Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Команды центра безопасности (SOC) ищут способы улучшения процессов и результатов и обеспечивают наличие данных, необходимых для решения рисков без дополнительных затрат на прием. Команды SOC хотят убедиться, что у вас есть все необходимые данные для борьбы с рисками, не оплачивая больше данных, чем требуется. В то же время команды SOC также должны настраивать элементы управления безопасностью в качестве угроз и бизнес-приоритетов изменения, что делает это быстро и эффективно, чтобы максимально повысить рентабельность инвестиций.
Оптимизация SOC — это практические рекомендации, которые позволяют оптимизировать элементы управления безопасностью, получать большее значение от служб безопасности Майкрософт по мере того как время продолжается. Рекомендации помогут сократить затраты, не влияя на потребности или охват SOC, и помочь вам добавить элементы управления безопасностью и данные, где это необходимо. Эти оптимизации адаптированы к вашей среде и основаны на текущем охвате и ландшафте угроз.
Используйте рекомендации по оптимизации SOC, чтобы помочь вам закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не вынуждая группы по SOC тратить время на выполнение анализа и исследований в ручном режиме.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Просмотрите следующее видео, чтобы просмотреть обзор и демонстрацию оптимизации SOC на портале Microsoft Defender. Если вы просто хотите демонстрацию, перейдите к минуте 8:14.
Необходимые компоненты
Оптимизация SOC использует стандартные роли и разрешения Microsoft Sentinel. Дополнительные сведения см. в статье "Роли и разрешения" в Microsoft Sentinel.
Чтобы использовать оптимизацию SOC на портале Defender, перейдите на портал Microsoft Sentinel. Дополнительные сведения см. в разделе "Подключение Microsoft Sentinel" к порталу Microsoft Defender.
Доступ к странице оптимизации SOC
Используйте одну из следующих вкладок в зависимости от того, работаете ли вы на портале портал Azure или Defender. При подключении рабочей области к порталу Microsoft Defender оптимизация SOC обеспечивает защиту с использованием служб безопасности Майкрософт.
На портале Defender выберите оптимизацию SOC.
Общие сведения о метриках оптимизации SOC
Метрики оптимизации, отображаемые в верхней части вкладки "Обзор ", дают вам общее представление о том, насколько эффективно вы используете данные, и изменится с течением времени при реализации рекомендаций.
Поддерживаемые метрики в верхней части вкладки "Обзор " включают:
| Заголовок | Описание |
|---|---|
| Последнее значение оптимизации | Показывает значение, полученное на основе рекомендаций, которые вы недавно реализовали |
| Прием данных | Отображает общий объем данных, передаваемых в рабочую область за последние 90 дней. |
| Оптимизация покрытия на основе угроз | Отображает один из следующих индикаторов покрытия на основе количества правил аналитики, найденных в рабочей области, по сравнению с количеством правил, рекомендуемых исследовательской командой Майкрософт: - Высокий: активируются более 75% рекомендуемых правил - Средний: активированы 30%-74% рекомендуемых правил. - Низкий: 0%– 29% из рекомендуемых правил активированы. Выберите "Просмотреть все сценарии угроз" , чтобы просмотреть полный список соответствующих сценариев на основе угроз и рисков, активных и рекомендуемых обнаружений и уровней покрытия. Затем выберите сценарий угрозы для детализации для получения дополнительных сведений о рекомендации на отдельной странице сведений о сценарии угроз. |
| Состояние оптимизации | Показывает количество рекомендуемых оптимизаций, которые в настоящее время активны, завершены и отклонены. |
Просмотр рекомендаций по оптимизации и управление ими
На портале Defender рекомендации по оптимизации SOC перечислены в области " Оптимизация " на вкладке "Оптимизация SOC ".
Рекомендации по оптимизации SOC вычисляются каждые 24 часа. Каждая карточка оптимизации включает состояние, название, дату его создания, высокоуровневое описание и рабочую область, к ней относится.
Оптимизация фильтров
Отфильтруйте оптимизацию на основе типа оптимизации или выполните поиск определенного заголовка оптимизации с помощью поля поиска на стороне. Типы оптимизации включают:
-
Охват : включает рекомендации, которые помогут вам закрыть пробелы в охвате по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Рекомендации по охвату включают:
- Рекомендации по добавлению элементов управления безопасностью на основе угроз, которые помогают закрыть пробелы в охвате для различных типов атак.
- Рекомендации AI MITRE ATT&CK по добавлению тегов, которые помогают закрыть пробелы в охвате для различных типов атак на основе платформы MITRE ATT&CK.
- Рекомендации на основе рисков для добавления элементов управления безопасностью, помогающие закрыть пробелы в охвате для различных типов бизнес-рисков.
- Значение данных. Включает рекомендации, которые предлагают способы улучшения использования данных для максимизации ценности безопасности от приема данных или предложения лучшего плана данных для вашей организации.
Просмотр сведений о оптимизации и принятие действий
Выберите одну из следующих вкладок в зависимости от используемого портала:
На каждой карточке оптимизации выберите "Просмотреть сведения" , чтобы увидеть полное описание наблюдения, которое привело к рекомендации, и значение, которое отображается в вашей среде при реализации этой рекомендации.
Для оптимизации покрытия на основе угроз:
- Переключение между диаграммами-пауками, чтобы понять охват по различным тактикам и методам, основанным на определяемых пользователем и устаревших обнаружениях, активных в вашей среде.
- Выберите Просмотреть сценарий угроз в MITRE ATT&CK, чтобы перейти на страницу MITRE ATT&CK в Microsoft Sentinel, с предварительной фильтрацией для вашего сценария угрозы. Дополнительные сведения см. в статье [Общие сведения о охвате безопасности платформой MITRE ATT&CK®].
