你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营中心 (SOC) 团队寻求改进流程和结果的方法,并确保你拥有解决风险所需的数据,且不会产生额外的引入成本。 SOC 团队希望确保拥有应对风险所需的所有数据,且无需为超出需要的数据支付费用。 同时,SOC 团队还必须随着威胁和业务优先级的变化快速有效地调整安全控制,以最大程度地提高投资回报率。
SOC 优化是可行的建议,它们揭示了优化安全控制的方法,随着时间的推移,你可以从 Microsoft 安全服务获得更多价值。 建议可帮助你在不影响 SOC 需求或责任范围的情况下降低成本,并可以帮助你在需要时添加安全控制和数据。 这些优化是根据你的环境并根据你当前的覆盖范围和威胁情况量身定制的。
使用 SOC 优化建议来帮助你填补针对特定威胁的覆盖范围差距,并降低对无法提供安全价值的数据的引入率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。
重要说明
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。
从 2026 年 7 月开始,在 Azure 门户中使用 Microsoft Sentinel 的所有客户都将 重定向到 Defender 门户,并将仅在 Defender 门户中使用 Microsoft Sentinel。 从 2025 年 7 月开始,许多新客户 会自动加入并重定向到 Defender 门户。
如果仍在 Azure 门户中使用 Microsoft Sentinel,建议开始计划 过渡到 Defender 门户 ,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全作体验。 有关详细信息,请参阅《是时候移动:停用 Microsoft Sentinel 的 Azure 门户以提高安全性》。
请观看以下视频,以了解 Microsoft Defender 门户中 SOC 优化的概述和演示。 如果只想观看演示,请跳到 8:14。
Prerequisites
SOC 优化使用标准 Microsoft Sentinel 角色和权限。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
要在 Defender 门户中使用 SOC 优化,请将 Microsoft Sentinel 载入到 Defender 门户。 有关详细信息,请参阅将 Microsoft Sentinel 连接到 Microsoft Defender 门户。
访问 SOC 优化页
根据你使用的是 Azure 门户还是 Defender 门户使用以下选项卡之一。 将工作区加入 Defender 门户后,SOC 优化包括来自整个 Microsoft 安全服务的覆盖范围。
在 Defender 门户中,选择“SOC 优化”。。
了解 SOC 优化概述指标
“概述”选项卡顶部显示的优化指标可让你大致了解数据的使用效率,并在实施建议时随时间变化。
“概述”选项卡顶部支持的指标包括:
| 标题 | 说明 |
|---|---|
| 最近的优化值 | 显示根据最近实现的建议获得的值 |
| 引入的数据 | 显示过去 90 天在工作区中引入的总数据。 |
| 基于威胁的覆盖范围优化 | 根据在工作区中找到的分析规则数量并与 Microsoft 研究团队建议的规则数量进行比较,显示以下覆盖范围指标之一: - 高:超过 75% 的建议规则已激活 - 中:30%-74% 的建议规则已激活 - 低:0%-29% 的建议规则已激活。 选择 “查看所有威胁方案 ”以查看相关威胁和基于风险的方案、主动和推荐的检测以及覆盖级别的完整列表。 然后选择一种威胁场景,在单独的威胁场景详细信息页面上深入了解有关建议的更多详细信息。 |
| 优化状态 | 显示当前处于活动、已完成和已关闭状态的建议优化数量。 |
查看和管理优化建议
在 Defender 门户中,SOC 优化建议在“SOC 优化”选项卡上的“优化”区域中列出。
SOC 优化建议将每 24 小时计算一次。 每个优化卡都包含状态、标题、创建日期、简要描述及其适用的工作区。
筛选器优化
根据优化类型筛选优化,或使用侧面的搜索框搜索特定的优化标题。 优化类型包括:
- 覆盖范围 :包括有助于缩小针对特定威胁的覆盖范围差距的建议,并加强对未提供安全价值的数据的引入率。 覆盖范围建议包括:
- 基于威胁的建议,用于添加安全控制措施,以帮助填补各种攻击类型的覆盖空缺。
- AI MITRE ATT&CK 建议,添加标记建议来帮助根据 MITRE ATT&CK 框架填补针对各类攻击的防御覆盖漏洞。
- 基于风险 的建议,用于添加安全控制,以帮助缩小各类业务风险的覆盖差距。
