Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Użyj zaleceń dotyczących optymalizacji SOC, aby pomóc w zamknięciu luk w zakresie pokrycia określonych zagrożeń i zaostrzyć współczynniki pozyskiwania danych, które nie zapewniają wartości zabezpieczeń. Optymalizacje SOC pomagają zoptymalizować obszar roboczy Microsoft Sentinel bez konieczności poświęcania czasu przez zespoły SOC na ręczną analizę i badania.
Optymalizacje SOC usługi Microsoft Sentinel obejmują następujące typy zaleceń:
Rekomendacje dotyczące wartości danych sugerują sposoby ulepszania użycia danych, takie jak lepszy plan danych dla organizacji.
Zalecenia oparte na pokryciach sugerują dodawanie mechanizmów kontroli w celu zapobiegania lukom pokrycia, które mogą prowadzić do podatności na ataki lub scenariusze, które mogą prowadzić do utraty finansowej. Zalecenia dotyczące pokrycia obejmują:
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- Zalecenia dotyczące tagowania AI MITRE ATT&CK (wersja zapoznawcza): używa sztucznej inteligencji do sugerowania tagowania wykrytych zagrożeń za pomocą taktyk i technik MITRE ATT&CK.
- Zalecenia oparte na ryzyku (wersja zapoznawcza): zaleca wdrożenie mechanizmów kontroli w celu rozwiązania luk w zakresie pokrycia związanych z przypadkami użycia, które mogą spowodować ryzyko biznesowe lub straty finansowe, w tym operacyjne, finansowe, reputacji, zgodności i ryzyka prawnego.
Podobne zalecenia organizacji sugerują pozyskiwanie danych z typów źródeł używanych przez organizacje, które mają podobne trendy pozyskiwania i profile branżowe do Twoich.
Ten artykuł zawiera szczegółowe informacje na temat dostępnych typów zaleceń dotyczących optymalizacji SOC.
Important
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Jeśli nadal używasz usługi Microsoft Sentinel w witrynie Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia bezproblemowego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez usługę Microsoft Defender. Aby uzyskać więcej informacji, zobacz It's Time to Move: Retiring Microsoft Sentinel's Azure Portal for greater security (Przenoszenie: wycofywanie witryny Azure Portal usługi Microsoft Sentinel w celu zwiększenia bezpieczeństwa).
Zalecenia dotyczące optymalizacji wartości danych
Aby zoptymalizować współczynnik wartości kosztów/bezpieczeństwa, optymalizacja SOC ujawnia rzadko używane łączniki danych lub tabele. Optymalizacja SOC sugeruje sposoby zmniejszenia kosztów tabeli lub zwiększenia jej wartości, w zależności od pokrycia. Ten typ optymalizacji jest również nazywany optymalizacją wartości danych.
Optymalizacje wartości danych patrzą tylko na rozliczane tabele, które pozyskały dane w ciągu ostatnich 30 dni.
W poniższej tabeli wymieniono dostępne typy zaleceń dotyczących optymalizacji SOC wartości danych:
| Typ obserwacji | Action |
|---|---|
| Tabela nie była używana przez reguły analizy ani wykrycia w ciągu ostatnich 30 dni, ale była używana przez inne źródła, takie jak skoroszyty, zapytania dzienników, zapytania wyszukiwania zagrożeń. | Włączanie szablonów reguł analizy OR Przenieś tabelę do podstawowego planu dzienników , jeśli tabela kwalifikuje się. |
| Tabela nie była używana w ogóle w ciągu ostatnich 30 dni. | Włączanie szablonów reguł analizy OR Zatrzymaj pozyskiwanie danych i usuń tabelę lub przenieś tabelę do długoterminowego przechowywania. |
| Tabela była używana tylko przez usługę Azure Monitor. | Włącz wszystkie odpowiednie szablony reguł analizy dla tabel z wartością zabezpieczeń OR Przejdź do obszaru roboczego usługi Log Analytics bez zabezpieczeń. |
If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.
Nieużywane kolumny (wersja zapoznawcza)
Optymalizacja SOC udostępnia również nieużywane kolumny w tabelach. W poniższej tabeli wymieniono dostępne typy kolumn dostępnych dla zaleceń dotyczących optymalizacji SOC:
| Typ obserwacji | Action |
|---|---|
| The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. | Zatrzymaj pozyskiwanie danych dla kolumny. |
Important
Podczas wprowadzania zmian w planach pozyskiwania zalecamy zawsze zapewnienie, że limity planów pozyskiwania są jasne i że objęte tabele nie są pozyskiwane ze względu na zgodność lub inne podobne przyczyny.
Zalecenia dotyczące optymalizacji opartej na pokryciach
Zalecenia dotyczące optymalizacji opartej na pokryciach ułatwiają zamykanie luk w zakresie określonych zagrożeń lub scenariuszy, które mogą prowadzić do ryzyka biznesowego i strat finansowych.
Zalecenia dotyczące optymalizacji opartej na zagrożeniach
Aby zoptymalizować wartość danych, optymalizacja SOC zaleca dodanie mechanizmów kontroli zabezpieczeń do środowiska w postaci dodatkowych wykryć i źródeł danych przy użyciu podejścia opartego na zagrożeniach. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.
Optymalizacja SOC udostępnia zalecenia oparte na zagrożeniach, analizując pozyskane dzienniki i włączone reguły analizy, a następnie porównując je z dziennikami i wykrywaniami wymaganymi do rozwiązania określonych typów ataków.
