Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.
As otimizações do SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:
Recomendações de valor de dados sugerem maneiras de melhorar o uso de dados, como um plano de dados melhor para sua organização.
Recomendações baseadas em cobertura sugerem a adição de controles para evitar lacunas de cobertura que podem levar a vulnerabilidades a ataques ou cenários que podem levar a perdas financeiras. As recomendações de cobertura incluem:
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- Recomendações de identificação com a IA para MITRE ATT&CK (Versão prévia): usa inteligência artificial para sugerir a classificação de detecções de segurança com as táticas e técnicas do MITRE ATT&CK.
- Recomendações baseadas em risco (versão prévia): recomenda a implementação de controles para resolver lacunas de cobertura vinculadas a casos de uso que podem resultar em riscos comerciais ou perdas financeiras, incluindo riscos operacionais, financeiros, de reputação, de conformidade e legais.
Recomendações de organizações semelhantes sugerem a ingestão de dados dos tipos de fontes usadas por organizações que têm tendências de ingestão semelhantes e perfis do setor aos seus.
Este artigo fornece uma referência detalhada dos tipos de recomendações de otimização de SOC disponíveis.
Important
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte É Hora de Mudar: Aposentando o portal Azure do Microsoft Sentinel para maior segurança.
Recomendações de otimização de valor de dados
Para otimizar a relação custo/valor de segurança, a otimização do SOC destaca conectores de dados ou tabelas pouco usados. A otimização soc sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.
As otimizações de valor de dados analisam apenas as tabelas faturáveis que assimilaram dados nos últimos 30 dias.
A tabela a seguir lista os tipos disponíveis de recomendações de otimização de SOC de valor de dados:
If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.
Colunas não utilizados (versão prévia)
A otimização SOC também apresenta colunas não utilizados em suas tabelas. A tabela a seguir lista os tipos disponíveis de colunas disponíveis para recomendações de otimização SOC:
| Tipo de observação | Action |
|---|---|
| The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. | Interrompa a ingestão de dados para a coluna. |
Important
Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites de seus planos de ingestão estejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.
Recomendações de otimização baseadas em cobertura
Recomendações de otimização baseadas em cobertura ajudam você a fechar lacunas de cobertura contra ameaças específicas ou a cenários que podem levar a riscos comerciais e perda financeira.
Recomendações de otimização baseadas em ameaças
Para otimizar o valor dos dados, a otimização do SOC recomenda adicionar controles de segurança ao seu ambiente na forma de detecções e fontes de dados extras, usando uma abordagem baseada em ameaças. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.
A otimização soc fornece recomendações baseadas em ameaças analisando seus logs ingeridos e regras de análise habilitadas, comparando-as com os logs e detecções necessários para lidar com tipos específicos de ataques.
As otimizações baseadas em ameaças consideram detecções predefinidas e definidas pelo usuário.
A tabela a seguir lista os tipos disponíveis de recomendações de otimização de SOC baseadas em ameaças:
| Tipo de observação | Action |
|---|---|
| Existem fontes de dados, mas faltam detecções. | Ativar modelos de regra de análise com base na ameaça: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para se adequar ao seu ambiente. Para obter mais informações, consulte Detecção de ameaças no Microsoft Sentinel. |
| Os modelos estão ativados, mas as fontes de dados estão ausentes. | Conecte novas fontes de dados. |
| Não há detecções ou fontes de dados existentes. | Conecte detecções e fontes de dados ou instale uma solução. |
Recomendações de marcação ATT&CK do MITRE de IA (versão prévia)
O recurso de Marcação ATT&CK do MITRE da IA usa inteligência artificial para marcar automaticamente as detecções de segurança. O modelo de IA é executado no workspace do cliente para criar recomendações de marcação para detecções não registradas com técnicas e táticas MITRE ATT&CK relevantes.
Os clientes podem aplicar essas recomendações para garantir que a cobertura de segurança seja completa e precisa. Isso garante uma cobertura de segurança completa e precisa, aprimorando os recursos de detecção e resposta de ameaças.
Estas são três maneiras de aplicar as recomendações de marcação ATT&CK da MITRE de IA:
- Aplique a recomendação a uma regra de análise específica.
- Aplique a recomendação a todas as regras de análise no workspace.
- Não aplique a recomendação a nenhuma regra de análise.
Recomendações de otimização baseada em risco (versão prévia)
As otimizações baseadas em risco consideram cenários de segurança do mundo real com um conjunto de riscos de negócios associados a ele, incluindo riscos operacionais, financeiros, de reputação, de conformidade e legais. As recomendações são baseadas na abordagem baseada em risco do Microsoft Sentinel para a segurança.
Para fornecer recomendações baseadas em risco, a otimização SOC examina seus logs ingeridos e as regras de análise e as compara com os logs e detecções necessários para proteger, detectar e responder a tipos específicos de ataques que podem causar riscos aos negócios. As otimizações de recomendações baseadas em risco consideram detecções predefinidas e definidas pelo usuário.
A tabela a seguir lista os tipos disponíveis de recomendações de otimização SOC baseadas em risco:
| Tipo de observação | Action |
|---|---|
| Existem fontes de dados, mas faltam detecções. | Ative modelos de regra de análise com base nos riscos de negócios: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para atender ao seu ambiente. |
| Os modelos estão ativados, mas as fontes de dados estão ausentes. | Conecte novas fontes de dados. |
| Não há detecções ou fontes de dados existentes. | Conecte detecções e fontes de dados ou instale uma solução. |
Recomendações de organizações semelhantes
A otimização soc usa aprendizado de máquina avançado para identificar tabelas que estão ausentes do seu workspace, mas são usadas por organizações com tendências de ingestão semelhantes e perfis do setor. Ele mostra como outras organizações usam essas tabelas e recomenda que as fontes de dados relevantes, juntamente com as regras relacionadas, melhorem a cobertura de segurança.
| Tipo de observação | Action |
|---|---|
| As fontes de log ingeridas por clientes semelhantes estão ausentes | Conecte as fontes de dados sugeridas. Esta recomendação não inclui:
|
Considerations
Um workspace só receberá recomendações de organização semelhantes se o modelo de machine learning identificar semelhanças significativas com outras organizações e descobrir tabelas que elas têm, mas você não. SoCs em seus estágios iniciais ou de integração são mais propensos a receber essas recomendações do que SOCs com um nível mais alto de maturidade. Nem todos os workspaces recebem recomendações de organizações semelhantes.
Os modelos de machine learning nunca acessam ou analisam o conteúdo dos logs do cliente ou os ingerem em qualquer momento. Nenhum dado do cliente, conteúdo ou dados pessoais (EUII) é exposto à análise. As recomendações são baseadas em modelos de aprendizado de máquina que dependem exclusivamente de informações de identificação organizacional (OII) e metadados do sistema.
Related content
- Usando otimizações SOC programaticamente (versão prévia)
- Blog: Otimização soc: desbloquear o poder do gerenciamento de segurança controlado por precisão