Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
SOC-team (Security Operations Center) letar efter sätt att förbättra processer och resultat och se till att du har de data som behövs för att hantera risker utan extra inmatningskostnader. SOC-team vill se till att du har alla nödvändiga data för att agera mot risker, utan att betala för mer data än vad som behövs. Samtidigt måste SOC-team också justera säkerhetskontrollerna när hot och affärsprioriteringar ändras, vilket gör det snabbt och effektivt för att maximera avkastningen på investeringen.
SOC-optimeringar är användbara rekommendationer som visar hur du kan optimera dina säkerhetskontroller och få mer värde från Microsofts säkerhetstjänster allt eftersom tiden går. Rekommendationer hjälper dig att minska kostnaderna utan att påverka SOC-behov eller täckning, och kan hjälpa dig att lägga till säkerhetskontroller och data där det behövs. Dessa optimeringar är skräddarsydda för din miljö och baseras på din aktuella täckning och hotlandskap.
Använd rekommendationer för SOC-optimering för att hjälpa dig att minska täckningsluckorna mot specifika hot och skärpa dina inmatningshastigheter mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel-arbetsyta, utan att SOC-teamen lägger tid på manuell analys och forskning.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt i Microsoft Defender-portalen, inklusive för kunder utan Microsoft Defender XDR eller en E5-licens.
Från och med juli 2026 kommer Microsoft Sentinel endast att stödjas i Defender-portalen och eventuella återstående kunder som använder Azure-portalen omdirigeras automatiskt.
Vi rekommenderar att alla kunder som använder Microsoft Sentinel i Azure börjar planera övergången till Defender-portalen för den fullständiga enhetliga säkerhetsåtgärdsupplevelsen som erbjuds av Microsoft Defender. Mer information finns i Planera din flytt till Microsoft Defender-portalen för alla Microsoft Sentinel-kunder.
Titta på följande video för en översikt och demonstration av SOC-optimering i Microsoft Defender-portalen. Om du bara vill ha en demo, hoppa till minut 8:14.
Förutsättningar
SOC-optimering använder standardroller och behörigheter för Microsoft Sentinel. Mer information finns i Roller och behörigheter i Microsoft Sentinel.
Om du vill använda SOC-optimering i Defender-portalen registrerar du Microsoft Sentinel på Defender-portalen. Mer information finns i Ansluta Microsoft Sentinel till Microsoft Defender-portalen.
Öppna sidan SOC-optimering
Använd någon av följande flikar beroende på om du arbetar i Azure Portal- eller Defender-portalen. När din arbetsyta integreras i Defender-portalen, omfattar SOC-optimeringar täckning från Microsofts säkerhetstjänster.
I Defender-portalen väljer du SOC-optimering.
Förstå översiktsmått för SOC-optimering
Optimeringsmått som visas överst på fliken Översikt ger dig en hög förståelse för hur effektivt du använder dina data och ändras med tiden när du implementerar rekommendationer.
Mått som stöds överst på fliken Översikt är:
| Titel | Beskrivning |
|---|---|
| Senaste optimeringsvärde | Visar värde som vunnits baserat på rekommendationer som du nyligen implementerade |
| Data som matas in | Visar den totala mängden data som har matats in på din arbetsyta under de senaste 90 dagarna. |
| Optimering av hotbaserad täckning | Visar en av följande täckningsindikatorer, baserat på antalet analysregler som finns på din arbetsyta, jämfört med antalet regler som rekommenderas av Microsofts forskningsteam: - Hög: Över 75 % av de rekommenderade reglerna aktiveras - Medel: 30–74 % av de rekommenderade reglerna aktiveras - Låg: 0%-29 % av de rekommenderade reglerna aktiveras. Välj Visa alla hotscenarier om du vill visa en fullständig lista över relevanta hot- och riskbaserade scenarier, aktiva och rekommenderade identifieringar och täckningsnivåer. Välj sedan ett hotscenario för att öka detaljnivån för mer information om rekommendationen på en separat informationssida för hotscenario. |
| Optimeringsstatus | Visar antalet rekommenderade optimeringar som för närvarande är aktiva, slutförda och inaktiverade. |
Visa och hantera optimeringsrekommendationer
I Defender-portalen visas rekommendationer för SOC-optimering i området Dina optimeringar på fliken SOC-optimeringar .
