你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn 。
优化安全运营
项目 2025/01/10
2 个参与者
适用于:
Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal
反馈
本文内容
先决条件
访问 SOC 优化页
了解 SOC 优化概述指标
查看和管理优化建议
查看已完成和已关闭的优化
SOC 优化使用流
相关内容
显示另外 3 个
安全运营中心 (SOC) 团队寻求改进流程和结果的方法,并确保你拥有解决风险所需的数据,且不会产生额外的引入成本。 SOC 团队希望确保拥有应对风险所需的所有数据,且无需为超出需要的数据支付费用 。 同时,SOC 团队还必须随着威胁和业务优先级的变化快速有效地调整安全控制,以最大程度地提高投资回报率。
SOC 优化是可行的建议,它们揭示了优化安全控制的方法,随着时间的推移,你可以从 Microsoft 安全服务获得更多价值。 建议可帮助你在不影响 SOC 需求或责任范围的情况下降低成本,并可以帮助你在需要时添加安全控制和数据。 这些优化是根据你的环境并根据你当前的覆盖范围和威胁情况量身定制的。
使用 SOC 优化建议来帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据收紧引入速率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。
请观看以下视频,以了解 Microsoft Defender 门户中 SOC 优化的概述和演示。 如果只想观看演示,请跳到 8:14。
根据你使用的是 Azure 门户还是 Defender 门户使用以下选项卡之一。 为统一安全运营载入你的工作区后,SOC 优化将涵盖整个 Microsoft 安全服务的覆盖范围。
对于 Azure 门户中的 Microsoft Sentinel,请在“威胁管理”下选择“SOC 优化” 。
在 Defender 门户中,选择“SOC 优化”。 。
“概述”选项卡顶部显示的优化指标可让你大致了解数据的使用效率,并在实施建议时随时间变化。
“概述”选项卡顶部支持的指标包括 :
展开表
标题
说明
过去 3 个月引入的数据
显示过去三个月工作区中引入的总数据。
优化状态
显示当前处于活动、已完成和已关闭状态的建议优化数量。
选择“查看所有威胁方案”可查看相关威胁、主动和建议分析规则百分比以及覆盖范围级别的完整列表 。
展开表
标题
说明
最近的优化值
显示根据最近实现的建议获得的值
引入的数据
显示过去 90 天在工作区中引入的总数据。
基于威胁的覆盖范围优化
根据在工作区中找到的分析规则数量并与 Microsoft 研究团队建议的规则数量进行比较,显示以下覆盖范围指标之一:
-
高:超过 75% 的建议规则已激活
-
中等:30%-74% 的建议规则已激活
-
低:0%-29% 的建议规则已激活。 选择“查看所有威胁方案”可查看相关威胁、主动和建议的检测以及覆盖范围级别的完整列表 。 然后选择一种威胁场景,在单独的威胁场景详细信息页面上深入了解有关建议的更多详细信息。
优化状态
显示当前处于活动、已完成和已关闭状态的建议优化数量。
在 Azure 门户中,SOC 优化建议在“SOC 优化”>“概述”选项卡上列出。
例如:
在 Defender 门户中,SOC 优化建议在“SOC 优化”选项卡上的“优化”区域中列出 。
SOC 优化建议将每 24 小时计算一次。 每个优化卡都包含状态、标题、创建日期、简要描述及其适用的工作区。
根据优化类型筛选优化,或使用侧面的搜索框搜索特定的优化标题。 优化类型包括:
根据使用的门户选择以下选项卡之一:
在每个优化卡中,选择“查看详细信息”以查看导致建议的观察结果的完整描述,以及实施该建议后你在环境中看到的价值 。
向下滚动到细节窗格底部,获取指向可执行建议操作的链接。 例如:
如果优化包括添加分析规则的建议,请选择“转到内容中心” 。
如果优化包括将表移动到基本日志的建议,请选择“更改计划” 。
在每个优化卡中,选择“查看详细信息”以查看导致建议的观察结果的完整描述,以及实施该建议后你在环境中看到的价值 。
对于基于威胁的覆盖范围优化:
向下滚动到细节窗格底部,获取指向可执行建议操作的链接。 例如:
如果优化包括添加分析规则的建议,请选择“转到内容中心” 。
如果优化包括将表移动到基本日志的建议,请选择“更改计划” 。
对于基于威胁的覆盖范围优化,请选择“查看完整威胁场景”以查看相关威胁、主动和建议检测以及覆盖范围级别的完整列表 。 在此处,可以直接跳转到“内容中心”以激活任何建议的检测,或跳转到“MITRE ATT&CK”页面以查看所选场景的完整 MITRE ATT&CK 覆盖范围 。 例如:
如果你在未安装解决方案的情况下从内容中心安装分析规则模板,则解决方案中只会显示已安装的模板。
安装完整的解决方案以查看所选解决方案中的所有可用内容项。 有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容 。
默认情况下,优化状态为“活动” 。 随着团队通过分类和实施建议取得进展,其状态将更改。
选择选项菜单或“查看详细信息”以执行以下操作之一 :
展开表
操作
说明
完成
完成每项建议的操作时,即完成优化。 如果检测到环境发生变化导致建议变得无关紧要,优化将自动完成并移至“已完成”选项卡 。 例如,你可能具有与以前未使用的表相关的优化。 如果表现在用于新的分析规则,则优化建议现在无关紧要。 在这种情况下,“概述”选项卡中显示横幅,其中包含自上次访问以来自动完成的优化次数 。
标记为正在进行 / 标记为活动
将优化标记为正在进行或处于活动状态,以通知其他团队成员你正在积极处理该优化。 根据组织需要灵活、但一致地使用这两种状态。
关闭
如果你不打算执行建议的操作并且不再希望在列表中看到它,请关闭优化。
提供反馈
我们邀请你与 Microsoft 团队分享你对建议操作的想法! 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明 。
如果将特定优化标记为“已完成”或“已关闭”,或者优化已自动完成,则该优化将分别列在“已完成”和“已关闭”选项卡上 。
在此处,选择选项菜单或“查看完整详细信息”执行以下操作之一 :
重新激活优化 ,将其发送回“概述”选项卡 。重新激活的优化将重新计算以提供最新的值和操作。 重新计算这些详细信息最多可能需要一小时,因此在再次检查详细信息和建议的操作之前请等待。
如果在重新计算详细信息后发现它们不再相关,则重新激活的优化也可能会直接移至“已完成”选项卡。
向 Microsoft 团队提供进一步反馈 。 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明 。
本部分提供了从 Defender 或 Azure 门户使用 SOC 优化的示例流:
在“SOC 优化”页上,首先了解仪表板 :
观察总体优化状态的顶层指标。
查看针对数据值和基于威胁的覆盖范围的优化建议。
使用优化建议来识别使用率较低的表,指示它们不用于检测。 选择“查看完整详细信息”以查看未使用数据的大小和成本 。 请考虑以下操作之一:
使用优化建议来提高针对特定威胁的覆盖范围。 例如,对于人为操作的勒索软件优化:
选择“查看完整详细信息”以查看当前覆盖范围和建议的改进 。
选择“查看所有 MITRE ATT&CK 技术改进”来向下钻取和分析相关策略和技术,帮助你了解覆盖范围差距 。
选择“转到内容中心”以查看专门为此优化筛选的所有建议的安全内容 。
配置新规则或进行更改后,将建议标记为已完成或让系统自动更新。