- 数据值:包括建议改进数据使用的建议,以最大限度地提高引入数据的安全性价值,或为组织提出更好的数据计划。
查看优化详细信息并采取措施
根据使用的门户选择以下选项卡之一:
在每个优化卡中,选择“查看详细信息”以查看导致建议的观察结果的完整描述,以及实施该建议后你在环境中看到的价值。
对于基于威胁的覆盖范围优化:
- 在蛛网图之间切换,以根据环境中激活的用户定义检测和现成检测了解不同策略和技术的覆盖范围。
- 选择“在 MITRE ATT&CK 中查看威胁场景”跳转到 Microsoft Sentinel 中的“MITRE ATT&CK”页面,该页面已根据你的威胁场景进行预筛选。 有关详细信息,请参阅 [了解 MITRE ATT&CK® 框架的安全覆盖范围]。
向下滚动到细节窗格底部,获取指向可执行建议操作的链接。 例如:
如果优化包括添加分析规则的建议,请选择“转到内容中心”。
如果优化包括将表移动到基本日志的建议,请选择“更改计划”。
对于基于威胁的覆盖范围优化,请选择“查看完整威胁场景”以查看相关威胁、主动和建议检测以及覆盖范围级别的完整列表。 在此处,可以直接跳转到“内容中心”以激活任何建议的检测,或跳转到“MITRE ATT&CK”页面以查看所选场景的完整 MITRE ATT&CK 覆盖范围。 例如:
如果你在未安装解决方案的情况下从内容中心安装分析规则模板,则解决方案中只会显示已安装的模板。
安装完整的解决方案以查看所选解决方案中的所有可用内容项。 有关详细信息,请参阅发现和管理 Microsoft Sentinel 现成内容。
管理优化
默认情况下,优化状态为“活动”。 随着团队通过分类和实施建议取得进展,其状态将更改。
选择选项菜单或“查看详细信息”以执行以下操作之一:
| 操作 | 说明 |
|---|---|
| 完成 | 完成每项建议的操作时,即完成优化。 如果检测到环境发生变化导致建议变得无关紧要,优化将自动完成并移至“已完成”选项卡。 例如,你可能具有与以前未使用的表相关的优化。 如果表现在用于新的分析规则,则优化建议现在无关紧要。 在这种情况下,“概述”选项卡中显示横幅,其中包含自上次访问以来自动完成的优化次数。 |
| 标记为正在进行 / 标记为活动 | 将优化标记为正在进行或处于活动状态,以通知其他团队成员你正在积极处理该优化。 根据组织需要灵活、但一致地使用这两种状态。 |
| 关闭 | 如果你不打算执行建议的操作并且不再希望在列表中看到它,请关闭优化。 |
| 提供反馈 | 我们邀请你与 Microsoft 团队分享你对建议操作的想法! 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。 |
查看已完成和已关闭的优化
如果将特定优化标记为“已完成”或“已关闭”,或者优化已自动完成,则该优化将分别列在“已完成”和“已关闭”选项卡上。
在此处,选择选项菜单或“查看完整详细信息”执行以下操作之一:
重新激活优化,并将其发送回“概述”选项卡。重新激活的优化将重新计算,以提供最新的值和操作。 重新计算这些详细信息最多可能需要一小时,因此在再次检查详细信息和建议的操作之前请等待。
如果在重新计算详细信息后发现它们不再相关,则重新激活的优化也可能会直接移至“已完成”选项卡。
向 Microsoft 团队提供进一步反馈。 分享你的反馈时,请注意不要分享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。
SOC 优化使用流
本部分提供了从 Defender 或 Azure 门户使用 SOC 优化的示例流:
在“SOC 优化”页上,首先了解仪表板:
- 观察总体优化状态的顶层指标。
- 查看针对数据值和基于威胁的覆盖范围的优化建议。
使用优化建议来识别使用率较低的表,指示它们不用于检测。 选择“查看完整详细信息”以查看未使用数据的大小和成本。 请考虑以下操作之一:
添加分析规则以使用表进行增强保护。 若要使用此选项,请选择“转到内容中心”以查看和配置使用所选表的特定现成分析规则模板。 在内容中心,无需搜索相关规则,因为直接转到相关规则。
如果新的分析规则需要其他日志源,请考虑引入它们以提高威胁覆盖范围。
有关更多信息,请参阅发现和管理 Microsoft Sentinel 的现成内容以及直接检测威胁。
更改承诺层级以节省成本。 有关详细信息,请参阅降低 Microsoft Sentinel 的成本。
使用优化建议来提高针对特定威胁的覆盖范围。 例如,对于人为操作的勒索软件优化:
选择“查看完整详细信息”以查看当前覆盖范围和建议的改进。
选择“查看所有 MITRE ATT&CK 技术改进”来向下钻取和分析相关策略和技术,帮助你了解覆盖范围差距。
选择“转到内容中心”以查看专门为此优化筛选的所有建议的安全内容。
配置新规则或进行更改后,将建议标记为已完成或让系统自动更新。