建議的 SOC 最佳化參考
使用 SOC 最佳化建議可協助您封閉涵蓋範圍缺口以防範特定威脅,並針對未提供安全性價值的資料緊縮您的擷取率。 SOC 最佳化可協助您最佳化 Microsoft Sentinel 工作區,而不需要您的 SOC 團隊花時間進行手動分析和研究。
Microsoft Sentinel SOC 優化包含下列建議類型:
威脅型優化 建議新增可協助您縮小涵蓋範圍差距的安全性控制。
數據價值優化 建議改善數據使用的方法,例如為組織提供更好的數據計劃。
本文提供可用的 SOC 優化建議參考。
重要
Microsoft Sentinel 現已在 Microsoft Defender 入口網站中 Microsoft 統一的安全性作業平台中正式推出。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
數據值優化
為了將您的成本與安全性值比率優化,SOC 優化會呈現很少使用的數據連接器或數據表,並建議根據您的涵蓋範圍來降低成本或改善其值的方法。 這種類型的優化也稱為 數據值優化。
數據值優化只會查看過去 30 天內內嵌數據的可計費數據表。
下表列出可用的數據值 SOC 優化建議:
| 觀測 | 動作 |
|---|---|
| 過去 30 天內,分析規則或偵測並未使用數據表,但其他來源會使用數據表,例如活頁簿、記錄查詢、搜捕查詢。 | 開啟分析規則範本 OR 如果數據表符合資格,請移至基本記錄 |
| 過去 30 天內完全不使用數據表 | 開啟分析規則範本 OR 停止數據擷取或封存數據表 |
| 數據表僅供 Azure 監視器使用 | 開啟具有安全性值之數據表的任何相關分析規則範本 OR 移至不安全的Log Analytics工作區 |
如果針對 UEBA 或威脅情報比對分析規則選擇數據表,SOC 優化不會建議對擷取進行任何變更。
重要
對擷取計劃進行變更時,建議您一律確保擷取計劃的限制是清楚的,而且受影響的數據表不會因為合規性或其他類似的原因而內嵌。
威脅型優化
為了優化數據值,SOC 優化建議使用威脅型方法,以額外的偵測和數據源形式,將安全性控制新增至您的環境。
為了提供威脅型建議,SOC 優化會查看您擷取的記錄和啟用的分析規則,並將它與保護、偵測及回應特定攻擊類型所需的記錄和偵測進行比較。 此優化類型也稱為 涵蓋範圍優化,且是以Microsoft的安全性研究為基礎。 SOC 優化會同時考慮使用者定義的和現用的偵測。
下表列出可用的威脅型SOC優化建議:
| 觀測 | 動作 |
|---|---|
| 有數據源,但偵測遺失。 | 根據威脅開啟分析規則範本。 |
| 範本已開啟,但數據源遺失。 | 連接新的數據源。 |
| 沒有現有的偵測或數據源。 | 連接偵測和數據源,或安裝解決方案。 |