Rekommendationer för SOC-optimering beräknas var 24:e timme. Varje optimeringskort innehåller status, rubrik, det datum då det skapades, en beskrivning på hög nivå och den arbetsyta som det gäller för.
Filteroptimeringar
Filtrera optimeringarna baserat på optimeringstyp eller sök efter en specifik optimeringstitel med hjälp av sökrutan på sidan. Optimeringstyper är:
-
Täckning : Innehåller rekommendationer som hjälper dig att stänga täckningsluckor mot specifika hot och skärpa dina inmatningshastigheter mot data som inte ger säkerhetsvärde. Täckningsrekommendationer inkluderar:
- Hotbaserade rekommendationer för att lägga till säkerhetsåtgärder som hjälper till att täcka över luckor i säkerheten för olika typer av attacker.
- AI MITRE ATT&CK-rekommendationer för att lägga till taggningsrekommendationer för att minska täckningsluckorna för olika typer av attacker, baserat på MITRE ATT&CK-ramverket.
- Riskbaserade rekommendationer för att lägga till säkerhetskontroller för att minska täckningsluckorna för olika typer av affärsrisker.
- Datavärde: Innehåller rekommendationer som föreslår sätt att förbättra dataanvändningen för att maximera säkerhetsvärdet från inmatade data eller föreslå en bättre dataplan för din organisation.
Visa optimeringsinformation och vidta åtgärder
Välj någon av följande flikar, beroende på vilken portal du använder:
I varje optimeringskort väljer du Visa information för att se en fullständig beskrivning av observationen som ledde till rekommendationen och det värde du ser i din miljö när rekommendationen implementeras.
För hotbaserade täckningsoptimeringar:
- Växla mellan spindeldiagrammen för att förstå din täckning över olika taktiker och tekniker, baserat på de användardefinierade och färdiga identifieringarna som är aktiva i din miljö.
- Välj Visa hotscenario i MITRE ATT&CK för att gå till MITRE ATT&CK-sidan i Microsoft Sentinel, förfiltrerad för ditt hotscenario. Mer information finns i [Förstå säkerhetstäckning av MITRE ATT&CK-ramverket®].
Rulla ned till slutet av informationsfönstret för en länk till där du kan vidta de rekommenderade åtgärderna. Till exempel:
Om en optimering innehåller rekommendationer för att lägga till analysregler väljer du Gå till Innehållshubb.
Om en optimering innehåller rekommendationer för att flytta en tabell till grundläggande loggar väljer du Ändra plan.
För hotbaserade täckningsoptimeringar väljer du Visa fullständigt hotscenario för att se en fullständig lista över relevanta hot, aktiva och rekommenderade identifieringar och täckningsnivåer. Därifrån kan du gå direkt till innehållshubben för att aktivera rekommenderade identifieringar, eller till MITRE ATT&CK-sidan för att visa hela MITRE ATT&CK-täckningen för det valda scenariot. Till exempel:
Om du installerar en analysregelmall från innehållshubben utan att lösningen har installerats visas endast den installerade mallen i lösningen.
Installera den fullständiga lösningen för att se alla tillgängliga innehållsobjekt från den valda lösningen. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.
Hantera optimeringar
Som standard är optimeringsstatusar aktiva. Ändra deras status när dina team fortsätter genom att prioritera och implementera rekommendationer.
