Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
As equipes do SOC (Centro de operações de segurança) buscam maneiras de melhorar os processos e os resultados e garantir que você tenha os dados necessários para lidar com os riscos sem custos extras de ingestão. Essas equipes querem assegurar que você tenha todos os dados para agir contra riscos, sem pagar por mais dados do que precisa. Ao mesmo tempo, elas também devem ajustar os controles de segurança à medida que as ameaças e as prioridades comerciais mudam, fazendo isso de forma rápida e eficiente para maximizar seu retorno sobre o investimento.
As Otimizações do SOC são recomendações acionáveis que fornecem maneiras de otimizar seus controles de segurança, obtendo mais valor com os serviços de segurança da Microsoft ao longo do tempo. As recomendações ajudam você a reduzir os custos sem afetar as necessidades ou a cobertura do SOC e podem ajudar a adicionar controles de segurança e dados quando necessário. As otimizações são adaptadas ao seu ambiente e baseadas na cobertura atual e no cenário de ameaças.
Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.
Importante
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para obter maior segurança.
Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização do SOC no portal do Microsoft Defender. Se você só quer uma demonstração, pule para o minuto 8:14.
Pré-requisitos
A otimização do SOC usa funções e permissões padrão do Microsoft Sentinel. Para obter mais informações, consulte Funções e permissões no Microsoft Sentinel.
Para usar a otimização SOC no portal do Defender, integre o Microsoft Sentinel ao portal do Defender. Para obter mais informações, confira Como conectar o Microsoft Sentinel ao portal do Microsoft Defender.
Acessar a página de otimização do SOC
Use uma das seguintes guias, dependendo se você estiver trabalhando no portal do Azure ou no portal do Defender. Quando o workspace é integrado ao portal do Defender, as otimizações de SOC incluem cobertura de todos os serviços de segurança da Microsoft.
No portal do Defender, selecione otimização do SOC.
Noções básicas sobre as métricas de visão geral da otimização do SOC
As métricas de otimização mostradas na parte superior da guia Visão Geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e serão alteradas ao longo do tempo à medida que você implementa as recomendações.
As métricas com suporte na parte superior da guia Visão Geral incluem:
| Title | Descrição |
|---|---|
| Valor de otimização recente | Mostra o valor obtido com base nas recomendações implementadas recentemente |
| Dados ingeridos | Mostra o total de dados ingeridos em seu workspace nos últimos 90 dias. |
| Otimizações de cobertura baseadas em ameaças | Mostra um dos indicadores de cobertura a seguir, baseados no número de regras de análise encontradas em seu espaço de trabalho, em comparação com o número de regras recomendadas pela equipe de pesquisa da Microsoft: - Alta: mais de 75% das regras recomendadas são ativadas - Médio: 30%-74% das regras recomendadas são ativadas - Baixa: 0%-29% das regras recomendadas são ativadas. Selecione Exibir todos os cenários de ameaça para exibir a lista completa de cenários relevantes baseados em ameaças e riscos, detecções ativas e recomendadas e níveis de cobertura. Em seguida, selecione um cenário de ameaças para obter mais detalhes sobre a recomendação em uma página separada de informações do cenário de ameaças. |
| Status da otimização | Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento. |
Exibir e gerenciar as recomendações de otimização
No portal do Defender, as recomendações de otimização do SOC estão listadas na área Suas Otimizações na guia Otimizações do SOC.
As recomendações da Otimização do SOC são calculadas a cada 24 horas. Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o workspace ao qual ele se aplica.
Filtrar otimizações
Filtre as otimizações com base no tipo de otimização ou pesquise um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:
- Cobertura : inclui recomendações para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As recomendações de cobertura incluem:
- Recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.
- Recomendações de IA do MITRE ATT&CK para adicionar marcações que ajudem a fechar lacunas na cobertura de diversos tipos de ataques, com base na estrutura MITRE ATT&CK.
- Recomendações baseadas em risco para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de riscos de negócios.
- Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso dos seus dados para maximizar o valor de segurança dos dados ingeridos ou sugerir um plano de dados melhor para sua organização.
Exibir detalhes da otimização e tomar medidas
Selecione uma das guias a seguir, dependendo do portal que estiver usando:
Em cada cartão de otimização, selecione Exibir detalhes para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.
