Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
Brug SOC-optimeringsanbefalinger til at hjælpe dig med at lukke dækningshuller mod specifikke trusler og stramme din indtagelseshastighed mod data, der ikke giver sikkerhedsværdi. SOC-optimeringer hjælper dig med at optimere dit Microsoft Sentinel arbejdsområde, uden at dine SOC-teams bruger tid på manuel analyse og research.
Microsoft Sentinel SOC-optimeringer omfatter følgende typer anbefalinger:
Anbefalinger af dataværdier foreslår måder at forbedre dit dataforbrug på, f.eks. en bedre dataplan for din organisation.
Dækningsbaserede anbefalinger foreslår, at der tilføjes kontrolelementer for at forhindre dækningshuller, der kan føre til sårbarhed over for angreb eller scenarier, der kan føre til økonomiske tab. Anbefalinger til dækning omfatter:
- Trusselsbaserede anbefalinger: Anbefaler tilføjelse af sikkerhedskontroller, der hjælper dig med at registrere huller i dækningen for at forhindre angreb og sårbarheder.
- AI MITRE ATT&CK-tagginganbefalinger (prøveversion): Bruger kunstig intelligens til at foreslå mærkning af sikkerhedsregistreringer med MITRE ATT&CK-taktikker og -teknikker.
- Risikobaserede anbefalinger (prøveversion): Anbefaler implementering af kontroller for at afhjælpe huller i dækningen i forbindelse med use cases, der kan resultere i forretningsrisici eller økonomiske tab, herunder driftsrelaterede, finansielle, omdømmemæssige, overholdelses- og juridiske risici.
Lignende organisationsanbefalinger foreslår indtagelse af data fra de typer kilder, der bruges af organisationer, som har samme indtagelsestendenser og brancheprofiler som dine.
Denne artikel indeholder en detaljeret reference til de tilgængelige typer SOC-optimeringsanbefalinger.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
Anbefalinger til optimering af dataværdier
Soc-optimeringsoverflader bruger næppe dataconnectors eller tabeller for at optimere forholdet mellem omkostninger og sikkerhedsværdier. SOC-optimering foreslår metoder til enten at reducere omkostningerne ved en tabel eller forbedre dens værdi, afhængigt af din dækning. Denne type optimering kaldes også optimering af dataværdier.
Optimeringer af dataværdier ser kun på fakturerbare tabeller, der har indtaget data inden for de seneste 30 dage.
I følgende tabel vises de tilgængelige typer af anbefalinger til SOC-optimering af dataværdier:
| Type observation | Handling |
|---|---|
| Tabellen blev ikke brugt af analyseregler eller registreringer inden for de sidste 30 dage, men blev brugt af andre kilder, f.eks. projektmapper, logforespørgsler, jagtforespørgsler. | Aktivér skabeloner til analyseregel ELLER Flyt tabellen til en grundlæggende logplan , hvis tabellen er berettiget. |
| Tabellen blev slet ikke brugt inden for de sidste 30 dage. | Aktivér skabeloner til analyseregel ELLER Stop dataindtagelse, og fjern tabellen, eller flyt tabellen til langtidsopbevaring. |
| Tabellen blev kun brugt af Azure Monitor. | Slå alle relevante skabeloner til analyseregel for tabeller med sikkerhedsværdi til ELLER Flyt til et loganalysearbejdsområde, der ikke er sikkerhed for. |
Hvis der vælges en tabel til UEBA eller en matchende analyseregel for trusselsintelligens, anbefaler SOC-optimering ikke nogen ændringer i indtagelsen.
Ubenyttede kolonner (prøveversion)
SOC-optimering flader også ubrugte kolonner i tabellerne. I følgende tabel vises de tilgængelige typer kolonner, der er tilgængelige for SOC-optimeringsanbefalinger:
| Type observation | Handling |
|---|---|
| Kolonnen ConditionalAccessPolicies i tabellen SignInLogs eller tabellen AADNonInteractiveUserSignInLogs er ikke i brug. | Stop dataindtagelse for kolonnen. |
Vigtigt!
Når du foretager ændringer i planer for indtagelse, anbefaler vi, at du altid sikrer, at grænserne for dine planer for indtagelse er tydelige, og at de berørte tabeller ikke indtages af hensyn til overholdelse af angivne standarder eller andre lignende årsager.
Anbefalinger til dækningsbaseret optimering
Anbefalinger til dækningsbaseret optimering hjælper dig med at lukke dækningshuller i forhold til specifikke trusler eller scenarier, der kan føre til forretningsrisici og økonomiske tab.
Anbefalinger til trusselsbaseret optimering
For at optimere dataværdien anbefaler SOC-optimering, at du føjer sikkerhedskontrolelementer til dit miljø i form af ekstra registreringer og datakilder ved hjælp af en trusselsbaseret tilgang. Denne optimeringstype kaldes også dækningsoptimering og er baseret på Microsofts sikkerhedsundersøgelser.
