Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Använd rekommendationer för SOC-optimering för att minska täckningsluckorna mot specifika hot och öka inmatningshastigheten mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel arbetsyta, utan att soc-teamen lägger tid på manuell analys och forskning.
Microsoft Sentinel SOC-optimeringar omfattar följande typer av rekommendationer:
Rekommendationer för datavärde föreslår sätt att förbättra dataanvändningen, till exempel en bättre dataplan för din organisation.
Täckningsbaserade rekommendationer föreslår att du lägger till kontroller för att förhindra täckningsluckor som kan leda till sårbarheter i attacker eller scenarier som kan leda till ekonomisk förlust. Täckningsrekommendationer omfattar:
- Hotbaserade rekommendationer: Rekommenderar att du lägger till säkerhetskontroller som hjälper dig att identifiera täckningsluckor för att förhindra attacker och sårbarheter.
- AI MITRE ATT&CK-taggningsrekommendationer (förhandsversion): Använder artificiell intelligens för att föreslå taggning av säkerhetsidentifieringar med MITRE ATT&CK-taktiker och tekniker.
- Riskbaserade rekommendationer (förhandsversion): Rekommenderar att du implementerar kontroller för att åtgärda täckningsluckor som är kopplade till användningsfall som kan leda till affärsrisker eller ekonomiska förluster, inklusive operativa, finansiella, ryktesmässiga, efterlevnads- och juridiska risker.
Liknande organisationers rekommendationer föreslår att data matas in från de typer av källor som används av organisationer som har liknande inmatningstrender och branschprofiler som dina.
Den här artikeln innehåller en detaljerad referens till de typer av SOC-optimeringsrekommendationer som är tillgängliga.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
Rekommendationer för optimering av datavärde
För att optimera förhållandet mellan kostnads-/säkerhetsvärde använder SOC-optimeringen knappast dataanslutningar eller tabeller. SOC-optimering föreslår sätt att antingen minska kostnaden för en tabell eller förbättra dess värde, beroende på din täckning. Den här typen av optimering kallas även för datavärdesoptimering.
Datavärdeoptimeringar tittar bara på fakturerbara tabeller som matat in data under de senaste 30 dagarna.
I följande tabell visas de tillgängliga typerna av rekommendationer för SOC-optimering av datavärde:
| Typ av observation | Åtgärd |
|---|---|
| Tabellen användes inte av analysregler eller identifieringar under de senaste 30 dagarna, utan användes av andra källor, till exempel arbetsböcker, loggfrågor, jaktfrågor. | Aktivera mallar för analysregler ELLER Flytta tabellen till en grundläggande loggplan om tabellen är berättigad. |
| Tabellen användes inte alls under de senaste 30 dagarna. | Aktivera mallar för analysregler ELLER Stoppa datainmatningen och ta bort tabellen eller flytta tabellen till långsiktig kvarhållning. |
| Tabellen användes endast av Azure Monitor. | Aktivera relevanta analysregelmallar för tabeller med säkerhetsvärde ELLER Flytta till en Log Analytics-arbetsyta utan säkerhet. |
Om en tabell väljs för UEBA eller en matchande analysregel för hotinformation rekommenderar SOC-optimering inte några ändringar i inmatningen.
Oanvända kolumner (förhandsversion)
SOC-optimeringen innehåller även oanvända kolumner i dina tabeller. I följande tabell visas tillgängliga typer av kolumner som är tillgängliga för SOC-optimeringsrekommendationer:
| Typ av observation | Åtgärd |
|---|---|
| Kolumnen ConditionalAccessPolicies i tabellen SignInLogs eller tabellen AADNonInteractiveUserSignInLogs används inte. | Stoppa datainmatning för kolumnen. |
Viktigt
När du gör ändringar i inmatningsplaner rekommenderar vi att du alltid ser till att gränserna för dina inmatningsplaner är tydliga och att de berörda tabellerna inte matas in av kompatibilitetsskäl eller andra liknande orsaker.
Rekommendationer för täckningsbaserad optimering
Rekommendationer för täckningsbaserad optimering hjälper dig att minska täckningsluckorna mot specifika hot eller scenarier som kan leda till affärsrisker och ekonomisk förlust.
Rekommendationer för hotbaserad optimering
För att optimera datavärdet rekommenderar SOC-optimering att du lägger till säkerhetskontroller i din miljö i form av extra identifieringar och datakällor med hjälp av en hotbaserad metod. Den här optimeringstypen kallas även för täckningsoptimering och baseras på Microsofts säkerhetsforskning.
SOC-optimering ger hotbaserade rekommendationer genom att analysera dina inmatade loggar och aktiverade analysregler och sedan jämföra dem med de loggar och identifieringar som behövs för att hantera specifika typer av attacker.
