Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Используйте рекомендации по оптимизации SOC, чтобы помочь вам закрыть пробелы в покрытиях по конкретным угрозам и ужесточить частоту приема данных, которые не обеспечивают безопасность. Оптимизация SOC помогает оптимизировать рабочую область Microsoft Sentinel, не вынуждая группы по SOC тратить время на выполнение анализа и исследований в ручном режиме.
Оптимизация SOC Microsoft Sentinel включает следующие типы рекомендаций:
Рекомендации по значению данных предлагают способы улучшения использования данных, например лучшего плана данных для вашей организации.
Рекомендации, основанные на охвате , предлагают добавить элементы управления, чтобы предотвратить разрывы охвата, которые могут привести к уязвимости атак или сценариев, которые могут привести к финансовым потерям. Рекомендации по охвату включают:
- Рекомендации на основе угроз. Рекомендует добавлять элементы управления безопасностью, которые помогают обнаруживать пробелы в охвате, чтобы предотвратить атаки и уязвимости.
- Рекомендации по тегам ИИ MITRE ATT&CK (предварительная версия): использует искусственный интеллект, чтобы предложить обнаружение тегов безопасности с помощью тактики и методов MITRE ATT&CK.
- Рекомендации на основе рисков (предварительная версия) — рекомендует реализовать элементы управления для решения проблем с охватом, связанных с вариантами использования, которые могут привести к бизнес-рискам или финансовым потерям, включая операционные, финансовые, репутационные, соответствие и юридические риски.
Аналогичные рекомендации организаций предлагают прием данных из типов источников, используемых организациями, которые имеют аналогичные тенденции приема и отраслевые профили для ваших.
В этой статье приведены подробные сведения о типах доступных рекомендаций по оптимизации SOC.
Внимание
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года Microsoft Sentinel будет поддерживаться только на портале Defender, и все остальные клиенты, использующие портал Azure, будут автоматически перенаправлены.
Мы рекомендуем всем клиентам, использующим Microsoft Sentinel в Azure, начать планирование перехода на портал Defender для полного единого взаимодействия с безопасностью, предлагаемого Microsoft Defender. Дополнительные сведения см. в статье "Планирование перехода на портал Microsoft Defender" для всех клиентов Microsoft Sentinel.
Рекомендации по оптимизации значений данных
Чтобы оптимизировать соотношение стоимости и безопасности, оптимизация SOC выявляет редко используемые соединители данных или таблицы. Оптимизация SOC предлагает способы снижения стоимости таблицы или улучшения его стоимости в зависимости от покрытия. Этот тип оптимизации также называется оптимизацией значений данных.
Оптимизация значений данных просматривает только оплачиваемые таблицы, которые за последние 30 дней были приема данных.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации значения данных SOC:
| Тип наблюдения | Действие |
|---|---|
| Таблица не использовалась правилами аналитики или обнаружениями за последние 30 дней, но использовалась другими источниками, такими как книги, запросы журналов, поисковые запросы. | Включение шаблонов правил аналитики ИЛИ Переместите таблицу в план базовых журналов , если таблица имеет право. |
| Таблица не использовалась вообще за последние 30 дней. | Включение шаблонов правил аналитики ИЛИ Остановите прием данных и удалите таблицу или переместите таблицу в долгосрочное хранение. |
| Таблица использовалась только в Azure Monitor. | Включение всех соответствующих шаблонов правил аналитики для таблиц со значением безопасности ИЛИ Перейдите в рабочую область Log Analytics, незащищенную. |
Если таблица выбрана для UEBA или правила аналитики угроз, оптимизация SOC не рекомендует никаких изменений в приеме.
Неиспользуемые столбцы (предварительная версия)
Оптимизация SOC также отображает неиспользуемые столбцы в таблицах. В следующей таблице перечислены доступные типы столбцов, доступные для рекомендаций по оптимизации SOC:
| Тип наблюдения | Действие |
|---|---|
| Столбец ConditionalAccessPolicies в таблице SignInLogs или таблица AADNonInteractiveUserSignInLogs не используется. | Остановите прием данных для столбца. |
Внимание
При внесении изменений в планы приема мы всегда рекомендуем убедиться, что ограничения планов приема понятны, и что затронутые таблицы не будут приниматься по соответствию или другим аналогичным причинам.
Рекомендации по оптимизации на основе покрытия
Рекомендации по оптимизации на основе покрытия помогают закрыть пробелы в охвате по конкретным угрозам или сценариям, которые могут привести к бизнес-рискам и финансовым потерям.
Рекомендации по оптимизации на основе угроз
Чтобы оптимизировать значение данных, оптимизация SOC рекомендует добавлять элементы управления безопасностью в среду в виде дополнительных обнаружений и источников данных, используя подход на основе угроз. Этот тип оптимизации также называется оптимизацией покрытия и основан на исследованиях по безопасности Майкрософт.
