Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Utilisez les recommandations d’optimisation SOC pour vous aider à combler les écarts de couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion par rapport aux données qui ne fournissent pas de valeur de sécurité. Les optimisations SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à l’analyse et à la recherche manuelles.
Microsoft Sentinel optimisations SOC incluent les types de recommandations suivants :
Les recommandations relatives à la valeur des données suggèrent des moyens d’améliorer votre utilisation des données, par exemple un meilleur plan de données pour vos organization.
Les recommandations basées sur la couverture suggèrent d’ajouter des contrôles pour éviter les écarts de couverture qui peuvent entraîner une vulnérabilité aux attaques ou aux scénarios pouvant entraîner des pertes financières. Les recommandations de couverture sont les suivantes :
- Recommandations basées sur les menaces : recommande l’ajout de contrôles de sécurité qui vous aident à détecter les lacunes de couverture pour prévenir les attaques et les vulnérabilités.
- AI MITRE ATT&recommandations de balisage CK (préversion) : utilise l’intelligence artificielle pour suggérer des détections de sécurité avec mitre ATT&tactiques et techniques CK.
- Recommandations basées sur les risques (préversion) : recommande la mise en œuvre de contrôles pour combler les lacunes de couverture liées aux cas d’usage susceptibles d’entraîner des risques métier ou des pertes financières, notamment des risques opérationnels, financiers, de réputation, de conformité et juridiques.
Les recommandations d’organisations similaires suggèrent d’ingérer des données à partir des types de sources utilisés par les organisations qui ont des tendances d’ingestion et des profils de secteur similaires aux vôtres.
Cet article fournit une référence détaillée des types de recommandations d’optimisation SOC disponibles.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Recommandations relatives à l’optimisation de la valeur des données
Pour optimiser votre rapport coût/valeur de sécurité, l’optimisation SOC fait apparaître des connecteurs de données ou des tables à peine utilisés. L’optimisation SOC suggère des moyens de réduire le coût d’une table ou d’améliorer sa valeur, en fonction de votre couverture. Ce type d’optimisation est également appelé optimisation de la valeur des données.
Les optimisations de la valeur des données examinent uniquement les tables facturables qui ont ingéré des données au cours des 30 derniers jours.
Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC de valeur de données :
| Type d’observation | Action |
|---|---|
| La table n’a pas été utilisée par les règles d’analyse ou les détections au cours des 30 derniers jours, mais a été utilisée par d’autres sources, telles que des classeurs, des requêtes de journal, des requêtes de repérage. | Activer les modèles de règles d’analytique OR Déplacez la table vers un plan de journaux de base si la table est éligible. |
| La table n’a pas été utilisée du tout au cours des 30 derniers jours. | Activer les modèles de règles d’analytique OR Arrêtez l’ingestion des données et supprimez la table ou déplacez-la vers une conservation à long terme. |
| La table a été utilisée uniquement par Azure Monitor. | Activer les modèles de règles d’analyse pertinents pour les tables avec une valeur de sécurité OR Accédez à un espace de travail Log Analytics non sécuritaire. |
Si une table est choisie pour UEBA ou une règle d’analyse de correspondance de renseignement sur les menaces, l’optimisation SOC ne recommande aucune modification dans l’ingestion.
Colonnes inutilisées (préversion)
L’optimisation SOC expose également les colonnes inutilisées dans vos tables. Le tableau suivant répertorie les types de colonnes disponibles pour les recommandations d’optimisation SOC :
| Type d’observation | Action |
|---|---|
| La colonne ConditionalAccessPolicies de la table SignInLogs ou de la table AADNonInteractiveUserSignInLogs n’est pas utilisée. | Arrêtez l’ingestion des données pour la colonne. |
Importante
Lorsque vous apportez des modifications aux plans d’ingestion, nous vous recommandons de toujours vous assurer que les limites de vos plans d’ingestion sont claires et que les tables concernées ne sont pas ingérées pour des raisons de conformité ou d’autres raisons similaires.
Recommandations d’optimisation basée sur la couverture
Les recommandations d’optimisation basées sur la couverture vous aident à combler les écarts de couverture contre des menaces spécifiques ou des scénarios susceptibles d’entraîner des risques métier et des pertes financières.
Recommandations d’optimisation basées sur les menaces
Pour optimiser la valeur des données, l’optimisation SOC recommande d’ajouter des contrôles de sécurité à votre environnement sous la forme de détections et de sources de données supplémentaires, à l’aide d’une approche basée sur les menaces. Ce type d’optimisation est également connu sous le nom d’optimisation de la couverture et est basé sur les recherches de sécurité de Microsoft.
L’optimisation SOC fournit des recommandations basées sur les menaces en analysant vos journaux d’activité ingérés et les règles d’analyse activées, puis en les comparant aux journaux et aux détections nécessaires pour traiter des types d’attaques spécifiques.
