Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use recomendaciones de optimización de SOC para ayudarle a cerrar las brechas de cobertura frente a amenazas específicas y a reforzar las tasas de ingesta con respecto a los datos que no proporcionan valor de seguridad. Las optimizaciones de SOC le ayudan a optimizar el área de trabajo de Microsoft Sentinel, sin que los equipos de SOC dediquen tiempo a realizar análisis e investigaciones manuales.
Microsoft Sentinel optimizaciones de SOC incluyen los siguientes tipos de recomendaciones:
Las recomendaciones de valor de datos sugieren formas de mejorar el uso de los datos, como un mejor plan de datos para su organización.
Las recomendaciones basadas en cobertura sugieren agregar controles para evitar brechas de cobertura que puedan dar lugar a vulnerabilidades a ataques o escenarios que puedan provocar pérdidas financieras. Las recomendaciones de cobertura incluyen:
- Recomendaciones basadas en amenazas: recomienda agregar controles de seguridad que le ayuden a detectar brechas de cobertura para evitar ataques y vulnerabilidades.
- Recomendaciones de etiquetado de AI MITRE ATT&CK (versión preliminar): usa inteligencia artificial para sugerir el etiquetado de detecciones de seguridad con técnicas y tácticas de ATT de MITRE&CK.
- Recomendaciones basadas en riesgos (versión preliminar): recomienda implementar controles para abordar las brechas de cobertura vinculadas a casos de uso que pueden dar lugar a riesgos empresariales o pérdidas financieras, incluidos los riesgos operativos, financieros, reputacionales, de cumplimiento y legales.
Recomendaciones de organizaciones similares sugieren ingerir datos de los tipos de orígenes que usan las organizaciones que tienen tendencias de ingesta y perfiles del sector similares a los suyos.
En este artículo se proporciona una referencia detallada de los tipos de recomendaciones de optimización de SOC disponibles.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Recomendaciones de optimización de valores de datos
Para optimizar la relación entre costo y valor de seguridad, las superficies de optimización de SOC apenas usan tablas o conectores de datos. La optimización de SOC sugiere formas de reducir el costo de una tabla o mejorar su valor, en función de la cobertura. Este tipo de optimización también se denomina optimización de valores de datos.
Las optimizaciones de valor de datos solo examinan las tablas facturables que ingerieron datos en los últimos 30 días.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC de valor de datos:
| Tipo de observación | Acción |
|---|---|
| Las reglas de análisis o las detecciones no usaron la tabla en los últimos 30 días, pero la usaron otros orígenes, como libros, consultas de registro y consultas de búsqueda. | Activar plantillas de regla de análisis OR Mueva la tabla a un plan de registros básico si la tabla es apta. |
| La tabla no se usó en absoluto en los últimos 30 días. | Activar plantillas de regla de análisis OR Detenga la ingesta de datos y quite la tabla o mueva la tabla a la retención a largo plazo. |
| La tabla solo la usó Azure Monitor. | Activar las plantillas de regla de análisis pertinentes para tablas con valor de seguridad OR Vaya a un área de trabajo de Log Analytics que no es de seguridad. |
Si se elige una tabla para UEBA o una regla de análisis de coincidencia de inteligencia sobre amenazas, la optimización de SOC no recomienda ningún cambio en la ingesta.
Columnas sin usar (versión preliminar)
La optimización de SOC también expone columnas sin usar en las tablas. En la tabla siguiente se enumeran los tipos de columnas disponibles para las recomendaciones de optimización de SOC:
| Tipo de observación | Acción |
|---|---|
| La columna ConditionalAccessPolicies de la tabla SignInLogs o la tabla AADNonInteractiveUserSignInLogs no está en uso. | Detenga la ingesta de datos para la columna. |
Importante
Al realizar cambios en los planes de ingesta, se recomienda asegurarse siempre de que los límites de los planes de ingesta sean claros y de que las tablas afectadas no se ingieren por cumplimiento u otras razones similares.
Recomendaciones de optimización basada en cobertura
Las recomendaciones de optimización basadas en cobertura le ayudan a cerrar las brechas de cobertura frente a amenazas específicas o a escenarios que pueden conducir a riesgos empresariales y pérdidas financieras.
Recomendaciones de optimización basada en amenazas
Para optimizar el valor de los datos, la optimización de SOC recomienda agregar controles de seguridad al entorno en forma de detecciones y orígenes de datos adicionales, mediante un enfoque basado en amenazas. Este tipo de optimización también se conoce como optimización de cobertura y se basa en la investigación de seguridad de Microsoft.
La optimización de SOC proporciona recomendaciones basadas en amenazas mediante el análisis de los registros ingeridos y las reglas de análisis habilitadas y, a continuación, compararlas con los registros y detecciones necesarios para abordar tipos específicos de ataques.
