Riferimento dei consigli di ottimizzazione SOC
Usare i consigli per l'ottimizzazione SOC per ridurre i gap di copertura contro minacce specifiche e limitare i tassi di inserimento dati che non forniscono valore per la sicurezza. Le ottimizzazioni SOC consentono di ottimizzare l'area di lavoro di Microsoft Sentinel, senza dedicare tempo ai team SOC per l'analisi manuale e la ricerca.
Le ottimizzazioni SOC di Microsoft Sentinel includono i tipi di raccomandazioni seguenti:
Le raccomandazioni basate sulle minacce suggeriscono di aggiungere controlli di sicurezza che consentono di chiudere i gap di copertura.
I consigli sui valori dei dati suggeriscono modi per migliorare l'uso dei dati, ad esempio un piano dati migliore per l'organizzazione.
Le raccomandazioni di organizzazioni simili suggeriscono l'inserimento di dati dai tipi di origini usate dalle organizzazioni con tendenze di inserimento e profili di settore simili ai propri.
Questo articolo fornisce un riferimento alle raccomandazioni di ottimizzazione SOC disponibili.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Raccomandazioni per l'ottimizzazione dei valori dei dati
Per ottimizzare il rapporto tra costi e valori di sicurezza, l'ottimizzazione SOC presenta appena usati connettori dati o tabelle e suggerisce modi per ridurre il costo di una tabella o migliorarne il valore, a seconda della copertura. Questo tipo di ottimizzazione è detto anche ottimizzazione dei valori dei dati.
Le ottimizzazioni dei valori dei dati esaminano solo le tabelle fatturabili che hanno inserito i dati negli ultimi 30 giorni.
Nella tabella seguente sono elencate le raccomandazioni per l'ottimizzazione SOC del valore dei dati disponibili:
| Osservazione | Azione |
|---|---|
| La tabella non è stata usata dalle regole di analisi o dai rilevamenti negli ultimi 30 giorni, ma è stata usata da altre origini, ad esempio cartelle di lavoro, query di log, query di ricerca. | Attivare i modelli di regola di analisi OPPURE Passare ai log di base se la tabella è idonea. |
| La tabella non è stata usata affatto negli ultimi 30 giorni. | Attivare i modelli di regola di analisi OPPURE Arrestare l'inserimento dati o archiviare la tabella. |
| La tabella è stata usata solo da Monitoraggio di Azure. | Attivare qualsiasi modello di regola di analisi pertinente per le tabelle con valore di sicurezza OPPURE Passare a un'area di lavoro Log Analytics non di sicurezza. |
Se si seleziona una tabella per UEBA o una regola di analisi corrispondente all'intelligence per le minacce, l'ottimizzazione SOC non consiglia alcuna modifica nell'inserimento.
Importante
Quando si apportano modifiche ai piani di inserimento, è consigliabile assicurarsi sempre che i limiti dei piani di inserimento siano chiari e che le tabelle interessate non vengano inserite per motivi di conformità o altri motivi simili.
Raccomandazioni per l'ottimizzazione basata sulle minacce
Per ottimizzare il valore dei dati, l'ottimizzazione SOC consiglia di aggiungere controlli di sicurezza all'ambiente sotto forma di rilevamenti aggiuntivi e origini dati, usando un approccio basato sulle minacce. Questo tipo di ottimizzazione è noto anche come ottimizzazione della copertura ed è basato sulla ricerca sulla sicurezza di Microsoft.
Per fornire raccomandazioni basate sulle minacce, l'ottimizzazione SOC esamina i log inseriti e le regole di analisi abilitate e li confronta con i log e i rilevamenti necessari per proteggere, rilevare e rispondere a tipi specifici di attacchi.
Le ottimizzazioni basate sulle minacce considerano sia i rilevamenti predefiniti che definiti dall'utente.
La tabella seguente elenca le raccomandazioni di ottimizzazione SOC basate sulle minacce disponibili:
| Osservazione | Azione |
|---|---|
| Esistono origini dati, ma mancano rilevamenti. | Attivare i modelli di regola di analisi in base alla minaccia: creare una regola usando un modello di regola di analisi e modificare il nome, la descrizione e la logica di query in base all'ambiente. Per altre informazioni, vedere Rilevamento delle minacce in Microsoft Sentinel. |
| I modelli sono attivati, ma mancano le origini dati. | Connettere nuove origini dati. |
| Non esistono rilevamenti o origini dati esistenti. | Connettere rilevamenti e origini dati o installare una soluzione. |
Raccomandazioni di organizzazioni simili
L'ottimizzazione SOC usa l'apprendimento automatico avanzato per identificare le tabelle mancanti nell'area di lavoro, ma vengono usate dalle organizzazioni con tendenze di inserimento e profili di settore simili. Illustra come altre organizzazioni usano queste tabelle e consiglia di usare le origini dati pertinenti, insieme alle regole correlate, per migliorare la copertura della sicurezza.
| Osservazione | Azione |
|---|---|
| Mancano le origini di log inserite da clienti simili | Connettere le origini dati suggerite. Questa raccomandazione non include:
|
Considerazioni
Non tutte le aree di lavoro ottengono raccomandazioni simili per le organizzazioni. Un'area di lavoro riceve queste raccomandazioni solo se il modello di Machine Learning identifica analogie significative con altre organizzazioni e individua tabelle che hanno, ma non lo si è. I SOC nelle fasi iniziali o di onboarding sono in genere più propensi a ricevere queste raccomandazioni rispetto ai SOC con un livello di maturità superiore.
Le raccomandazioni sono basate su modelli di Machine Learning che si basano esclusivamente sui metadati di sistema e sulle informazioni identificabili dell'organizzazione. I modelli non accedono mai o analizzano il contenuto dei log dei clienti o li inseriscono in qualsiasi momento. All'analisi non vengono esposti dati, contenuti o informazioni di identificazione dell'utente finale (EUII).
Contenuto correlato
- Uso delle ottimizzazioni SOC a livello di codice (anteprima)
- Blog: ottimizzazione SOC: sbloccare la potenza di una gestione della sicurezza basata sulla precisione