Önerilerin SOC iyileştirme başvurusu
Belirli tehditlere karşı kapsam boşluklarını kapatmanıza ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı artırmanıza yardımcı olması için SOC iyileştirme önerilerini kullanın. SOC optimizasyonları, SOC ekiplerinizin manuel analiz ve araştırma konusunda zaman harcamalarına gerek kalmadan Microsoft Sentinel çalışma alanınızı optimize etmenize yardımcı olur.
Microsoft Sentinel SOC iyileştirmeleri aşağıdaki öneri türlerini içerir:
Tehdit tabanlı iyileştirmeler, kapsam boşluklarını kapatmanıza yardımcı olacak güvenlik denetimleri eklenmesini önerir.
Veri değeri iyileştirmeleri , kuruluşunuz için daha iyi bir veri planı gibi veri kullanımınızı geliştirmenin yollarını önerir.
Bu makalede, kullanılabilir SOC iyileştirme önerilerine bir başvuru sağlanır.
Önemli
Microsoft Sentinel artık Microsoft Defender portalındaki Microsoft birleşik güvenlik işlemleri platformunda genel kullanıma sunuldu. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Veri değeri iyileştirmeleri
Maliyet-güvenlik değeri oranınızı iyileştirmek için, SOC iyileştirmesi çok az kullanılan veri bağlayıcılarını veya tabloları ortaya çıkartır ve kapsamınıza bağlı olarak bir tablonun maliyetini azaltmanın veya değerini artırmanın yollarını önerir. Bu iyileştirme türüne veri değeri iyileştirmesi de denir.
Veri değeri iyileştirmeleri yalnızca son 30 gün içindeki verileri alan faturalanabilir tablolara bakar.
Aşağıdaki tabloda kullanılabilir veri değeri SOC iyileştirme önerileri listelanmaktadır:
Gözlem | Eylem |
---|---|
Tablo son 30 gün içinde analiz kuralları veya algılamaları tarafından kullanılmamış ancak çalışma kitapları, günlük sorguları, tehdit avcılığı sorguları gibi diğer kaynaklar tarafından kullanılmıştır. | Analiz kuralı şablonlarını açma VEYA Tablo uygunsa temel günlüklere gitme |
Tablo son 30 gün içinde hiç kullanılmadı | Analiz kuralı şablonlarını açma VEYA Veri alımını durdurma veya tabloyu arşivleme |
Tablo yalnızca Azure İzleyici tarafından kullanıldı | Güvenlik değeri olan tablolar için ilgili analiz kuralı şablonlarını açma VEYA Güvenlikle ilgili olmayan log analytics çalışma alanına gitme |
UEBA veya tehdit bilgileri eşleştirme analiz kuralı için bir tablo seçilirse, SOC iyileştirmesi alımda herhangi bir değişiklik önermez.
Önemli
Alım planlarında değişiklik yaparken, her zaman alım planlarınızın sınırlarının açık olduğundan ve etkilenen tabloların uyumluluk veya diğer benzer nedenlerden dolayı alınmamasını sağlamanızı öneririz.
Tehdit tabanlı iyileştirme
SOC iyileştirmesi, veri değerini iyileştirmek için tehdit tabanlı bir yaklaşım kullanarak ortamınıza ek algılamalar ve veri kaynakları biçiminde güvenlik denetimleri eklenmesini önerir.
Tehdit tabanlı öneriler sağlamak için SOC iyileştirmesi, alınan günlüklerinize ve etkin analiz kurallarınıza bakar ve bunu belirli saldırı türlerini korumak, algılamak ve yanıtlamak için gereken günlüklerle ve algılamalarla karşılaştırır. Bu iyileştirme türü, kapsam iyileştirme olarak da bilinir ve Microsoft'un güvenlik araştırmasını temel alır. SOC iyileştirmesi hem kullanıcı tanımlı hem de kullanıma açık algılamaları dikkate alır.
Aşağıdaki tabloda, kullanılabilir tehdit tabanlı SOC iyileştirme önerileri listelanmaktadır:
Gözlem | Eylem |
---|---|
Veri kaynakları vardır, ancak algılamalar eksiktir. | Tehdit temelinde analiz kuralı şablonlarını açın. |
Şablonlar açık, ancak veri kaynakları eksik. | Yeni veri kaynaklarını bağlayın. |
Mevcut algılama veya veri kaynağı yok. | Algılamaları ve veri kaynaklarını bağlayın veya bir çözüm yükleyin. |
İlgili içerik
- SOC iyileştirmelerini program aracılığıyla kullanma (Önizleme)
- Blog: SOC iyileştirmesi: Duyarlık odaklı güvenlik yönetiminin gücünü ortaya çıkarma