Las optimizaciones basadas en amenazas consideran detecciones predefinidas y definidas por el usuario.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC basadas en amenazas:
| Tipo de observación | Acción |
|---|---|
| Hay orígenes de datos, pero faltan detecciones. | Activar plantillas de regla de análisis basadas en la amenaza: cree una regla mediante una plantilla de regla de análisis y ajuste el nombre, la descripción y la lógica de consulta para que se adapten a su entorno. Para obtener más información, consulte Detección de amenazas en Microsoft Sentinel. |
| Las plantillas están activadas, pero faltan orígenes de datos. | Conectar nuevos orígenes de datos. |
| No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Recomendaciones de etiquetado de AI MITRE ATT&CK (versión preliminar)
La característica de etiquetado de AI MITRE ATT&CK usa inteligencia artificial para etiquetar automáticamente las detecciones de seguridad. El modelo de inteligencia artificial se ejecuta en el área de trabajo del cliente para crear recomendaciones de etiquetado para las detecciones sin etiquetar con técnicas y tácticas pertinentes de ATT de MITRE&CK.
Los clientes pueden aplicar estas recomendaciones para garantizar que su cobertura de seguridad sea exhaustiva y precisa. Esto garantiza una cobertura de seguridad completa y precisa, lo que mejora las capacidades de detección y respuesta de amenazas.
Estas son 3 maneras de aplicar las recomendaciones de etiquetado de AI MITRE ATT&CK:
- Aplique la recomendación a una regla de análisis específica.
- Aplique la recomendación a todas las reglas de análisis del área de trabajo.
- No aplique la recomendación a ninguna regla de análisis.
Recomendaciones de optimización basada en riesgos (versión preliminar)
Las optimizaciones basadas en riesgos consideran escenarios de seguridad del mundo real con un conjunto de riesgos empresariales asociados, incluidos los riesgos operativos, financieros, reputacionales, de cumplimiento y legales. Las recomendaciones se basan en el enfoque de seguridad basado en riesgos Microsoft Sentinel.
Para proporcionar recomendaciones basadas en riesgos, la optimización de SOC examina los registros ingeridos y las reglas de análisis, y los compara con los registros y detecciones necesarios para proteger, detectar y responder a tipos específicos de ataques que pueden causar riesgos empresariales. Las optimizaciones de recomendaciones basadas en riesgos consideran detecciones predefinidas y definidas por el usuario.
En la tabla siguiente se enumeran los tipos disponibles de recomendaciones de optimización de SOC basadas en riesgos:
| Tipo de observación | Acción |
|---|---|
| Hay orígenes de datos, pero faltan detecciones. | Active las plantillas de regla de análisis en función de los riesgos empresariales: cree una regla mediante una plantilla de regla de análisis y ajuste el nombre, la descripción y la lógica de consulta para que se adapten a su entorno. |
| Las plantillas están activadas, pero faltan orígenes de datos. | Conectar nuevos orígenes de datos. |
| No hay detecciones ni orígenes de datos existentes. | Conecte detecciones y orígenes de datos o instale una solución. |
Recomendaciones de organizaciones similares
La optimización de SOC usa el aprendizaje automático avanzado para identificar las tablas que faltan en el área de trabajo, pero las usan organizaciones con tendencias de ingesta y perfiles del sector similares. Muestra cómo otras organizaciones usan estas tablas y recomienda los orígenes de datos pertinentes, junto con las reglas relacionadas, para mejorar la cobertura de seguridad.
| Tipo de observación | Acción |
|---|---|
| Faltan los orígenes de registro ingeridos por clientes similares | Conecte los orígenes de datos sugeridos. Esta recomendación no incluye:
|
Consideraciones
Un área de trabajo solo recibe recomendaciones de organización similares si el modelo de aprendizaje automático identifica similitudes significativas con otras organizaciones y detecta tablas que tienen, pero no lo hace. Los SOC en sus fases iniciales o de incorporación tienen más probabilidades de recibir estas recomendaciones que los SOC con un mayor nivel de madurez. No todas las áreas de trabajo reciben recomendaciones de organizaciones similares.
Los modelos de aprendizaje automático nunca acceden ni analizan el contenido de los registros de clientes ni los ingieren en ningún momento. No se expone ningún dato de cliente, contenido o datos personales (EUII) al análisis. Las recomendaciones se basan en modelos de aprendizaje automático que se basan únicamente en información de identificación organizativa (OII) y metadatos del sistema.
Contenido relacionado
- Uso de optimizaciones de SOC mediante programación (versión preliminar)
- Blog: Optimización de SOC: desbloquear la eficacia de la administración de seguridad controlada por precisión