你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
SOC 优化建议参考
使用 SOC 优化建议来帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据收紧引入速率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。
Microsoft Sentinel SOC 优化包括以下类型的建议:
基于威胁的 优化建议添加有助于缩小覆盖范围差距的安全控制。
数据值优化 建议改进数据使用的方法,例如为组织制定更好的数据计划。
本文提供了可用的 SOC 优化建议的参考。
重要
Microsoft Sentinel 现已在 Microsoft Defender 门户的 Microsoft 统一安全运营平台中正式发布。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
数据值优化
为了优化成本与安全价值比率,SOC 优化显示很少使用的数据连接器或表,并建议根据覆盖范围,降低表的成本或提高其值的方法。 这种类型的优化也称为 数据值优化。
数据值优化仅查看过去 30 天内引入数据的计费表。
下表列出了可用的数据值 SOC 优化建议:
| 观测 | 操作 |
|---|---|
| 在过去 30 天内,分析规则或检测未使用该表,但其他源(如工作簿、日志查询、搜寻查询)使用。 | 启用分析规则模板 OR 如果表符合条件,则移动到基本日志 |
| 在过去 30 天内根本不使用该表 | 启用分析规则模板 OR 停止数据引入或存档表 |
| 该表仅供 Azure Monitor 使用 | 为具有安全值的表启用任何相关的分析规则模板 OR 移动到不安全的 Log Analytics 工作区 |
如果为 UEBA 或 威胁情报匹配分析规则选择了表,SOC 优化不建议在引入时进行任何更改。
重要
更改引入计划时,我们建议始终确保引入计划的限制是明确的,并且由于符合性或其他类似原因,不会引入受影响的表。
基于威胁的优化
为了优化数据值,SOC 优化建议使用基于威胁的方法以额外的检测和数据源的形式向环境添加安全控制。
为了提供基于威胁的建议,SOC 优化将查看引入的日志和已启用的分析规则,并将其与保护、检测和响应特定类型攻击所需的日志和检测进行比较。 此优化类型也称为 覆盖优化,基于Microsoft的安全研究。 SOC 优化同时考虑用户定义的检测和现用检测。
下表列出了可用的基于威胁的 SOC 优化建议:
| 观测 | 操作 |
|---|---|
| 存在数据源,但缺少检测。 | 基于威胁启用分析规则模板。 |
| 模板已打开,但缺少数据源。 | 连接新的数据源。 |
| 没有现有的检测或数据源。 | 连接检测和数据源或安装解决方案。 |