Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie SOC-Optimierungsempfehlungen, um die Abdeckungslücken im Schutz vor bestimmten Bedrohungen zu schließen und Ihre Erfassungsraten für Daten anzupassen, die für die Sicherheit nicht von Nutzen sind. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel-Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit für manuelle Analysen und Untersuchungen aufwenden müssen.
Microsoft Sentinel SOC-Optimierungen umfassen die folgenden Arten von Empfehlungen:
Empfehlungen für Datenwerte schlagen Möglichkeiten zur Verbesserung der Datennutzung vor, z. B. einen besseren Datenplan für Ihre Organisation.
Abdeckungsbasierte Empfehlungen schlagen vor, Steuerelemente hinzuzufügen, um Abdeckungslücken zu verhindern, die zu Sicherheitsrisiken für Angriffe oder Szenarien führen können, die zu finanziellen Verlusten führen können. Zu den Empfehlungen für die Abdeckung gehören:
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- KI-Taggingempfehlungen von MITRE ATT&CK (Vorschau): Nutzt künstliche Intelligenz, um Vorschläge für das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken zu machen.
- Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.
Ähnliche Empfehlungen von Organisationen schlagen vor, Daten aus den Arten von Quellen aufzunehmen, die von Organisationen verwendet werden, die ähnliche Erfassungstrends und Branchenprofile haben.
Dieser Artikel enthält eine detaillierte Referenz zu den verfügbaren SOC-Optimierungsempfehlungen.
Important
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
Empfehlungen zur Datenwertoptimierung
Um das Verhältnis Ihrer Kosten mit den Sicherheitswerten zu optimieren, werden bei der SOC-Optimierung selten verwendete Datenconnectors oder Tabellen aufgedeckt. Die SOC-Optimierung schlägt möglichkeiten vor, je nach Abdeckung entweder die Kosten einer Tabelle zu reduzieren oder ihren Wert zu verbessern. Diese Art der Optimierung wird auch als Datenwertoptimierung bezeichnet.
Datenwertoptimierungen betrachten nur rechnungsbare Tabellen, die Daten in den letzten 30 Tagen aufgenommen haben.
In der folgenden Tabelle sind die verfügbaren Arten von SOC-Optimierungsempfehlungen für Datenwerte aufgeführt:
| Art der Beobachtung | Action |
|---|---|
| Die Tabelle wurde in den letzten 30 Tagen nicht von Analyseregeln oder Erkennungen verwendet, sondern von anderen Quellen verwendet, z. B. Arbeitsmappen, Protokollabfragen, Suchabfragen. | Aktivieren von Analyseregelvorlagen OR Verschieben Sie die Tabelle in einen grundlegenden Protokollplan , wenn die Tabelle berechtigt ist. |
| Die Tabelle wurde in den letzten 30 Tagen nicht verwendet. | Aktivieren von Analyseregelvorlagen OR Beenden Sie die Datenaufnahme, und entfernen Sie die Tabelle, oder verschieben Sie die Tabelle auf eine langfristige Aufbewahrung. |
| Die Tabelle wurde nur von Azure Monitor verwendet. | Aktivieren relevanter Analyseregelvorlagen für Tabellen mit Sicherheitswert OR Wechseln zu einem nicht sicherheitsrelevanten Log Analytics-Arbeitsbereich. |
If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.
Nicht verwendete Spalten (Vorschau)
Die SOC-Optimierung zeigt auch nicht verwendete Spalten in Ihren Tabellen an. In der folgenden Tabelle sind die verfügbaren Spaltentypen aufgeführt, die für SOC-Optimierungsempfehlungen verfügbar sind:
| Art der Beobachtung | Action |
|---|---|
| The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. | Beenden Sie die Datenaufnahme für die Spalte. |
Important
Wenn Sie Änderungen an Aufnahmeplänen vornehmen, wird empfohlen, immer sicherzustellen, dass die Grenzwerte Ihrer Aufnahmepläne klar sind und dass die betroffenen Tabellen aus Compliance- oder anderen ähnlichen Gründen nicht aufgenommen werden.
Empfehlungen für die Abdeckungsbasierte Optimierung
Empfehlungen zur abdeckungsbasierten Optimierung helfen Ihnen, Lücken gegen bestimmte Bedrohungen oder Szenarien zu schließen, die zu Geschäftsrisiken und finanziellen Verlusten führen können.
Empfehlungen zur bedrohungsbasierten Optimierung
Um den Datenwert zu optimieren, empfiehlt die SOC-Optimierung das Hinzufügen von Sicherheitssteuerelementen zu Ihrer Umgebung in Form zusätzlicher Erkennungen und Datenquellen mithilfe eines bedrohungsbasierten Ansatzes. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.
DIE SOC-Optimierung bietet bedrohungsbasierte Empfehlungen, indem Sie Ihre erfassten Protokolle analysieren und Analyseregeln aktiviert haben, und vergleichen Sie sie dann mit den Protokollen und Erkennungen, die für die Behebung bestimmter Arten von Angriffen erforderlich sind.
Bedrohungsbasierte Optimierungen berücksichtigen sowohl vordefinierte als auch benutzerdefinierte Erkennungen.