Para otimizações de cobertura baseadas em ameaças:
- Alterne entre os gráficos de teia de aranha para entender sua cobertura em diferentes táticas e técnicas, com base nas detecções definidas pelo usuário e prontas para uso ativas em seu ambiente.
- Selecione Exibir cenário de ameaças no MITRE ATT&CK para ir para a página do MITRE ATT&CK no Microsoft Sentinel, pré-filtrada para seu cenário de ameaças. Para obter mais informações, confira [Entender a cobertura de segurança da estrutura MITRE ATT&CK®].
Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:
Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de Conteúdo.
Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.
Para otimizações de cobertura baseadas em ameaças, selecione Exibir cenário completo de ameaças para ver a lista completa de ameaças relevantes, detecções ativas e recomendadas e níveis de cobertura. A partir daí, você pode ir diretamente para o Hub de conteúdo para ativar as detecções recomendadas ou para a página do MITRE ATT&CK para exibir a cobertura completa do MITRE ATT&CK para o cenário selecionado. Por exemplo:
Se você instalar um modelo de regra de análise do hub de Conteúdo sem a solução instalada, somente o modelo instalado aparecerá na solução.
Instale a solução completa para ver todos os itens de conteúdo disponíveis na solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar o conteúdo pronto para uso do Microsoft Sentinel.
Gerenciar otimizações
Por padrão, os status de otimização estão definidos como Ativo. Altere seus status à medida que suas equipes progridem por meio da triagem e implementação das recomendações.
Selecione o menu de opções ou Exibir detalhes para executar uma das seguintes ações:
| Ação | Descrição |
|---|---|
| Concluído | Conclua uma otimização ao concluir cada ação recomendada. Se for detectada uma alteração em seu ambiente que torna a recomendação irrelevante, a otimização será concluída automaticamente e movida para a guia Concluídas. Por exemplo, você pode ter uma otimização relacionada a uma tabela não usada anteriormente. Se sua tabela agora for usada em uma nova regra de análise, a recomendação de otimização agora será irrelevante. Nesses casos, uma faixa é exibida na guia Visão Geral com o número de otimizações concluídas automaticamente desde sua última visita. |
| Marcar como em andamento / Marcar como ativa | Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela. Use esses dois status de forma flexível, mas de forma consistente, conforme necessário para sua organização. |
| Demitir | Descarte uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista. |
| Fornecer comentários | Convidamos você a compartilhar suas ideias sobre as ações recomendadas com a equipe da Microsoft! Ao compartilhar seus comentários, tenha cuidado para não compartilhar dados confidenciais. Para obter mais informações, consulte Política de Privacidade da Microsoft. |
Exibir otimizações concluídas e descartadas
Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização foi concluída automaticamente, ela será listada nas guias Concluídas e Descartadas, respectivamente.
A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:
Reativar a otimização, enviando-a de volta para a guia Visão geral. As otimizações reativadas são recalculadas para fornecerem o valor e a ação mais atualizados. O recálculo desses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.
As otimizações reativadas também poderão ser movidas diretamente para a guia Concluídas se, depois de recalcular os detalhes, elas não forem mais relevantes.
Forneça mais comentários à equipe da Microsoft. Ao compartilhar seus comentários, tenha cuidado para não compartilhar dados confidenciais. Para obter mais informações, consulte Política de Privacidade da Microsoft.
Fluxo de uso da otimização do SOC
Esta seção fornece um fluxo de exemplo para usar otimizações do SOC no portal do Defender ou do Azure:
Na página de Otimização do SOC, comece entendendo o painel:
- Observe as principais métricas para o status geral da otimização.
- Examine as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.
Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para detecções. Selecione Exibir detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:
Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar esta opção, selecione Ir para o Hub de Conteúdo para visualizar e configurar modelos específicos de regras analíticas prontas para uso que usam a tabela selecionada. No Hub de Conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente até ela.
Se novas regras analíticas exigirem fontes de log adicionais, considere ingeri-las para melhorar a cobertura de ameaças.
Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detecção de ameaças pronta para uso.
Altere o nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.
Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:
Selecione Exibir detalhes completos para ver a cobertura atual e as melhorias sugeridas.
Selecione Exibir todo o aprimoramento de técnicas MITRE ATT&CK para fazer drill down e analisar as táticas e técnicas relevantes, ajudando você a entender a lacuna de cobertura.
Selecione Ir para o Hub de Conteúdo para exibir todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.
Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou permita que o sistema seja atualizado automaticamente.