SOC-optimering giver trusselsbaserede anbefalinger ved at analysere dine indtagede logge og aktiverede analyseregler og derefter sammenligne dem med de logge og registreringer, der er nødvendige for at håndtere bestemte typer angreb.
Trusselsbaserede optimeringer overvejer både foruddefinerede og brugerdefinerede registreringer.
I følgende tabel vises de tilgængelige typer trusselsbaserede SOC-optimeringsanbefalinger:
| Type observation | Handling |
|---|---|
| Der er datakilder, men registreringer mangler. | Aktivér skabeloner til analyseregel baseret på truslen: Opret en regel ved hjælp af en skabelon til analyseregel, og juster navnet, beskrivelsen og forespørgselslogikken, så den passer til dit miljø. Du kan få flere oplysninger under Trusselsregistrering i Microsoft Sentinel. |
| Skabeloner er slået til, men datakilder mangler. | Opret forbindelse til nye datakilder. |
| Der er ingen eksisterende registreringer eller datakilder. | Opret forbindelse til registreringer og datakilder, eller installér en løsning. |
AI MITRE ATT&anbefalinger til CK-mærkning (prøveversion)
AI MITRE ATT&CK Tagging-funktionen bruger kunstig intelligens til automatisk at mærke sikkerhedsregistreringer. AI-modellen kører på kundens arbejdsområde for at oprette anbefalinger til mærkning af umarkerede registreringer med relevante MITRE ATT-&CK-taktik og -teknikker.
Kunderne kan anvende disse anbefalinger for at sikre, at deres sikkerhedsdækning er grundig og præcis. Dette sikrer komplet og nøjagtig sikkerhedsdækning og forbedrer trusselsregistrering og svarfunktioner.
Dette er tre måder at anvende AI MITRE ATT&CK-tagginganbefalinger på:
- Anvend anbefalingen på en bestemt analyseregel.
- Anvend anbefalingen på alle analyseregler i arbejdsområdet.
- Anvend ikke anbefalingen på nogen analyseregler.
Anbefalinger til risikobaseret optimering (prøveversion)
Risikobaserede optimeringer omfatter sikkerhedsscenarier i den virkelige verden med et sæt forretningsrisici, der er knyttet til dem, herunder driftsrelaterede, finansielle, omdømmemæssige, overholdelses- og juridiske risici. Anbefalingerne er baseret på den Microsoft Sentinel risikobaserede tilgang til sikkerhed.
For at give risikobaserede anbefalinger kigger SOC-optimering på dine overtagne logge og analyseregler og sammenligner dem med de logge og registreringer, der kræves for at beskytte, registrere og reagere på bestemte typer angreb, der kan forårsage forretningsrisici. Optimeringer af risikobaserede anbefalinger overvejer både foruddefinerede og brugerdefinerede registreringer.
I følgende tabel vises de tilgængelige typer af risikobaserede SOC-optimeringsanbefalinger:
| Type observation | Handling |
|---|---|
| Der er datakilder, men registreringer mangler. | Slå skabeloner til analyseregel baseret på forretningsrisici: Opret en regel ved hjælp af en skabelon til analyseregel, og juster navnet, beskrivelsen og forespørgselslogikken, så den passer til dit miljø. |
| Skabeloner er slået til, men datakilder mangler. | Opret forbindelse til nye datakilder. |
| Der er ingen eksisterende registreringer eller datakilder. | Opret forbindelse til registreringer og datakilder, eller installér en løsning. |
Lignende organisationsanbefalinger
SOC-optimering bruger avanceret maskinel indlæring til at identificere tabeller, der mangler i dit arbejdsområde, men som bruges af organisationer med lignende indtagelsestendenser og brancheprofiler. Den viser, hvordan andre organisationer bruger disse tabeller og anbefaler de relevante datakilder sammen med relaterede regler for at forbedre din sikkerhedsdækning.
| Type observation | Handling |
|---|---|
| Logkilder, der indtages af lignende kunder, mangler | Opret forbindelse til de foreslåede datakilder. Denne anbefaling omfatter ikke:
|
Overvejelser
Et arbejdsområde modtager kun lignende organisationsanbefalinger, hvis modellen til maskinel indlæring identificerer væsentlige ligheder med andre organisationer og registrerer tabeller, som de har, men du ikke har. SOC'er i deres tidlige faser eller onboardingfaser er mere tilbøjelige til at modtage disse anbefalinger end soc'er med et højere niveau af modenhed. Det er ikke alle arbejdsområder, der får lignende organisationsanbefalinger.
Modellerne til maskinel indlæring får aldrig adgang til eller analyserer indholdet af kundelogge eller indtager dem på noget tidspunkt. Ingen kundedata, indhold eller personoplysninger (EUII) er eksponeret for analysen. Anbefalinger er baseret på modeller til maskinel indlæring, der udelukkende er afhængige af OII (Organisationsidentificerbare oplysninger) og systemmetadata.
Relateret indhold
- Brug af SOC-optimeringer programmatisk (prøveversion)
- Blog: SOC-optimering: Lås op for styrken ved præcisionsdrevet sikkerhedsstyring