使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
Microsoft Sentinel SOC 優化包含下列建議類型:
數據價值建議 建議建議改善數據使用方式,例如為組織提供更好的數據計劃。
以涵蓋範圍為基礎的建議 建議建議新增控件,以防止涵蓋範圍差距導致攻擊或可能導致財務損失的案例。 涵蓋範圍建議包括:
- 基於威脅的建議:建議新增安全控制措施,協助偵測覆蓋缺口,防止攻擊與漏洞。
- AI MITRE ATT&CK 標記建議(預覽):使用人工智慧來建議使用 MITRE ATT&CK 策略和技術來標記安全性偵測。
- 風險型建議(預覽):建議實作控制措施,以解決與可能導致業務風險或財務損失的使用案例相關的涵蓋範圍差距,包括營運、財務、信譽、合規性和法律風險。
類似的組織建議 建議從具有類似擷取趨勢和產業配置檔的組織所使用的來源類型擷取數據。
本文提供可用SOC優化建議類型的詳細參考。
Important
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中提供。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,都會被 重新導向到 Defender 入口網站,並且只會在 Defender 入口網站使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
數據價值優化建議
為了優化您的成本與安全性價值比,SOC 優化會揭示幾乎不使用的數據連接器或數據表。 SOC 優化會根據您的涵蓋範圍,建議降低數據表的成本或改善其值的方法。 這種類型的優化也稱為 數據值優化。
數據值優化只會查看過去 30 天內內嵌數據的可計費數據表。
下表列出可用的數據值 SOC 優化建議類型:
| 觀察類型 | Action |
|---|---|
| 過去 30 天內,分析規則或偵測並未使用數據表,但其他來源會使用數據表,例如活頁簿、記錄查詢、搜捕查詢。 | 開啟分析規則範本 OR 如果數據表符合資格,請將數據表移至 基本記錄計劃 。 |
| 在過去 30 天內,數據表完全沒有使用。 | 開啟分析規則範本 OR 停止數據擷取並移除數據表,或將數據表移至長期保留。 |
| 數據表僅供 Azure 監視器使用。 | 開啟具有安全性值之數據表的任何相關分析規則範本 OR 移至不安全的Log Analytics工作區。 |
若選擇 UEBA 或威脅 情報匹配分析規則的表格,SOC 優化不建議更改資料擷取。
未使用的資料列 (預覽)
SOC 優化也會呈現數據表中未使用的數據行。 下表列出 SOC 優化建議可用的資料行型態:
| 觀察類型 | Action |
|---|---|
| SignInLogs 表格中的 ConditionalAccessPolicies 欄位或 AADNonInteractiveUserSignInLogs 表格都未被使用。 | 停止數據行的數據擷取。 |
Important
對擷取計劃進行變更時,建議您一律確保擷取計劃的限制是清楚的,而且受影響的數據表不會因為合規性或其他類似的原因而內嵌。
涵蓋範圍型優化建議
以涵蓋範圍為基礎的優化建議可協助您縮小涵蓋範圍差距,以防止特定威脅或可能導致業務風險和財務損失的案例。
威脅型優化建議
為了優化數據值,SOC 優化建議使用威脅型方法,以額外的偵測和數據源形式,將安全性控制新增至您的環境。 這種優化類型也稱為 覆蓋率優化,基於 Microsoft 的安全研究。
SOC 優化會藉由分析內嵌的記錄和啟用的分析規則來提供威脅型建議,然後將這些規則與解決特定攻擊類型所需的記錄和偵測進行比較。
威脅型優化會考慮預先定義和用戶定義的偵測。
下表列出威脅型SOC優化建議的可用類型:
| 觀察類型 | Action |
|---|---|
| 有數據源,但偵測遺失。 | 根據威脅開啟分析規則範本:使用分析規則範本建立規則,並調整名稱、描述和查詢邏輯以符合您的環境。 如需詳細資訊,請參閱 Microsoft Sentinel 中的威脅偵測。 |
| 範本已開啟,但數據源遺失。 | 連接新的數據源。 |
| 沒有現有的偵測或數據源。 | 連接偵測和數據源,或安裝解決方案。 |
AI MITRE ATT&CK 標記建議 (預覽)
AI MITRE ATT&CK 標記功能會使用人工智慧自動標記安全性偵測。 AI 模型會在客戶的工作區上執行,以針對具有相關 MITRE ATT&CK 策略和技術的未標記偵測建立標記建議。
客戶可以套用這些建議,以確保其安全性涵蓋範圍完整且精確。 這可確保完整且精確的安全性涵蓋範圍,增強威脅偵測和回應功能。
以下是套用 AI MITRE ATT&CK 標記建議的 3 種方式:
- 將建議套用至特定分析規則。
- 將建議套用至工作區中的所有分析規則。
- 請勿將建議套用至任何分析規則。
風險型優化建議 (預覽)
風險型優化會考慮真實世界的安全性案例,其中包含一組與其相關聯的商務風險,包括營運、財務、信譽、合規性和法律風險。 這些建議是以安全性Microsoft Sentinel 風險型方法為基礎。
為了提供風險型建議,SOC 優化會查看您擷取的記錄和分析規則,並將其與保護、偵測及回應可能造成商務風險的特定攻擊類型所需的記錄和偵測進行比較。 風險型建議優化會考慮預先定義和用戶定義的偵測。
下表列出風險型 SOC 優化建議的可用類型:
| 觀察類型 | Action |
|---|---|
| 有數據源,但偵測遺失。 | 根據商務風險開啟分析規則範本:使用分析規則範本建立規則,並調整名稱、描述和查詢邏輯以符合您的環境。 |
| 範本已開啟,但數據源遺失。 | 連接新的數據源。 |
| 沒有現有的偵測或數據源。 | 連接偵測和數據源,或安裝解決方案。 |
類似的組織建議
SOC 優化會使用進階機器學習來識別工作區中遺漏的數據表,但由具有類似擷取趨勢和產業配置檔的組織使用。 它示範其他組織如何使用這些數據表,並建議相關的數據源以及相關規則,以改善安全性涵蓋範圍。
| 觀察類型 | Action |
|---|---|
| 類似客戶所擷取的記錄來源遺失 | 連接建議的數據源。 這項建議不包含:
|
Considerations
如果機器學習模型識別其他組織的重大相似性,並探索其擁有但您沒有的數據表,則工作區只會收到類似的組織建議。 其早期或上線階段的SOC較可能收到這些建議,而SOC的成熟度較高。 並非所有工作區都會收到類似的組織建議。
機器學習模型永遠不會存取或分析客戶記錄的內容,或隨時擷取它們。 不會向分析公開任何客戶數據、內容或個人資料(EUII)。 建議是以僅依賴組織標識資訊 (OII) 和系統元數據的機器學習模型為基礎。