |
|---|---|
| Det finns datakällor, men identifieringar saknas. | Aktivera analysregelmallar baserat på hotet. |
| Mallar är aktiverade, men datakällor saknas. | Anslut nya datakällor. |
| Det finns inga befintliga identifieringar eller datakällor. | Anslut identifieringar och datakällor eller installera en lösning. |
Relaterat innehåll
- Använda SOC-optimeringar programmatiskt (förhandsversion)
- Blogg: SOC-optimering: lås upp kraften i precisionsdriven säkerhetshantering
Gå vidare
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för