Les optimisations basées sur les menaces prennent en compte les détections prédéfinies et définies par l’utilisateur.
Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC basées sur les menaces :
| Type d’observation | Action |
|---|---|
| Il existe des sources de données, mais des détections sont manquantes. | Activer les modèles de règles d’analyse en fonction de la menace : créez une règle à l’aide d’un modèle de règle d’analyse, puis ajustez le nom, la description et la logique de requête en fonction de votre environnement. Pour plus d’informations, consultez Détection des menaces dans Microsoft Sentinel. |
| Les modèles sont activés, mais les sources de données sont manquantes. | Connecter de nouvelles sources de données. |
| Il n’existe aucune détection ou source de données. | Connecter des détections et des sources de données ou installer une solution. |
Ai MITRE ATT&recommandations de balisage CK (préversion)
La fonctionnalité AI MITRE ATT&CK Tagging utilise l’intelligence artificielle pour étiqueter automatiquement les détections de sécurité. Le modèle IA s’exécute sur l’espace de travail du client pour créer des recommandations d’étiquetage pour les détections non étiquetées avec la tactique et les techniques MITRE ATT&CK pertinentes.
Les clients peuvent appliquer ces recommandations pour s’assurer que leur couverture de sécurité est complète et précise. Cela garantit une couverture de sécurité complète et précise, ce qui améliore les fonctionnalités de détection et de réponse aux menaces.
Voici 3 façons d’appliquer les recommandations de balisage MITRE ATT&CK ai :
- Appliquez la recommandation à une règle d’analyse spécifique.
- Appliquez la recommandation à toutes les règles d’analyse dans l’espace de travail.
- N’appliquez pas la recommandation à des règles d’analyse.
Recommandations d’optimisation basée sur les risques (préversion)
Les optimisations basées sur les risques prennent en compte des scénarios de sécurité réels avec un ensemble de risques métier associés, notamment les risques opérationnels, financiers, réputationnels, de conformité et juridiques. Les recommandations sont basées sur l’approche de sécurité Microsoft Sentinel basée sur les risques.
Pour fournir des recommandations basées sur les risques, l’optimisation SOC examine vos journaux d’activité ingérés et vos règles d’analyse, et les compare aux journaux et aux détections nécessaires pour protéger, détecter et répondre à des types spécifiques d’attaques susceptibles d’entraîner des risques métier. Les optimisations de recommandations basées sur les risques prennent en compte les détections prédéfinies et définies par l’utilisateur.
Le tableau suivant répertorie les types disponibles de recommandations d’optimisation SOC basées sur les risques :
| Type d’observation | Action |
|---|---|
| Il existe des sources de données, mais des détections sont manquantes. | Activer les modèles de règle d’analyse en fonction des risques métier : créez une règle à l’aide d’un modèle de règle d’analyse et ajustez le nom, la description et la logique de requête en fonction de votre environnement. |
| Les modèles sont activés, mais les sources de données sont manquantes. | Connecter de nouvelles sources de données. |
| Il n’existe aucune détection ou source de données. | Connecter des détections et des sources de données ou installer une solution. |
Recommandations d’organisations similaires
L’optimisation SOC utilise le Machine Learning avancé pour identifier les tables qui sont manquantes dans votre espace de travail, mais qui sont utilisées par les organisations avec des tendances d’ingestion et des profils de secteur similaires. Il montre comment d’autres organisations utilisent ces tables et recommande les sources de données pertinentes, ainsi que les règles associées, pour améliorer votre couverture de sécurité.
| Type d’observation | Action |
|---|---|
| Les sources de journaux ingérées par des clients similaires sont manquantes | Connectez les sources de données suggérées. Cette recommandation n’inclut pas :
|
Considérations
Un espace de travail reçoit des recommandations de organization similaires uniquement si le modèle Machine Learning identifie des similitudes significatives avec d’autres organisations et découvre des tables qu’elles ont, mais pas vous. Les SOC dans leurs phases précoces ou d’intégration sont plus susceptibles de recevoir ces recommandations que les CS avec un niveau de maturité plus élevé. Les espaces de travail ne reçoivent pas tous des recommandations d’organisations similaires.
Les modèles Machine Learning n’accèdent ni n’analysent le contenu des journaux des clients, ni ne les ingèrent à aucun moment. Aucune donnée client, contenu ou données personnelles (EUII) n’est exposée à l’analyse. Les recommandations sont basées sur des modèles Machine Learning qui s’appuient uniquement sur les informations d’identification organisationnelles (OII) et les métadonnées système.
Contenu connexe
- Utilisation des optimisations SOC par programmation (préversion)
- Blog : Optimisation soc : libérer la puissance de la gestion de la sécurité basée sur la précision