Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
SOC-team (Security Operations Center) letar efter sätt att förbättra processer och resultat och se till att du har de data som behövs för att hantera risker utan extra inmatningskostnader. SOC-team vill se till att du har alla nödvändiga data för att agera mot risker, utan att betala för mer data än vad som behövs. Samtidigt måste SOC-teamen också justera säkerhetskontrollerna när hot och affärsprioriteringar förändras, vilket gör det snabbt och effektivt för att maximera avkastningen på investeringen.
SOC-optimeringar är användbara rekommendationer som visar hur du kan optimera dina säkerhetskontroller och få mer värde från Microsofts säkerhetstjänster allt eftersom tiden går. Rekommendationer hjälper dig att minska kostnaderna utan att påverka SOC-behov eller täckning, och kan hjälpa dig att lägga till säkerhetskontroller och data där det behövs. De här optimeringarna är skräddarsydda för din miljö och baseras på din aktuella täckning och ditt hotlandskap.
Använd rekommendationer för SOC-optimering för att minska täckningsluckorna mot specifika hot och öka inmatningshastigheten mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel arbetsyta, utan att soc-teamen lägger tid på manuell analys och forskning.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Titta på följande video för en översikt och demonstration av SOC-optimering i Microsoft Defender-portalen. Om du bara vill ha en demo, hoppa till minut 8:14.
Förhandskrav
SOC-optimering använder standardroller och behörigheter för Microsoft Sentinel. Mer information finns i Roller och behörigheter i Microsoft Sentinel.
Om du vill använda SOC-optimering i Defender-portalen registrerar du Microsoft Sentinel till Defender-portalen. Mer information finns i Ansluta Microsoft Sentinel till Microsoft Defender-portalen.
Öppna SIDAN FÖR SOC-optimering
Använd någon av följande flikar, beroende på om du arbetar i Azure Portal eller Defender-portalen. När din arbetsyta registreras i Defender-portalen omfattar SOC-optimeringar täckning från microsofts säkerhetstjänster.
I Defender-portalen väljer du SOC-optimering.
Förstå översiktsmått för SOC-optimering
Optimeringsmått som visas överst på fliken Översikt ger dig en hög förståelse för hur effektivt du använder dina data och kommer att ändras med tiden när du implementerar rekommendationer.
Mått som stöds överst på fliken Översikt är:
| Rubrik | Beskrivning |
|---|---|
| Senaste optimeringsvärde | Visar värde som erhållits baserat på rekommendationer som du nyligen implementerade |
| Inmatade data | Visar det totala antalet data som har matats in på din arbetsyta under de senaste 90 dagarna. |
| Optimering av hotbaserad täckning | Visar en av följande täckningsindikatorer, baserat på antalet analysregler som finns på din arbetsyta, jämfört med antalet regler som rekommenderas av Microsofts forskningsteam: - Hög: Över 75 % av de rekommenderade reglerna aktiveras - Medel: 30%-74 % av de rekommenderade reglerna aktiveras - Låg: 0%-29 % av de rekommenderade reglerna aktiveras. Välj Visa alla hotscenarier för att visa en fullständig lista över relevanta hot- och riskbaserade scenarier, aktiva och rekommenderade identifieringar och täckningsnivåer. Välj sedan ett hotscenario för att öka detaljnivån för mer information om rekommendationen på en separat informationssida för hotscenariot. |
| Optimeringsstatus | Visar antalet rekommenderade optimeringar som för närvarande är aktiva, slutförda och avvisade. |
Visa och hantera optimeringsrekommendationer
I Defender-portalen visas rekommendationer för SOC-optimering i området Dina optimeringar på fliken SOC-optimeringar .
Rekommendationer för SOC-optimering beräknas var 24:e timme. Varje optimeringskort innehåller status, rubrik, det datum då det skapades, en beskrivning på hög nivå och arbetsytan som det gäller för.
Filteroptimeringar
Filtrera optimeringarna baserat på optimeringstyp eller sök efter en specifik optimeringsrubrik med hjälp av sökrutan på sidan. Optimeringstyper är:
-
Täckning : Innehåller rekommendationer som hjälper dig att minska täckningsluckorna mot specifika hot och öka inmatningshastigheten mot data som inte ger säkerhetsvärde. Täckningsrekommendationer omfattar:
- Hotbaserade rekommendationer för att lägga till säkerhetskontroller för att minska täckningsluckorna för olika typer av attacker.
- AI MITRE ATT&CK-rekommendationer för att lägga till taggningsrekommendationer för att minska täckningsluckorna för olika typer av attacker, baserat på MITRE ATT&CK-ramverket.
- Riskbaserade rekommendationer för att lägga till säkerhetskontroller för att minska täckningsluckorna för olika typer av affärsrisker.
- Datavärde: Innehåller rekommendationer som föreslår sätt att förbättra din dataanvändning för att maximera säkerhetsvärdet från inmatade data, eller föreslå en bättre dataplan för din organisation.
Visa optimeringsinformation och vidta åtgärder
Välj någon av följande flikar, beroende på vilken portal du använder:
I varje optimeringskort väljer du Visa information för att se en fullständig beskrivning av observationen som ledde till rekommendationen och det värde som visas i din miljö när rekommendationen implementeras.
För optimering av hotbaserad täckning:
- Växla mellan spindeldiagrammen för att förstå din täckning över olika taktiker och tekniker, baserat på de användardefinierade och färdiga identifieringarna som är aktiva i din miljö.
