Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Usare i consigli per l'ottimizzazione SOC per ridurre i gap di copertura contro minacce specifiche e limitare i tassi di inserimento dati che non forniscono valore per la sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro di Microsoft Sentinel, senza dedicare tempo ai team SOC per l'analisi manuale e la ricerca.
Le ottimizzazioni SOC di Microsoft Sentinel includono i tipi di raccomandazioni seguenti:
I consigli sui valori dei dati suggeriscono modi per migliorare l'uso dei dati, ad esempio un piano dati migliore per l'organizzazione.
Le raccomandazioni basate sulla copertura suggeriscono di aggiungere controlli per evitare gap di copertura che possono causare vulnerabilità ad attacchi o scenari che possono causare perdite finanziarie. Le raccomandazioni di copertura includono:
- Raccomandazioni basate sulle minacce: consiglia di aggiungere controlli di sicurezza che consentono di rilevare gap di copertura per evitare attacchi e vulnerabilità.
- Ai MITRE ATT&CK tagging recommendations (Preview): usa l'intelligenza artificiale per suggerire l'assegnazione di tag ai rilevamenti di sicurezza con tattiche e tecniche MITRE ATT&CK.
- Raccomandazioni basate sui rischi (anteprima): consiglia di implementare controlli per risolvere i gap di copertura collegati ai casi d'uso che possono comportare rischi aziendali o perdite finanziarie, inclusi rischi operativi, finanziari, reputazione, conformità e rischi legali.
Le raccomandazioni di organizzazioni simili suggeriscono l'inserimento di dati dai tipi di origini usate dalle organizzazioni con tendenze di inserimento e profili di settore simili ai propri.
Questo articolo fornisce un riferimento dettagliato ai tipi di raccomandazioni di ottimizzazione SOC disponibili.
Importante
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, Microsoft Sentinel sarà supportato solo nel portale di Defender e tutti i clienti rimanenti che usano il portale di Azure verranno reindirizzati automaticamente.
È consigliabile che tutti i clienti che usano Microsoft Sentinel in Azure inizino a pianificare la transizione al portale di Defender per l'esperienza completa delle operazioni di sicurezza unificata offerte da Microsoft Defender. Per altre informazioni, vedere Pianificazione del passaggio al portale di Microsoft Defender per tutti i clienti di Microsoft Sentinel.
Raccomandazioni per l'ottimizzazione dei valori dei dati
Per ottimizzare il rapporto dei valori di costo/sicurezza, l'ottimizzazione SOC non usa connettori dati o tabelle. L'ottimizzazione SOC suggerisce modi per ridurre il costo di una tabella o migliorarne il valore, a seconda della copertura. Questo tipo di ottimizzazione è detto anche ottimizzazione dei valori dei dati.
Le ottimizzazioni dei valori dei dati esaminano solo le tabelle fatturabili che hanno inserito i dati negli ultimi 30 giorni.
Nella tabella seguente sono elencati i tipi disponibili di ottimizzazione SOC per i valori di dati:
| Tipo di osservazione | Azione |
|---|---|
| La tabella non è stata usata dalle regole di analisi o dai rilevamenti negli ultimi 30 giorni, ma è stata usata da altre origini, ad esempio cartelle di lavoro, query di log, query di ricerca. | Attivare i modelli di regola di analisi OPPURE Spostare la tabella in un piano di log di base se la tabella è idonea. |
| La tabella non è stata usata affatto negli ultimi 30 giorni. | Attivare i modelli di regola di analisi OPPURE Arrestare l'inserimento dei dati e rimuovere la tabella o spostare la tabella in conservazione a lungo termine. |
| La tabella è stata usata solo da Monitoraggio di Azure. | Attivare qualsiasi modello di regola di analisi pertinente per le tabelle con valore di sicurezza OPPURE Passare a un'area di lavoro Log Analytics non di sicurezza. |
Se si seleziona una tabella per UEBA o una regola di analisi corrispondente all'intelligence per le minacce, l'ottimizzazione SOC non consiglia alcuna modifica nell'inserimento.
Colonne inutilizzate (anteprima)
L'ottimizzazione SOC espone anche le colonne inutilizzate nelle tabelle. La tabella seguente elenca i tipi di colonne disponibili per le raccomandazioni di ottimizzazione SOC:
| Tipo di osservazione | Azione |
|---|---|
| La colonna ConditionalAccessPolicies nella tabella SignInLogs o nella tabella AADNonInteractiveUserSignInLogs non è in uso. | Arrestare l'inserimento dati per la colonna. |
Importante
Quando si apportano modifiche ai piani di inserimento, è consigliabile assicurarsi sempre che i limiti dei piani di inserimento siano chiari e che le tabelle interessate non vengano inserite per motivi di conformità o altri motivi simili.
Raccomandazioni per l'ottimizzazione basata su copertura
Le raccomandazioni di ottimizzazione basate sulla copertura consentono di chiudere le lacune di copertura contro minacce specifiche o scenari che possono causare rischi aziendali e perdite finanziarie.