Hotbaserade optimeringar beaktar både fördefinierade och användardefinierade identifieringar.
I följande tabell visas tillgängliga typer av rekommendationer för hotbaserad SOC-optimering:
| Typ av observation | Åtgärd |
|---|---|
| Det finns datakällor, men identifieringar saknas. | Aktivera analysregelmallar baserat på hotet: Skapa en regel med hjälp av en analysregelmall och justera namn, beskrivning och frågelogik så att den passar din miljö. Mer information finns i Hotidentifiering i Microsoft Sentinel. |
| Mallar är aktiverade, men datakällor saknas. | Anslut nya datakällor. |
| Det finns inga befintliga identifieringar eller datakällor. | Anslut identifieringar och datakällor eller installera en lösning. |
AI MITRE ATT&CK-taggningsrekommendationer (förhandsversion)
FUNKTIONEN AI MITRE ATT&CK-taggning använder artificiell intelligens för att automatiskt tagga säkerhetsidentifieringar. AI-modellen körs på kundens arbetsyta för att skapa taggningsrekommendationer för otaggade identifieringar med relevanta MITRE ATT-&CK-taktiker och tekniker.
Kunder kan använda dessa rekommendationer för att säkerställa att deras säkerhetstäckning är grundlig och exakt. Detta säkerställer fullständig och korrekt säkerhetstäckning, vilket förbättrar funktionerna för hotidentifiering och svar.
Det här är tre sätt att tillämpa rekommendationer för AI MITRE ATT&CK-taggning:
- Tillämpa rekommendationen på en specifik analysregel.
- Tillämpa rekommendationen på alla analysregler på arbetsytan.
- Tillämpa inte rekommendationen på några analysregler.
Riskbaserade optimeringsrekommendationer (förhandsversion)
Riskbaserade optimeringar beaktar verkliga säkerhetsscenarier med en uppsättning affärsrisker som är associerade med dem, inklusive operativa, finansiella, ryktesmässiga, efterlevnads- och juridiska risker. Rekommendationerna baseras på den Microsoft Sentinel riskbaserade säkerhetsmetoden.
För att ge riskbaserade rekommendationer tittar SOC-optimeringen på dina inmatade loggar och analysregler och jämför dem med de loggar och identifieringar som krävs för att skydda, identifiera och svara på specifika typer av attacker som kan orsaka affärsrisker. Riskbaserade rekommendationer optimeringar överväga både fördefinierade och användardefinierade identifieringar.
I följande tabell visas tillgängliga typer av riskbaserade SOC-optimeringsrekommendationer:
| Typ av observation | Åtgärd |
|---|---|
| Det finns datakällor, men identifieringar saknas. | Aktivera analysregelmallar baserat på affärsrisker: Skapa en regel med hjälp av en analysregelmall och justera namn, beskrivning och frågelogik så att den passar din miljö. |
| Mallar är aktiverade, men datakällor saknas. | Anslut nya datakällor. |
| Det finns inga befintliga identifieringar eller datakällor. | Anslut identifieringar och datakällor eller installera en lösning. |
Rekommendationer för liknande organisationer
SOC-optimering använder avancerad maskininlärning för att identifiera tabeller som saknas på din arbetsyta, men som används av organisationer med liknande inmatningstrender och branschprofiler. Den visar hur andra organisationer använder dessa tabeller och rekommenderar relevanta datakällor, tillsammans med relaterade regler, för att förbättra din säkerhetstäckning.
| Typ av observation | Åtgärd |
|---|---|
| Loggkällor som matas in av liknande kunder saknas | Anslut de föreslagna datakällorna. Den här rekommendationen omfattar inte:
|
Överväganden
En arbetsyta får bara liknande organisationsrekommendationer om maskininlärningsmodellen identifierar betydande likheter med andra organisationer och identifierar tabeller som de har men inte du. Socs i sina tidiga eller onboarding faser är mer benägna att få dessa rekommendationer än SOCs med en högre mognadsnivå. Alla arbetsytor får inte liknande organisationsrekommendationer.
Maskininlärningsmodellerna kommer aldrig åt eller analyserar innehållet i kundloggar eller matar in dem när som helst. Inga kunddata, innehåll eller personuppgifter (EUII) exponeras för analysen. Rekommendationerna baseras på maskininlärningsmodeller som enbart förlitar sig på organisations identifierbar information (OII) och systemmetadata.
Relaterat innehåll
- Använda SOC-optimeringar programmatiskt (förhandsversion)
- Blogg: SOC-optimering: frigör kraften i precisionsdriven säkerhetshantering