In der folgenden Tabelle sind die verfügbaren Arten von bedrohungsbasierten SOC-Optimierungsempfehlungen aufgeführt:
| Art der Beobachtung | Action |
|---|---|
| Es gibt Datenquellen, aber Erkennungen fehlen. | Aktivieren Sie Analyseregelvorlagen basierend auf der Bedrohung: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an. Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel. |
| Vorlagen sind aktiviert, aber Datenquellen fehlen. | Verbinden neuer Datenquellen. |
| Es gibt keine Erkennungen oder Datenquellen. | Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung. |
KI MITRE ATT&CK-Taggingempfehlungen (Vorschau)
Die KI MITRE ATT&CK Tagging-Funktion verwendet künstliche Intelligenz, um Sicherheitserkennungen automatisch zu markieren. Das KI-Modell wird im Arbeitsbereich des Kunden ausgeführt, um Taggingempfehlungen für nicht markierte Erkennungen mit relevanter MITRE ATT&CK-Taktik und -techniken zu erstellen.
Kunden können diese Empfehlungen anwenden, um sicherzustellen, dass ihre Sicherheitsabdeckung gründlich und präzise ist. Dadurch wird eine vollständige und genaue Sicherheitsabdeckung sichergestellt, wodurch die Bedrohungserkennungs- und Reaktionsfunktionen verbessert werden.
Dies sind drei Methoden zum Anwenden der AI MITRE ATT&CK-Taggingempfehlungen:
- Wenden Sie die Empfehlung auf eine bestimmte Analyseregel an.
- Wenden Sie die Empfehlung auf alle Analyseregeln im Arbeitsbereich an.
- Wenden Sie die Empfehlung nicht auf Analyseregeln an.
Risikobasierte Optimierungsempfehlungen (Vorschau)
Risikobasierte Optimierungen berücksichtigen reale Sicherheitsszenarien mit einer Reihe von damit verbundenen Geschäftsrisiken, einschließlich operativer, finanzieller, Reputations-, Compliance- und rechtlicher Risiken. Die Empfehlungen basieren auf dem risikobasierten Sicherheitsansatz von Microsoft Sentinel.
Um risikobasierte Empfehlungen bereitzustellen, untersucht die SOC-Optimierung Ihre erfassten Protokolle und Analyseregeln und vergleicht sie mit den Protokollen und Erkennungen, die zum Schutz, Erkennen und Reagieren auf bestimmte Arten von Angriffen erforderlich sind, die zu Geschäftsrisiken führen können. Risikobasierte Empfehlungen optimierungen berücksichtigen sowohl vordefinierte als auch benutzerdefinierte Erkennungen.
In der folgenden Tabelle sind die verfügbaren Arten von risikobasierten SOC-Optimierungsempfehlungen aufgeführt:
| Art der Beobachtung | Action |
|---|---|
| Es gibt Datenquellen, aber Erkennungen fehlen. | Aktivieren Sie Analyseregelvorlagen basierend auf den Geschäftsrisiken: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an. |
| Vorlagen sind aktiviert, aber Datenquellen fehlen. | Verbinden neuer Datenquellen. |
| Es gibt keine Erkennungen oder Datenquellen. | Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung. |
Empfehlungen für ähnliche Organisationen
DIE SOC-Optimierung verwendet erweiterte maschinelles Lernen, um Tabellen zu identifizieren, die in Ihrem Arbeitsbereich fehlen, aber von Organisationen mit ähnlichen Erfassungstrends und Branchenprofilen verwendet werden. Es zeigt, wie andere Organisationen diese Tabellen verwenden, und empfiehlt die relevanten Datenquellen zusammen mit verwandten Regeln, um Ihre Sicherheitsabdeckung zu verbessern.
| Art der Beobachtung | Action |
|---|---|
| Protokollquellen, die von ähnlichen Kunden aufgenommen werden, fehlen | Verbinden sie die vorgeschlagenen Datenquellen. Diese Empfehlung enthält nicht:
|
Considerations
Ein Arbeitsbereich erhält nur ähnliche Organisationsempfehlungen, wenn das Machine Learning-Modell erhebliche Ähnlichkeiten mit anderen Organisationen identifiziert und Tabellen ermittelt, die sie haben, aber nicht. SOCs in ihren frühen oder onboarding-Phasen erhalten diese Empfehlungen eher als SOCs mit einem höheren Reifegrad. Nicht alle Arbeitsbereiche erhalten empfehlungen für ähnliche Organisationen.
Die Machine Learning-Modelle greifen niemals auf den Inhalt von Kundenprotokollen zu oder analysieren sie zu einem beliebigen Zeitpunkt. Der Analyse werden keine Kundendaten, Inhalte oder personenbezogene Daten (EUII) offengelegt. Empfehlungen basieren auf Machine Learning-Modellen, die ausschließlich auf OII (Organizational Identifiable Information) und Systemmetadaten basieren.
Related content
- Programmgesteuertes Verwenden von SOC-Optimierungen (Vorschau)
- Blog: SOC-Optimierung: Entsperren Sie die Leistungsfähigkeit der präzisen Sicherheitsverwaltung