Raccomandazioni per l'ottimizzazione basata sulle minacce
Per ottimizzare il valore dei dati, l'ottimizzazione SOC consiglia di aggiungere controlli di sicurezza all'ambiente sotto forma di rilevamenti aggiuntivi e origini dati, usando un approccio basato sulle minacce. Questo tipo di ottimizzazione è noto anche come ottimizzazione della copertura ed è basato sulla ricerca sulla sicurezza di Microsoft.
L'ottimizzazione SOC fornisce raccomandazioni basate sulle minacce analizzando i log inseriti e le regole di analisi abilitate, confrontandoli con i log e i rilevamenti necessari per affrontare tipi specifici di attacchi.
Le ottimizzazioni basate sulle minacce considerano sia i rilevamenti predefiniti che definiti dall'utente.
La tabella seguente elenca i tipi disponibili di raccomandazioni di ottimizzazione SOC basate sulle minacce:
| Tipo di osservazione | Azione |
|---|---|
| Esistono origini dati, ma mancano rilevamenti. | Attivare i modelli di regola di analisi in base alla minaccia: creare una regola usando un modello di regola di analisi e modificare il nome, la descrizione e la logica di query in base all'ambiente. Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel. |
| I modelli sono attivati, ma mancano le origini dati. | Connettere nuove origini dati. |
| Non esistono rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
Raccomandazioni per l'assegnazione di tag AI MITRE ATT&CK (anteprima)
La funzionalità di assegnazione di tag AI MITRE ATT&CK usa l'intelligenza artificiale per contrassegnare automaticamente i rilevamenti di sicurezza. Il modello di intelligenza artificiale viene eseguito nell'area di lavoro del cliente per creare raccomandazioni di assegnazione di tag per i rilevamenti senza tag con tattiche e tecniche MITRE ATT&CK pertinenti.
I clienti possono applicare queste raccomandazioni per garantire che la copertura della sicurezza sia accurata e precisa. In questo modo si garantisce una copertura di sicurezza completa e accurata, migliorando le funzionalità di rilevamento e risposta delle minacce.
Questi sono 3 modi per applicare le raccomandazioni per l'assegnazione di tag AI MITRE ATT&CK:
- Applicare la raccomandazione a una regola di analisi specifica.
- Applicare la raccomandazione a tutte le regole di analisi nell'area di lavoro.
- Non applicare la raccomandazione ad alcuna regola di analisi.
Raccomandazioni per l'ottimizzazione basata sui rischi (anteprima)
Le ottimizzazioni basate sui rischi considerano scenari di sicurezza reali con un set di rischi aziendali associati, tra cui rischi operativi, finanziari, reputazione, conformità e legali. Le raccomandazioni si basano sull'approccio basato sui rischi di Microsoft Sentinel alla sicurezza.
Per fornire raccomandazioni basate sui rischi, l'ottimizzazione SOC esamina i log inseriti e le regole di analisi e li confronta con i log e i rilevamenti necessari per proteggere, rilevare e rispondere a tipi specifici di attacchi che possono causare rischi aziendali. Le ottimizzazioni basate sui rischi considerano sia i rilevamenti predefiniti che definiti dall'utente.
La tabella seguente elenca i tipi disponibili di raccomandazioni di ottimizzazione SOC basate sul rischio:
| Tipo di osservazione | Azione |
|---|---|
| Esistono origini dati, ma mancano rilevamenti. | Attivare i modelli di regola di analisi in base ai rischi aziendali: creare una regola usando un modello di regola di analisi e modificare il nome, la descrizione e la logica di query in base all'ambiente. |
| I modelli sono attivati, ma mancano le origini dati. | Connettere nuove origini dati. |
| Non esistono rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
Raccomandazioni di organizzazioni simili
L'ottimizzazione SOC usa l'apprendimento automatico avanzato per identificare le tabelle mancanti nell'area di lavoro, ma vengono usate dalle organizzazioni con tendenze di inserimento e profili di settore simili. Illustra in che modo altre organizzazioni usano queste tabelle e consigliano le origini dati pertinenti, insieme alle regole correlate, per migliorare la copertura della sicurezza.
| Tipo di osservazione | Azione |
|---|---|
| Mancano le origini di log inserite da clienti simili | Connettere le origini dati suggerite. Questa raccomandazione non include:
|
Considerazioni
Un'area di lavoro riceve raccomandazioni dell'organizzazione simili solo se il modello di Machine Learning identifica analogie significative con altre organizzazioni e individua le tabelle di cui dispongono, ma non lo si è. I SOC nelle fasi iniziali o di onboarding hanno maggiori probabilità di ricevere queste raccomandazioni rispetto ai SOC con un livello di maturità superiore. Non tutte le aree di lavoro ottengono raccomandazioni simili per le organizzazioni.
I modelli di Machine Learning non accedono mai o analizzano il contenuto dei log dei clienti o li inseriscono in qualsiasi momento. Nessun dato cliente, contenuto o dati personali (EUII) viene esposto all'analisi. Le raccomandazioni sono basate su modelli di Machine Learning che si basano esclusivamente sui metadati di sistema e sulle informazioni identificabili dell'organizzazione.
Contenuto correlato
- Uso delle ottimizzazioni SOC a livello di codice (anteprima)
- Blog: Ottimizzazione SOC: sbloccare la potenza della gestione della sicurezza basata sulla precisione