Partager via

Types de recommandations d’optimisation SOC

  • S’applique à: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Utilisez les recommandations d’optimisation du SOC pour combler les lacunes de la couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion des données qui ne fournissent pas de valeur de sécurité. Les optimisations du SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à des analyses et des recherches manuelles.

Les optimisations SOC de Microsoft Sentinel incluent les types de recommandations suivants :

  • Les recommandations relatives à la valeur des données suggèrent des façons d’améliorer votre utilisation des données, telles qu’un meilleur plan de données pour votre organisation.

  • Les recommandations basées sur la couverture suggèrent d’ajouter des contrôles pour éviter les lacunes de couverture qui peuvent entraîner une vulnérabilité aux attaques ou scénarios pouvant entraîner une perte financière. Les recommandations de couverture sont les suivantes :

    • Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
    • Recommandations de marquage AI MITRE ATT&CK (Aperçu) : utilise l'intelligence artificielle pour suggérer le marquage des détections de sécurité avec les tactiques et techniques MITRE ATT&CK.
    • Recommandations basées sur les risques (préversion) : recommande d’implémenter des contrôles pour combler les lacunes de couverture liées aux cas d’usage susceptibles d’entraîner des risques métier ou des pertes financières, notamment des risques opérationnels, financiers, de réputation, de conformité et juridiques.

  • Les recommandations d’organisations similaires suggèrent l’ingestion de données à partir des types de sources utilisées par les organisations qui ont des tendances d’ingestion similaires et des profils du secteur à vous.

Cet article fournit une référence détaillée des types de recommandations d’optimisation SOC disponibles.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez Il est temps de passer à autre chose : mise hors service du portail Azure de Microsoft Sentinel pour une sécurité accrue.

Recommandations d’optimisation des valeurs de données

Pour optimiser votre ratio coût/valeur de sécurité, l’optimisation SOC met en évidence les connecteurs de données ou les tables peu utilisés. L’optimisation SOC suggère des façons de réduire le coût d’une table ou d’améliorer sa valeur, en fonction de votre couverture. Ce type d’optimisation est également appelé optimisation des valeurs de données.

Les optimisations des valeurs de données examinent uniquement les tables facturables qui ingèrent des données au cours des 30 derniers jours.

Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC de valeur de données :

Type d’observation Action
La table n’a pas été utilisée par les règles d’analyse ou les détections au cours des 30 derniers jours, mais elle a été utilisée par d’autres sources, telles que des classeurs, des requêtes de journal, des requêtes de repérage. Activer les modèles de règle d’analyse
OR
Déplacez la table vers un plan de journaux d’activité de base si la table est éligible.
La table n’a pas été utilisée du tout au cours des 30 derniers jours. Activer les modèles de règle d’analyse
OR
Arrêtez l’ingestion des données et supprimez la table ou déplacez la table vers une rétention à long terme.
La table n’a été utilisée que par Azure Monitor. Activer tous les modèles de règles d’analyse pertinents pour les tables avec une valeur de sécurité
OR
Accédez à un espace de travail Log Analytics sans sécurité.

If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.

Colonnes inutilisées (préversion)

L’optimisation SOC expose également les colonnes inutilisées dans vos tables. Le tableau suivant répertorie les types de colonnes disponibles pour les recommandations d’optimisation SOC :

Type d’observation Action
The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. Arrêtez l’ingestion de données pour la colonne.

Important

Lorsque vous apportez des modifications aux plans d’ingestion, nous vous recommandons de toujours veiller à ce que les limites de vos plans d’ingestion soient claires et que les tables affectées ne soient pas ingérées pour des raisons de conformité ou d’autres raisons similaires.

Recommandations d’optimisation basées sur la couverture

Les recommandations d’optimisation basées sur la couverture vous aident à combler les lacunes de couverture contre des menaces spécifiques ou à des scénarios pouvant entraîner des risques métier et des pertes financières.

Recommandations d’optimisation basée sur les menaces

Pour optimiser la valeur des données, l’optimisation SOC recommande d’ajouter des contrôles de sécurité à votre environnement sous la forme de détections et de sources de données supplémentaires, à l’aide d’une approche basée sur les menaces. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.

L’optimisation SOC fournit des recommandations basées sur les menaces en analysant vos journaux ingérés et les règles d’analytique activées, puis en les comparant aux journaux et aux détections nécessaires pour traiter des types spécifiques d’attaques.

Les optimisations basées sur les menaces prennent en compte les détections prédéfinies et définies par l’utilisateur.

Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC basées sur les menaces :

Type d’observation Action
Il existe des sources de données, mais les détections sont manquantes. Activez les modèles de règles d’analyse en fonction de la menace : créez une règle à l’aide d’un modèle de règle d’analyse et ajustez le nom, la description et la logique de requête en fonction de votre environnement.

Pour plus d’informations, consultez La détection des menaces dans Microsoft Sentinel.
Les modèles sont activés, mais les sources de données sont manquantes. Connectez de nouvelles sources de données.
Il n’existe aucune détection ou source de données existante. Connectez des détections et des sources de données ou installez une solution.

Recommandations de balisage AI MITRE ATT&CK (préversion)

La fonctionnalité d’étiquetage AI MITRE ATT&CK utilise l’intelligence artificielle pour baliser automatiquement les détections de sécurité. Le modèle IA s’exécute sur l’espace de travail du client pour créer des recommandations de balisage pour les détections non marquées avec des techniques et tactiques MITRE ATT&CK pertinentes.

Les clients peuvent appliquer ces recommandations pour garantir que leur couverture de sécurité est complète et précise. Cela garantit une couverture de sécurité complète et précise, ce qui améliore les fonctionnalités de détection et de réponse aux menaces.

Il s’agit de 3 façons d’appliquer les recommandations de balisage AI MITRE ATT&CK :

  • Appliquez la recommandation à une règle d’analytique spécifique.
  • Appliquez la recommandation à toutes les règles d’analyse dans l’espace de travail.
  • N’appliquez pas la recommandation aux règles d’analyse.

Recommandations d’optimisation basées sur les risques (préversion)

Les optimisations basées sur les risques prennent en compte des scénarios de sécurité réels avec un ensemble de risques métier associés, notamment les risques opérationnels, financiers, réputation, conformité et juridiques. Les recommandations sont basées sur l’approche basée sur les risques de Microsoft Sentinel pour la sécurité.

Pour fournir des recommandations basées sur les risques, l’optimisation SOC examine vos journaux et règles d’analyse ingérés et les compare aux journaux et aux détections nécessaires pour protéger, détecter et répondre à des types spécifiques d’attaques susceptibles de provoquer des risques métier. Les optimisations des recommandations basées sur les risques prennent en compte les détections prédéfinies et définies par l’utilisateur.

Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC basées sur les risques :

Type d’observation Action
Il existe des sources de données, mais les détections sont manquantes. Activez les modèles de règles d’analyse en fonction des risques métier : créez une règle à l’aide d’un modèle de règle d’analyse et ajustez le nom, la description et la logique de requête en fonction de votre environnement.
Les modèles sont activés, mais les sources de données sont manquantes. Connectez de nouvelles sources de données.
Il n’existe aucune détection ou source de données existante. Connectez des détections et des sources de données ou installez une solution.

Recommandations d’organisations similaires

L’optimisation SOC utilise le Machine Learning avancé pour identifier les tables manquantes dans votre espace de travail, mais utilisées par les organisations avec des tendances d’ingestion similaires et des profils du secteur. Il montre comment d’autres organisations utilisent ces tables et recommande les sources de données pertinentes, ainsi que les règles associées, pour améliorer votre couverture de sécurité.

Type d’observation Action
Les sources de journal ingérées par des clients similaires sont manquantes Connectez les sources de données suggérées.

Cette recommandation n’inclut pas :
  • Custom connectors
  • Custom tables
  • Tables ingérées par moins de 10 espaces de travail
  • Tables qui contiennent plusieurs sources de journal, telles que les SyslogCommonSecurityLog tables

Considerations

  • Un espace de travail reçoit uniquement des recommandations d’organisation similaires si le modèle Machine Learning identifie des similitudes significatives avec d’autres organisations et découvre les tables dont elles disposent, mais vous ne le faites pas. Les SOC dans leurs phases précoces ou d’intégration sont plus susceptibles de recevoir ces recommandations que les SOC avec un niveau de maturité plus élevé. Tous les espaces de travail ne reçoivent pas de recommandations similaires pour les organisations.

  • Les modèles Machine Learning n’accèdent ni n’analysent jamais le contenu des journaux des clients ou les ingèrent à tout moment. Aucune donnée client, contenu ou données personnelles (EUII) n’est exposée à l’analyse. Les recommandations sont basées sur des modèles Machine Learning qui s’appuient uniquement sur les métadonnées OII (Organisation Identifiable Information) et système.

Related content

Next step

  • Last updated on