Прокрутите вниз до нижней части области сведений ссылку, в которой можно выполнить рекомендуемые действия. Например:
Если оптимизация содержит рекомендации по добавлению правил аналитики, выберите "Перейти в Центр содержимого".
Если оптимизация содержит рекомендации по перемещению таблицы в базовые журналы, выберите "Изменить план".
Для оптимизации покрытия на основе угроз выберите "Просмотреть полный сценарий угроз ", чтобы просмотреть полный список соответствующих угроз, активных и рекомендуемых обнаружений и уровней покрытия. С этого момента вы можете перейти непосредственно в центр содержимого , чтобы активировать любые рекомендуемые обнаружения, или на страницу MITRE ATT&CK , чтобы просмотреть полный охват MITRE ATT&CK для выбранного сценария. Например:
Если вы устанавливаете шаблон правила аналитики из концентратора контента без установленного решения, в решении отображается только установленный шаблон.
Установите полное решение, чтобы просмотреть все доступные элементы содержимого из выбранного решения. Дополнительные сведения см. в разделе "Обнаружение и управление содержимым Microsoft Sentinel из коробки".
Управление оптимизацией
По умолчанию состояния оптимизации являются активными. Измените их состояние по мере выполнения команд с помощью трех и реализации рекомендаций.
Выберите меню опций или выберите Просмотреть сведения, чтобы выполнить одно из следующих действий:
| Действие | Описание |
|---|---|
| Завершено | Выполните оптимизацию после завершения каждого рекомендуемого действия. Если в вашей среде обнаружено изменение, которое делает рекомендацию неуместным, оптимизация будет автоматически завершена и перемещена на вкладку "Завершено ". Например, у вас может быть оптимизация, связанная с ранее неиспользуемой таблицей. Если таблица теперь используется в новом правиле аналитики, рекомендация по оптимизации теперь не имеет значения. В таких случаях баннер отображается на вкладке "Обзор " с количеством автоматически завершенных оптимизаций с момента последнего визита. |
| Пометить как в выполнении / Пометить как активное | Пометьте оптимизацию как выполняющуюся или активную, чтобы уведомить других участников команды о том, что вы активно работаете над ней. Используйте эти два состояния гибко, но последовательно, по мере необходимости для вашей организации. |
| Увольнять | Отклоните оптимизацию, если вы не планируете принять рекомендуемое действие и больше не хотите видеть его в списке. |
| Предоставление отзывов | Мы предлагаем вам поделиться своими мыслями о рекомендуемых действиях с командой Майкрософт! При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в заявлении о конфиденциальности Майкрософт. |
Просмотр завершенных и отклоненных оптимизаций
Если вы отметили конкретную оптимизацию как завершенную или отклоненную, или если оптимизация завершена автоматически, она отображается на вкладках Завершено и Отклонено соответственно.
В этом разделе выберите меню параметров или выберите "Просмотреть полные сведения ", чтобы выполнить одно из следующих действий:
Повторно активируйте оптимизацию, отправив ее обратно на вкладку "Обзор ". Повторно активированные оптимизации вычисляются для предоставления наиболее обновленного значения и действия. Пересчет этих сведений может занять до часа, поэтому дождитесь проверки сведений и рекомендуемых действий еще раз.
При повторной активации оптимизации они могут сразу перейти на вкладку "Завершено", если после пересчета данных будет установлено, что они больше не актуальны.
Предоставьте дополнительную обратную связь команде Майкрософт При совместном использовании отзывов будьте осторожны, чтобы не предоставлять общий доступ к конфиденциальным данным. Дополнительные сведения см. в заявлении о конфиденциальности Майкрософт.
Поток использования оптимизации SOC
В этом разделе представлен пример потока для использования оптимизаций SOC из Defender или портал Azure:
На странице оптимизации SOC начните с понимания панели мониторинга:
- Просмотрите основные метрики для общего состояния оптимизации.
- Ознакомьтесь с рекомендациями по оптимизации для значения данных и охвата на основе угроз.
Используйте рекомендации по оптимизации для идентификации таблиц с низким уровнем использования, указывая, что они не используются для обнаружения. Выберите "Просмотреть полные сведения" , чтобы просмотреть размер и стоимость неиспользуемых данных. Рассмотрим одно из следующих действий:
Добавьте правила аналитики для использования таблицы для расширенной защиты. Чтобы использовать этот параметр, выберите "Перейти в Центр контента ", чтобы просмотреть и настроить определенные шаблоны правил аналитики вне поля, использующие выбранную таблицу. В центре контента вам не нужно искать соответствующее правило, так как вы непосредственно перейдете к соответствующему правилу.
Если для новых правил аналитики требуются дополнительные источники журналов, рассмотрите возможность приема их для улучшения покрытия угроз.
Дополнительные сведения см. в разделах "Обнаружение и управление содержимым Microsoft Sentinel из коробки" и "Обнаружение угроз из коробки".
Измените уровень обязательств для экономии затрат. Дополнительные сведения см. в разделе "Сокращение затрат на Microsoft Sentinel".
Используйте рекомендации по оптимизации для повышения охвата конкретных угроз. Например, для оптимизации программ-шантажистов, управляемых человеком:
Выберите "Просмотреть полные сведения" , чтобы просмотреть текущее покрытие и предлагаемые улучшения.
Выберите «Просмотреть все улучшения техники MITRE ATT&CK», чтобы детализировать и проанализировать соответствующие тактики и методы, помогая вам понять разрыв в покрытии.
Выберите "Перейти к центру контента" , чтобы просмотреть все рекомендуемое содержимое безопасности, отфильтрованное специально для этой оптимизации.
После настройки новых правил или внесения изменений пометьте рекомендацию как завершенную или допустите автоматическое обновление системы.