Välj antingen alternativmenyn eller välj Visa information för att utföra någon av följande åtgärder:
| Åtgärd | Beskrivning |
|---|---|
| Slutförd | Slutför en optimering när du har slutfört varje rekommenderad åtgärd. Om en ändring i din miljö identifieras som gör rekommendationen irrelevant slutförs optimeringen automatiskt och flyttas till fliken Slutförd . Du kan till exempel ha en optimering relaterad till en tidigare oanvänd tabell. Om tabellen nu används i en ny analysregel är optimeringsrekommendationsen nu irrelevant. I sådana fall visas en banderoll på fliken Översikt med antalet automatiskt slutförda optimeringar sedan ditt senaste besök. |
| Markera som pågående / Markera som aktiv | Markera en optimering som pågående eller aktiv för att meddela andra teammedlemmar att du arbetar aktivt med den. Använd dessa två statusar flexibelt, men konsekvent, efter behov för din organisation. |
| Stäng | Stäng en optimering om du inte planerar att vidta den rekommenderade åtgärden och inte längre vill se den i listan. |
| Ge feedback | Vi inbjuder dig att dela dina tankar om de rekommenderade åtgärderna med Microsoft-teamet! När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy. |
Visa slutförda och avvisade optimeringar
Om du har markerat en specifik optimering som Slutförd eller Avvisad, eller om en optimering slutförs automatiskt, visas den på flikarna Slutförd respektive Avvisad .
Härifrån väljer du antingen alternativmenyn eller väljer Visa fullständig information för att utföra någon av följande åtgärder:
Återaktivera optimeringen och skicka tillbaka den till fliken Översikt . Återaktiverade optimeringar beräknas om för att ge det mest uppdaterade värdet och åtgärden. Omberäkning av den här informationen kan ta upp till en timme, så vänta innan du kontrollerar informationen och rekommenderade åtgärder igen.
Återaktiverade optimeringar kan också flyttas direkt till fliken Slutförd om de inte längre är relevanta efter att ha beräknat om informationen.
Ge ytterligare feedback till Microsoft-teamet. När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy.
SOC-optimeringsanvändningsflöde
Det här avsnittet innehåller ett exempelflöde för användning av SOC-optimeringar, antingen från Defender eller Azure Portal:
På sidan SOC-optimering börjar du med att förstå instrumentpanelen:
- Observera de viktigaste måtten för övergripande optimeringsstatus.
- Granska optimeringsrekommendationer för datavärde och hotbaserad täckning.
Använd optimeringsrekommendationerna för att identifiera tabeller med låg användning, vilket indikerar att de inte används för identifieringar. Välj Visa fullständig information för att se storleken och kostnaden för oanvända data. Överväg någon av följande åtgärder:
Lägg till analysregler för att använda tabellen för förbättrat skydd. Om du vill använda det här alternativet väljer du Gå till innehållshubben för att visa och konfigurera specifika analysregelmallar som använder den valda tabellen. I innehållshubben behöver du inte söka efter relevant regel, eftersom du tas direkt till den relevanta regeln.
Om nya analysregler kräver extra loggkällor bör du överväga att mata in dem för att förbättra hottäckningen.
Mer information finns i Identifiera och hantera out-of-the-box-innehåll i Microsoft Sentinel och Identifiera hot direkt.
Ändra åtagandenivån för kostnadsbesparingar. Mer information finns i Minska kostnaderna för Microsoft Sentinel.
Använd optimeringsrekommendationerna för att förbättra täckningen mot specifika hot. Till exempel för en optimering av utpressningstrojaner som drivs av människor:
Välj Visa fullständig information för att se aktuell täckning och föreslagna förbättringar.
Välj Visa alla MITRE ATT&CK-teknikförbättringar för att öka detaljnivån och analysera relevanta taktiker och tekniker, vilket hjälper dig att förstå täckningsgapet.
Välj Gå till innehållshubben för att visa allt rekommenderat säkerhetsinnehåll som filtrerats specifikt för den här optimeringen.
När du har konfigurerat nya regler eller gjort ändringar markerar du rekommendationen som slutförd eller låter systemet uppdateras automatiskt.