將您的安全性作業最佳化
安全性作業中心 (SOC) 小組會積極尋找同時將流程和結果最佳化的機會。 您想要確保您具有針對環境中風險採取動作所需的所有資料,同時也確保您不會付費擷取「超過」您所需的資料。 同時,您的小組必須隨著威脅情勢和商務優先順序的變更定期調整安全性控制,快速且有效地進行調整,以保持高投資報酬率。
SOC 最佳化揭示了最佳化安全性控制項的方式,隨著時間的推移,從 Microsoft 安全性服務獲得更多價值。
SOC 最佳化是高逼真度且可採取動作的建議,可協助您識別可降低成本而不會影響 SOC 需求或涵蓋範圍的區域,或您可在發現遺漏之處新增安全性控制項和資料。 SOC 最佳化是因應您的環境,並根據您目前的涵蓋範圍和威脅情勢量身打造。
使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站的 Microsoft 整合安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
觀看下列影片,以取得 Defender 入口網站中 SOC 最佳化的概觀和示範。 如果您只想要示範,請跳到 8:14 分鐘。
必要條件
SOC 最佳化會使用標準 Microsoft Sentinel 角色和權限。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和權限。
若要在 Microsoft Defender 入口網站中使用 SOC 最佳化,必須將 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應整合。 如需詳細資訊,請參閱將 Microsoft Sentinel 連線至 Microsoft Defender 全面偵測回應。
存取 SOC 最佳化頁面
使用下列其中一個索引標籤,取決於您要在統一 SOC 作業平台,還是在 Azure 入口網站中工作:
在 Azure 入口網站的 Microsoft Sentinel 中,於 [威脅管理] 底下,選取 [SOC 最佳化]。
了解 SOC 最佳化概觀計量
[概觀] 索引標籤頂端顯示的最佳化計量可讓您深入了解您使用資料的效率,並將在您實作建議時隨著時間變更。
[概觀] 索引標籤頂端的支援計量包括:
| 標題 | 描述 |
|---|---|
| 過去 3 個月擷取的資料 | 顯示過去三個月在您工作區中擷取的資料總數。 |
| 最佳化狀態 | 顯示目前作用中、已完成和已關閉的建議最佳化數目。 |
選取 [查看所有威脅案例],以檢視相關威脅、主動和建議的偵測,以及涵蓋範圍層級的完整清單。
檢閱並管理最佳化建議
在 Azure 入口網站中,SOC 最佳化建議會列示在 [SOC 最佳化] > [概觀] 索引標籤上。
例如:
![Azure 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
![Defender 入口網站中 [SOC 最佳化概觀] 索引標籤的螢幕擷取畫面。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
每個最佳化卡片都包含狀態、標題、建立日期、高階描述,以及其適用的工作區。
注意
SOC 最佳化建議每 24 小時計算一次。
篩選最佳化
根據最佳化類型篩選最佳化,或使用側邊的搜尋方塊搜尋特定最佳化標題。 最佳化類型包括:
涵蓋範圍:包括新增安全性控制的威脅型建議,以協助封閉各種攻擊類型的涵蓋範圍缺口。
資料價值:包括建議如何改善資料使用方式的建議,以從擷取的資料獲取最大的安全性價值,或為您的組織建議更好的資料計劃。
檢視最佳化詳細資料並採取動作
在每個最佳化卡片中,選取 [檢視完整詳細資料],以查看導致建議的觀察的完整描述,以及當實作該建議時,您在環境中看到的價值。
向下捲動至詳細資料窗格底部,以取得您可以採取建議動作的連結。 例如:
- 如果最佳化包括新增分析規則的建議,請選取 [移至內容中樞]。
