安全性作業中心 (SOC) 小組會尋找改善流程和結果的方法,並確保您有解決風險所需的數據,而不需要額外的擷取成本。 SOC 小組想要確定您擁有所有必要數據來防範風險,而不需要支付 比所需的更多 數據。 同時,SOC 小組也必須調整安全性控制,因為威脅和業務優先順序會變更,如此快速且有效率地發揮您的投資報酬率。
SOC 優化是可採取動作的建議,可呈現您可以優化安全性控件的方式,隨著時間的流逝,從Microsoft安全性服務取得更多價值。 建議可協助您降低成本,而不會影響SOC需求或涵蓋範圍,並可協助您視需要新增安全性控件和數據。 這些優化會根據您的環境量身打造,並根據您目前的涵蓋範圍和威脅環境。
使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
重要
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
觀看下列影片,以取得 Microsoft Defender 入口網站中 SOC 優化的概觀和示範。 如果您只想要示範,請跳到 8:14 分鐘。
必要條件
SOC 最佳化會使用標準 Microsoft Sentinel 角色和權限。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和權限。
若要在 Defender 入口網站中使用 SOC 優化,請將Microsoft Sentinel 上線至 Defender 入口網站。 如需詳細資訊,請參閱 將Microsoft Sentinel 連線至 Microsoft Defender 入口網站。
存取 SOC 最佳化頁面
根據您在 Azure 入口網站 或 Defender 入口網站中工作,使用下列其中一個索引標籤。 當您的工作區被新增至 Defender 管理平台時,SOC 優化將進一步涵蓋來自 Microsoft 各項安全性服務的保護範圍。
在 Defender 入口網站中,選取 [SOC 優化]。
了解 SOC 最佳化概觀計量
[概觀] 索引標籤頂端顯示的最佳化計量可讓您深入了解您使用資料的效率,並將在您實作建議時隨著時間變更。
[概觀] 索引標籤頂端的支援計量包括:
| 標題 | 描述 |
|---|---|
| 最近的最佳化值 | 顯示根據您最近實作的建議所取得的值 |
| 擷取的數據 | 顯示過去 90 天在您工作區中擷取的資料總數。 |
| 威脅型涵蓋範圍最佳化 | 根據工作區中找到的分析規則數目,顯示下列其中一個涵蓋範圍指標,而Microsoft研究小組建議的規則數目: - 高:啟用超過 75% 的建議規則 - 中:已啟動 30%-74% 的建議規則 - 低:啟用建議規則的 0%-29%。 選取 [檢視所有威脅案例 ] 以檢視相關威脅和風險型案例的完整清單、作用中和建議的偵測,以及涵蓋範圍層級。 然後,選取要向下切入的威脅案例,以取得個別威脅案例詳細數據頁面上建議的詳細數據。 |
| 最佳化狀態 | 顯示目前作用中、已完成和已關閉的建議最佳化數目。 |
檢閱並管理最佳化建議
在 Defender 入口網站中,SOC 最佳化建議會列示在 [SOC 最佳化] 索引標籤上的 [您的最佳化] 區域中。
![Defender 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
![Azure 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
SOC 最佳化建議每 24 小時計算一次。 每個最佳化卡片都包含狀態、標題、建立日期、高階描述,以及其適用的工作區。
篩選最佳化
根據最佳化類型篩選最佳化,或使用側邊的搜尋方塊搜尋特定最佳化標題。 最佳化類型包括:
-
涵蓋範圍 :包含可協助您解決特定威脅的涵蓋範圍差距,並加強對未提供安全性價值之數據的擷取率的建議。 涵蓋範圍建議包括:
- 根據威脅提出的建議,以增加安全控制措施,幫助填補各種攻擊類型的覆蓋範圍差距。
- AI MITRE ATT&CK 建議 ,用於新增標記建議,以根據 MITRE ATT&CK 架構,協助縮小各類攻擊的涵蓋範圍差距。
- 新增安全性控制的風險型建議,有助於縮小各種商務風險類型的涵蓋範圍差距。
- 資料價值:包括建議如何改善資料使用方式的建議,以從擷取的資料獲取最大的安全性價值,或為您的組織建議更好的資料計劃。
檢視最佳化詳細資料並採取動作
根據您使用的入口網站,選取下列其中一個索引標籤:
在每個優化卡片中,選取 [檢視詳細 數據] 以查看導致建議之觀察的完整描述,以及您在環境中實作該建議時看到的值。
針對威脅型涵蓋範圍優化:
- 在蜘蛛圖之間切換,根據您環境中使用的使用者定義和現用偵測,瞭解您涵蓋範圍的各種策略和技術。