- Välj Visa hotscenario i MITRE ATT&CK för att gå till MITRE ATT&CK-sidan i Microsoft Sentinel, förfiltrerad för ditt hotscenario. Mer information finns i [Förstå säkerhetstäckningen i MITRE ATT-&CK-ramverket®].
Rulla ned till slutet av informationsfönstret för en länk till där du kan vidta de rekommenderade åtgärderna. Till exempel:
Om en optimering innehåller rekommendationer för att lägga till analysregler väljer du Gå till Innehållshubb.
Om en optimering innehåller rekommendationer för att flytta en tabell till grundläggande loggar väljer du Ändra plan.
För optimering av hotbaserad täckning väljer du Visa fullständigt hotscenario för att se en fullständig lista över relevanta hot, aktiva och rekommenderade identifieringar och täckningsnivåer. Därifrån kan du gå direkt till innehållshubben för att aktivera rekommenderade identifieringar, eller till MITRE ATT&CK-sidan för att visa hela MITRE ATT-&CK-täckningen för det valda scenariot. Till exempel:
Om du installerar en analysregelmall från innehållshubben utan att lösningen är installerad visas endast den installerade mallen i lösningen.
Installera den fullständiga lösningen för att se alla tillgängliga innehållsobjekt från den valda lösningen. Mer information finns i Identifiera och hantera Microsoft Sentinel inbyggt innehåll.
Hantera optimeringar
Som standard är optimeringsstatusar Aktiva. Ändra deras status när dina team fortsätter genom att prioritera och implementera rekommendationer.
Välj antingen alternativmenyn eller välj Visa information för att utföra någon av följande åtgärder:
| Åtgärd | Beskrivning |
|---|---|
| Komplett | Slutför en optimering när du har slutfört varje rekommenderad åtgärd. Om en ändring i din miljö identifieras som gör rekommendationen irrelevant slutförs optimeringen automatiskt och flyttas till fliken Slutförd . Du kan till exempel ha en optimering relaterad till en tidigare oanvänd tabell. Om tabellen nu används i en ny analysregel är optimeringsrekommendationsen nu irrelevant. I sådana fall visas en banderoll på fliken Översikt med antalet automatiskt slutförda optimeringar sedan ditt senaste besök. |
| Markera som pågående / Markera som aktiv | Markera en optimering som pågående eller aktiv för att meddela andra teammedlemmar att du arbetar aktivt med den. Använd dessa två statusar flexibelt, men konsekvent, efter behov för din organisation. |
| Avfärda | Stäng en optimering om du inte planerar att vidta den rekommenderade åtgärden och inte längre vill se den i listan. |
| Ge feedback | Vi inbjuder dig att dela med dig av dina tankar om de rekommenderade åtgärderna till Microsoft-teamet! När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy. |
Visa slutförda och avvisade optimeringar
Om du har markerat en specifik optimering som Slutförd eller Avvisad, eller om en optimering slutförs automatiskt, visas den på flikarna Slutfört respektive Avvisat .
Härifrån väljer du antingen alternativmenyn eller väljer Visa fullständig information för att utföra någon av följande åtgärder:
Återaktivera optimeringen och skicka tillbaka den till fliken Översikt . Återaktiverade optimeringar beräknas om för att ge det mest uppdaterade värdet och åtgärden. Omberäkning av den här informationen kan ta upp till en timme, så vänta innan du kontrollerar informationen och de rekommenderade åtgärderna igen.
Återaktiverade optimeringar kan också flyttas direkt till fliken Slutfört om de inte längre är relevanta när informationen har beräknats om.
Ge ytterligare feedback till Microsoft-teamet. När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy.
SOC-optimeringsanvändningsflöde
Det här avsnittet innehåller ett exempelflöde för användning av SOC-optimeringar, antingen från Defender eller Azure Portal:
På sidan SOC-optimering börjar du med att förstå instrumentpanelen:
- Observera de viktigaste måtten för övergripande optimeringsstatus.
- Granska optimeringsrekommendationerna för datavärde och hotbaserad täckning.
Använd optimeringsrekommendationerna för att identifiera tabeller med låg användning, vilket indikerar att de inte används för identifieringar. Välj Visa fullständig information för att se storleken och kostnaden för oanvända data. Överväg någon av följande åtgärder:
Lägg till analysregler för att använda tabellen för förbättrat skydd. Om du vill använda det här alternativet väljer du Gå till innehållshubben för att visa och konfigurera specifika analysregelmallar som använder den valda tabellen. I innehållshubben behöver du inte söka efter den relevanta regeln, eftersom du tas direkt till den relevanta regeln.
Om nya analysregler kräver extra loggkällor bör du överväga att mata in dem för att förbättra hottäckningen.
Mer information finns i Identifiera och hantera Microsoft Sentinel out-of-the-box-innehåll och Identifiera hot direkt.
Ändra åtagandenivån för kostnadsbesparingar. Mer information finns i Minska kostnaderna för Microsoft Sentinel.
Använd optimeringsrekommendationerna för att förbättra täckningen mot specifika hot. Till exempel för optimering av utpressningstrojaner som drivs av människor:
Välj Visa fullständig information för att se aktuell täckning och föreslagna förbättringar.
Välj Visa alla MITRE ATT-&CK-teknikförbättringar för att öka detaljnivån och analysera relevanta taktiker och tekniker, vilket hjälper dig att förstå täckningsgapet.
Välj Gå till innehållshubben för att visa allt rekommenderat säkerhetsinnehåll, filtrerat specifikt för den här optimeringen.
När du har konfigurerat nya regler eller gjort ändringar markerar du rekommendationen som slutförd eller låter systemet uppdateras automatiskt.