- 如果最佳化包括將資料表移至基本記錄的建議,請選取 [變更計劃]。
如果您選擇從內容中樞安裝分析規則範本,而且尚未安裝解決方案,則在完成時,只會在解決方案中顯示您安裝的分析規則範本。 安裝完整解決方案,以查看所選解決方案中所有可用的內容項目。 如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容。
管理最佳化
根據預設,最佳化狀態為 [作用中]。 在小組逐步完成分級和實作建議時變更其狀態。
選取選項功能表,或選取 [檢視完整詳細資料],以採取下列其中一項動作:
| 動作 | 描述 |
|---|---|
| 完成 | 當您完成每個建議動作時,即完成最佳化。 如果偵測到您環境中有一個變更使建議無關緊要,則會自動完成最佳化,並移至 [已完成] 索引標籤。 例如,您可能具有一個最佳化與先前未使用的資料表相關。 如果您的資料表現在用於新的分析規則,則最佳化建議現在無關緊要。 在這類情況下,橫幅會顯示在 [概觀] 索引標籤中,其中包含自您上次造訪後自動完成的最佳化數目。 |
| 標示為進行中 / 標示為作用中 | 將最佳化標示為進行中或作用中,以通知其他小組成員您正在積極處理中。 視需要為您的組織彈性但一致地使用這兩種狀態。 |
| 關閉 | 如果您不打算採取建議的動作,且不再想要在清單中看到最佳化,請關閉最佳化。 |
| 提供意見反應 | 我們邀請您與 Microsoft 小組分享您對建議動作的想法! 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。 |
檢視已完成和已關閉的最佳化
如果您將特定最佳化標示為「已完成」或「已關閉」,或如果最佳化已自動完成,則其會分別列示在 [已完成] 和 [已關閉] 索引標籤上。
從這裡選取選項功能表,或選取 [檢視完整詳細資料],以採取下列其中一項動作:
重新啟用最佳化,將其傳回至 [概觀] 索引標籤。重新啟用的最佳化會重新計算,以提供更新的值和動作。 重新計算這些詳細資料最多可能需要一小時的時間,因此請等候,然後再重新檢查詳細資料和建議動作。
如果在重新計算詳細資料之後發現重新啟用的最佳化不再相關,則這些最佳化也可能直接移至 [已完成] 索引標籤。
向 Microsoft 小組提供進一步的意見反應。 分享您的意見反應時,請小心不要分享任何機密資料。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。
SOC 最佳化使用流程
本節提供從 Defender 或 Azure 入口網站使用 SOC 最佳化的範例流程:
在 [SOC 最佳化] 頁面上,從了解儀表板開始:
- 觀察整體最佳化狀態的最重要計量。
- 檢閱數資料價值和威脅型涵蓋範圍的最佳化建議。
使用最佳化建議來識別使用量低的資料表,指出其不會用於偵測。 選取 [檢視完整詳細資料],以查看未用資料的大小和成本。 請考慮下列其中一個動作:
新增分析規則以使用資料表來增強保護。 若要使用此選項,請選取 [移至內容中樞],以檢視並設定使用所選資料表的特定現用分析規則範本。 在內容中樞中,您不需要搜尋相關規則,因為您會直接被帶至相關規則。
如果新的分析規則需要額外的記錄來源,請考慮擷取這些記錄來源以改善威脅涵蓋範圍。
如需詳細資訊,請參閱探索和管理 Microsoft Sentinel 現成可用的內容及立即偵測威脅。
變更您的承諾用量層以節省成本。 如需詳細資訊,請參閱降低 Microsoft Sentinel 的成本。
使用最佳化建議來針對特定威脅改善涵蓋範圍。 例如,針對人為操作的勒索軟體最佳化:
選取 [檢視完整詳細資料],以查看目前的涵蓋範圍和建議的改善。
選取 [檢視所有 MITRE ATT&CK 技術改善],以向下切入並分析相關的策略和技術,協助您了解涵蓋範圍缺口。
選取 [移至內容中樞],以檢視所有建議的安全性內容,特別針對此最佳化進行篩選。
在設定新規則或進行變更之後,請將建議標示為已完成,或讓系統自動更新。