- 選取 [在 MITRE ATT&CK 中檢視威脅案例],以跳至 Microsoft Sentinel 中的 MITRE ATT&CK 頁面,針對您的威脅案例預先篩選。 如需詳細資訊,請參閱[瞭解 MITRE ATT&CK® 架構的安全性涵蓋範圍]。
向下捲動至詳細資料窗格底部,以取得您可以採取建議動作的連結。 例如:
如果最佳化包括新增分析規則的建議,請選取 [移至內容中樞]。
如果最佳化包括將資料表移至基本記錄的建議,請選取 [變更計劃]。
針對威脅型涵蓋範圍優化,請選取 [檢視完整威脅案例 ],以查看相關威脅的完整清單、作用中和建議的偵測,以及涵蓋範圍層級。 您可以從該處直接跳至內容中樞以啟用任何建議的偵測,或跳至 MITRE ATT&CK 頁面,以檢視所選案例的完整 MITRE ATT&CK 涵蓋範圍。 例如:
如果您從未安裝解決方案的內容中樞安裝分析規則範本,則只會在方案中顯示已安裝的範本。
安裝完整解決方案,以查看所選解決方案中所有可用的內容項目。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
管理最佳化
根據預設,最佳化狀態為 [作用中]。 在小組逐步完成分級和實作建議時變更其狀態。
選取選項選單,或選取 [ 檢視詳細資料 ] 以採取下列其中一個動作:
| 動作 | 描述 |
|---|---|
| 完成 | 當您完成每個建議動作時,即完成最佳化。 如果偵測到您環境中有一個變更使建議無關緊要,則會自動完成最佳化,並移至 [已完成] 索引標籤。 例如,您可能具有一個最佳化與先前未使用的資料表相關。 如果您的資料表現在用於新的分析規則,則最佳化建議現在無關緊要。 在這類情況下,橫幅會顯示在 [概觀] 索引標籤中,其中包含自您上次造訪後自動完成的最佳化數目。 |
| 標示為進行中 / 標示為作用中 | 將最佳化標示為進行中或作用中,以通知其他小組成員您正在積極處理中。 視需要為您的組織彈性但一致地使用這兩種狀態。 |
| 關閉 | 如果您不打算採取建議的動作,且不再想要在清單中看到最佳化,請關閉最佳化。 |
| 提供意見反應 | 我們邀請您與 Microsoft 小組分享您對建議動作的想法! 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。 |
檢視已完成和已關閉的最佳化
如果您將特定優化標示為 [已完成] 或 [已關閉],或是自動完成優化,則會分別列在 [已完成] 和 [已關閉] 索引卷標上。
從這裡選取選項功能表,或選取 [檢視完整詳細資料],以採取下列其中一項動作:
重新啟用最佳化,將其傳回至 [概觀] 索引標籤。重新啟用的最佳化會重新計算,以提供更新的值和動作。 重新計算這些詳細資料最多可能需要一小時的時間,因此請等候,然後再重新檢查詳細資料和建議動作。
如果在重新計算詳細資料之後發現重新啟用的最佳化不再相關,則這些最佳化也可能直接移至 [已完成] 索引標籤。
向 Microsoft 小組提供進一步的意見反應。 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。
SOC 最佳化使用流程
本節提供從 Defender 或 Azure 入口網站使用 SOC 最佳化的範例流程:
在 [SOC 最佳化] 頁面上,從了解儀表板開始:
- 觀察整體最佳化狀態的最重要計量。
- 檢閱數資料價值和威脅型涵蓋範圍的最佳化建議。
使用最佳化建議來識別使用量低的資料表,指出其不會用於偵測。 選取 [檢視完整詳細資料],以查看未用資料的大小和成本。 請考慮下列其中一個動作:
新增分析規則以使用資料表來增強保護。 若要使用此選項,請選取 [移至內容中樞],以檢視並設定使用所選資料表的特定現用分析規則範本。 在內容中樞中,您不需要搜尋相關規則,因為您會直接被帶至相關規則。
如果新的分析規則需要額外的記錄來源,請考慮擷取它們以改善威脅涵蓋範圍。
如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容及立即偵測威脅。
變更您的承諾用量層以節省成本。 如需詳細資訊,請參閱降低 Microsoft Sentinel 的成本。
使用最佳化建議來針對特定威脅改善涵蓋範圍。 例如,針對人為操作的勒索軟體最佳化:
選取 [檢視完整詳細資料],以查看目前的涵蓋範圍和建議的改善。
選取 [檢視所有 MITRE ATT&CK 技術改善],以向下切入並分析相關的策略和技術,協助您了解涵蓋範圍缺口。
選取 [移至內容中樞],以檢視所有建議的安全性內容,特別針對此最佳化進行篩選。
在設定新規則或進行變更之後,請將建議標示為已完成,或讓系統自動更新。