Optymalizacje oparte na zagrożeniach uwzględniają zarówno wstępnie zdefiniowane, jak i zdefiniowane przez użytkownika wykrywanie.
W poniższej tabeli wymieniono dostępne typy zaleceń dotyczących optymalizacji SOC opartych na zagrożeniach:
| Typ obserwacji | Action |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analizy na podstawie zagrożenia: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań, aby dopasować je do środowiska. Aby uzyskać więcej informacji, zobacz Wykrywanie zagrożeń w usłudze Microsoft Sentinel. |
| Szablony są włączone, ale brakuje źródeł danych. | Połącz nowe źródła danych. |
| Nie ma istniejących wykryć ani źródeł danych. | Łączenie wykrywania i źródeł danych lub instalowanie rozwiązania. |
Zalecenia dotyczące tagowania AI MITRE ATT&CK (wersja zapoznawcza)
Funkcja tagowania AI MITRE ATT&CK używa sztucznej inteligencji do automatycznego tagowania wykrywania zabezpieczeń. Model sztucznej inteligencji działa w obszarze roboczym klienta, aby utworzyć zalecenia dotyczące tagowania dla nieoznakowanych wykryć przy użyciu odpowiedniej taktyki i technik MITRE ATT&CK.
Klienci mogą zastosować te zalecenia, aby upewnić się, że ich pokrycie zabezpieczeń jest dokładne i dokładne. Zapewnia to pełne i dokładne pokrycie zabezpieczeń, zwiększenie możliwości wykrywania zagrożeń i reagowania na nie.
Oto 3 sposoby stosowania zaleceń dotyczących tagowania AI MITRE ATT&CK:
- Zastosuj zalecenie do określonej reguły analizy.
- Zastosuj zalecenie do wszystkich reguł analizy w obszarze roboczym.
- Nie stosuj rekomendacji do żadnych reguł analizy.
Zalecenia dotyczące optymalizacji opartej na ryzyku (wersja zapoznawcza)
Optymalizacje oparte na ryzyku uwzględniają rzeczywiste scenariusze zabezpieczeń z zestawem powiązanych z nim czynników ryzyka biznesowego, w tym operacyjnych, finansowych, reputacji, zgodności i ryzyka prawnego. Zalecenia są oparte na podejściu opartym na ryzyku usługi Microsoft Sentinel w zakresie zabezpieczeń.
Aby zapewnić rekomendacje oparte na ryzyku, optymalizacja SOC analizuje pozyskane dzienniki i reguły analizy oraz porównuje je z dziennikami i wykrywaniami wymaganymi do ochrony, wykrywania i reagowania na określone typy ataków, które mogą powodować zagrożenia biznesowe. Optymalizacje zaleceń opartych na ryzyku uwzględniają zarówno wstępnie zdefiniowane, jak i zdefiniowane przez użytkownika wykrycia.
W poniższej tabeli wymieniono dostępne typy zaleceń dotyczących optymalizacji SOC opartych na ryzyku:
| Typ obserwacji | Action |
|---|---|
| Istnieją źródła danych, ale brakuje wykrywania. | Włącz szablony reguł analitycznych na podstawie czynników ryzyka biznesowego: utwórz regułę przy użyciu szablonu reguły analizy i dostosuj nazwę, opis i logikę zapytań, aby dopasować je do środowiska. |
| Szablony są włączone, ale brakuje źródeł danych. | Połącz nowe źródła danych. |
| Nie ma istniejących wykryć ani źródeł danych. | Łączenie wykrywania i źródeł danych lub instalowanie rozwiązania. |
Zalecenia dotyczące podobnych organizacji
Optymalizacja SOC używa zaawansowanego uczenia maszynowego do identyfikowania tabel, których brakuje w obszarze roboczym, ale są używane przez organizacje z podobnymi trendami pozyskiwania i profilami branżowymi. Pokazuje, w jaki sposób inne organizacje korzystają z tych tabel i zalecają odpowiednie źródła danych wraz z powiązanymi regułami w celu poprawy pokrycia zabezpieczeń.
| Typ obserwacji | Action |
|---|---|
| Brak źródeł dzienników pozyskanych przez podobnych klientów | Połącz sugerowane źródła danych. To zalecenie nie obejmuje:
|
Considerations
Obszar roboczy otrzymuje tylko podobne zalecenia dotyczące organizacji, jeśli model uczenia maszynowego identyfikuje znaczące podobieństwa z innymi organizacjami i odnajduje tabele, które mają, ale nie. SoCs na wczesnym etapie lub dołączania są bardziej skłonne do otrzymania tych zaleceń niż SOC o wyższym poziomie dojrzałości. Nie wszystkie obszary robocze uzyskują podobne rekomendacje organizacji.
Modele uczenia maszynowego nigdy nie uzyskują dostępu do zawartości dzienników klientów ani nie analizują ich w żadnym momencie. Do analizy nie są widoczne żadne dane klienta, zawartość ani dane osobowe (EUII). Rekomendacje są oparte na modelach uczenia maszynowego, które opierają się wyłącznie na danych identyfikacyjnych organizacji (OII) i metadanych systemu.
Related content
- Programowe używanie optymalizacji SOC (wersja zapoznawcza)
- Blog: optymalizacja SOC: odblokowywanie możliwości zarządzania zabezpieczeniami opartymi na precyzji