Оптимизация SOC предоставляет рекомендации на основе угроз, анализируя принятые журналы и включенные правила аналитики, а затем сравнивая их с журналами и обнаружениями, необходимыми для решения конкретных типов атак.
Оптимизации на основе угроз рассматриваются как предопределенные, так и определяемые пользователем обнаружения.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC на основе угроз:
| Тип наблюдения | Действие |
|---|---|
| Существуют источники данных, но обнаружения отсутствуют. | Включите шаблоны правил аналитики на основе угрозы: создайте правило с помощью шаблона правила аналитики и настройте имя, описание и логику запроса, чтобы соответствовать вашей среде. Дополнительные сведения см. в разделе "Обнаружение угроз" в Microsoft Sentinel. |
| Шаблоны включены, но отсутствуют источники данных. | Подключение новых источников данных. |
| Нет существующих обнаружений или источников данных. | Подключите обнаружения и источники данных или установите решение. |
Рекомендации по тегам AI MITRE ATT&CK (предварительная версия)
Функция тегов ИИ MITRE ATT&CK использует искусственный интеллект для автоматического определения безопасности. Модель искусственного интеллекта выполняется в рабочей области клиента, чтобы создать рекомендации по тегам для незавернутых обнаружений с соответствующими тактикой и методами MITRE ATT&CK.
Клиенты могут применять эти рекомендации, чтобы обеспечить тщательное и точное покрытие безопасности. Это обеспечивает полное и точное покрытие безопасности, повышая возможности обнаружения угроз и реагирования.
Это 3 способа применения рекомендаций по тегам AI MITRE ATT&CK:
- Примените рекомендацию к определенному правилу аналитики.
- Примените рекомендацию ко всем правилам аналитики в рабочей области.
- Не применяйте рекомендацию к правилам аналитики.
Рекомендации по оптимизации на основе рисков (предварительная версия)
Оптимизация на основе рисков рассматривает реальные сценарии безопасности с набором бизнес-рисков, связанных с ним, включая операционные, финансовые, репутационные, соответствие и юридические риски. Рекомендации основаны на подходе на основе рисков Microsoft Sentinel к безопасности.
Чтобы предоставить рекомендации на основе рисков, оптимизация SOC смотрит на ваши приемные журналы и правила аналитики, а также сравнивает их с журналами и обнаружениями, необходимыми для защиты, обнаружения и реагирования на определенные типы атак, которые могут привести к бизнес-рискам. Оптимизации рекомендаций на основе рисков рассматриваются как предопределенные, так и определяемые пользователем обнаружения.
В следующей таблице перечислены доступные типы рекомендаций по оптимизации SOC на основе рисков:
| Тип наблюдения | Действие |
|---|---|
| Существуют источники данных, но обнаружения отсутствуют. | Включите шаблоны правил аналитики на основе бизнес-рисков: создайте правило с помощью шаблона правила аналитики и настройте имя, описание и логику запросов, чтобы соответствовать вашей среде. |
| Шаблоны включены, но отсутствуют источники данных. | Подключение новых источников данных. |
| Нет существующих обнаружений или источников данных. | Подключите обнаружения и источники данных или установите решение. |
Рекомендации аналогичных организаций
Оптимизация SOC использует расширенное машинное обучение для идентификации таблиц, которые отсутствуют в рабочей области, но используются организациями с аналогичными тенденциями приема и отраслевыми профилями. В нем показано, как другие организации используют эти таблицы и рекомендуют соответствующие источники данных, а также связанные правила для повышения покрытия безопасности.
| Тип наблюдения | Действие |
|---|---|
| Источники журналов, принятые аналогичными клиентами, отсутствуют | Подключите предлагаемые источники данных. Эта рекомендация не включает:
|
Рекомендации
Рабочая область получает аналогичные рекомендации организации, если модель машинного обучения идентифицирует значительные сходства с другими организациями и обнаруживает таблицы, которые у них нет. SOCs на ранних стадиях или стадиях адаптации, скорее всего, получат эти рекомендации, чем SOCs с более высоким уровнем зрелости. Не все рабочие области получают аналогичные рекомендации организаций.
Модели машинного обучения никогда не получают доступ к содержимому журналов клиентов или их прием в любой момент. Данные клиента, содержимое или персональные данные (EUII) не предоставляются анализу. Рекомендации основаны на моделях машинного обучения, которые полагаются исключительно на информацию, определяемую организацией (OII) и системные метаданные.
Связанный контент
- Использование оптимизаций SOC программным способом (предварительная версия)
- Блог: оптимизация SOC: разблокировка возможностей управления безопасностью на основе точности