你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 SOC 优化建议可帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据提高引入率。 SOC 优化可帮助你优化Microsoft Sentinel工作区,而无需让 SOC 团队花费时间进行手动分析和研究。
Microsoft Sentinel SOC 优化包括以下类型的建议:
数据值建议 建议改进数据使用的方法,例如为组织制定更好的数据计划。
基于覆盖范围的建议 建议添加控制措施,以防止覆盖差距,这些差距可能导致攻击或可能导致经济损失的场景。 覆盖范围建议包括:
- 基于威胁的建议:建议添加安全控制措施,以帮助检测覆盖范围差距,以防止攻击和漏洞。
- AI MITRE ATT&CK 标记建议 (预览版) :使用人工智能来建议使用 MITRE ATT&CK 策略和技术标记安全检测。
- 基于风险的建议 (预览版) :建议实施控制措施,以解决与可能导致业务风险或财务损失(包括运营、财务、信誉、合规性和法律风险)相关的用例的覆盖差距。
类似的组织建议 建议从组织使用的源类型中引入数据,这些源类型与你的引入趋势和行业配置文件相似。
本文详细介绍了可用的 SOC 优化建议的类型。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
数据值优化建议
为了优化成本/安全价值比率,SOC 优化会发现几乎不使用的数据连接器或表。 SOC 优化建议降低表成本或提高表值的方法,具体取决于覆盖范围。 这种类型的优化也称为 数据值优化。
数据值优化仅查看过去 30 天内引入数据的计费表。
下表列出了可用的数据值 SOC 优化建议类型:
| 观察类型 | 操作 |
|---|---|
| 过去 30 天内,分析规则或检测未使用该表,但其他源(例如工作簿、日志查询、搜寻查询)使用。 | 启用分析规则模板 OR 如果该表符合条件,请将表移动到 基本日志计划 。 |
| 过去 30 天内根本不使用该表。 | 启用分析规则模板 OR 停止数据引入并删除表或将表移动到长期保留。 |
| 表仅由 Azure Monitor 使用。 | 为具有安全值的表启用任何相关的分析规则模板 OR 移动到不安全的 Log Analytics 工作区。 |
如果为 UEBA 或 威胁情报匹配分析规则选择了表,SOC 优化不建议在引入时进行任何更改。
预览) (未使用的列
SOC 优化还会显示表中未使用的列。 下表列出了可用于 SOC 优化建议的列类型:
| 观察类型 | 操作 |
|---|---|
| SignInLogs 表或 AADNonInteractiveUserSignInLogs 表中的 ConditionalAccessPolicies 列未使用。 | 停止列的数据引入。 |
重要
更改引入计划时,建议始终确保引入计划的限制是明确的,并且不会出于合规性或其他类似原因引入受影响的表。
基于覆盖范围的优化建议
基于覆盖范围的优化建议有助于缩小针对特定威胁或可能导致业务风险和财务损失的方案的覆盖差距。
基于威胁的优化建议
为了优化数据价值,SOC 优化建议使用基于威胁的方法,以额外的检测和数据源的形式向环境添加安全控制。 此优化类型也称为 覆盖范围优化,基于Microsoft的安全研究。
SOC 优化通过分析引入的日志和启用的分析规则,并将其与解决特定类型攻击所需的日志和检测进行比较来提供基于威胁的建议。
基于威胁的优化同时考虑预定义和用户定义的检测。
下表列出了基于威胁的 SOC 优化建议的可用类型:
| 观察类型 | 操作 |
|---|---|
| 存在数据源,但缺少检测。 | 基于威胁启用分析规则模板:使用分析规则模板创建规则,并调整名称、说明和查询逻辑以适应你的环境。 有关详细信息,请参阅 Microsoft Sentinel 中的威胁检测。 |
| 模板已打开,但缺少数据源。 | 连接新的数据源。 |
| 没有现有的检测或数据源。 | 连接检测和数据源或安装解决方案。 |
AI MITRE ATT&CK 标记建议 (预览版)
AI MITRE ATT&CK 标记功能使用人工智能自动标记安全检测。 AI 模型在客户工作区上运行,使用相关的 MITRE ATT&CK 策略和技术为未标记的检测创建标记建议。
客户可以应用这些建议,以确保其安全覆盖面彻底且精确。 这可确保完整而准确的安全覆盖,增强威胁检测和响应功能。
以下是应用 AI MITRE ATT&CK 标记建议的 3 种方法:
- 将建议应用于特定的分析规则。
- 将建议应用于工作区中的所有分析规则。
- 不要将建议应用于任何分析规则。
基于风险的优化建议 (预览版)
基于风险的优化考虑现实世界的安全方案,其中包含一组与之相关的业务风险,包括运营、财务、信誉、合规性和法律风险。 这些建议基于Microsoft Sentinel基于风险的安全方法。
为了提供基于风险的建议,SOC 优化会查看引入的日志和分析规则,并将其与保护、检测和响应可能导致业务风险的特定类型的攻击所需的日志和检测进行比较。 基于风险的建议优化同时考虑预定义和用户定义的检测。
下表列出了基于风险的 SOC 优化建议的可用类型:
| 观察类型 | 操作 |
|---|---|
| 存在数据源,但缺少检测。 | 根据业务风险启用分析规则模板:使用分析规则模板创建规则,并调整名称、说明和查询逻辑以适应你的环境。 |
| 模板已打开,但缺少数据源。 | 连接新的数据源。 |
| 没有现有的检测或数据源。 | 连接检测和数据源或安装解决方案。 |
类似组织建议
SOC 优化使用高级机器学习来识别工作区中缺少但由具有类似引入趋势和行业配置文件的组织使用的表。 它显示了其他组织如何使用这些表,并建议相关数据源以及相关规则,以提高安全覆盖范围。
| 观察类型 | 操作 |
|---|---|
| 缺少由类似客户引入的日志源 | 连接建议的数据源。 此建议不包括:
|
注意事项
如果机器学习模型识别出与其他组织的重大相似之处并发现它们拥有但你没有的表,则工作区才会收到类似的组织建议。 与成熟度更高的 SOC 相比,处于早期或加入阶段的 SOC 更有可能收到这些建议。 并非所有工作区都会获得类似的组织建议。
机器学习模型从不访问或分析客户日志的内容或在任何时候引入它们。 (EUII) 不会向分析公开客户数据、内容或个人数据。 建议基于仅依赖于组织身份信息 (OII) 和系统元数据的机器学习模型。