SOC の最適化による推奨事項のリファレンス
SOC の最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化できます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するために役立ちます。
Microsoft Sentinel SOC の最適化には、次の種類の推奨事項が含まれます。
脅威ベースの推奨事項 カバレッジのギャップを埋めるのに役立つセキュリティコントロールを追加することをお勧めします。
データ値の推奨事項 組織のデータ計画の改善など、データの使用を改善する方法を提案します。
同様の組織の推奨事項 取り込みの傾向や業界プロファイルが似ている組織で使用されるソースの種類からデータを取り込むことをお勧めします。
この記事では、使用可能な SOC 最適化の推奨事項のリファレンスを提供します。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
データ値の最適化に関する推奨事項
コストとセキュリティの値の比率を最適化するために、SOC 最適化ではデータ コネクタやテーブルをほとんど使用しません。また、対象範囲に応じて、テーブルのコストを削減するか、その値を向上させる方法を提案します。 この種類の最適化は、 データ値の最適化とも呼ばれます。
データ値の最適化では、過去 30 日間にデータを取り込んだ課金対象テーブルのみが表示されます。
次の表に、使用可能なデータ値 SOC 最適化の推奨事項を示します。
| 観測 | アクション |
|---|---|
| このテーブルは、過去 30 日間の分析ルールや検出では使用されませんでしたが、ブック、ログ クエリ、ハンティング クエリなどの他のソースによって使用されました。 | 分析ルール テンプレートを有効にする OR テーブルが対象の場合は、基本ログに移動します。 |
| このテーブルは、過去 30 日間まったく使用されませんでした。 | 分析ルール テンプレートを有効にする OR データ インジェストを停止するか、テーブルをアーカイブします。 |
| このテーブルは、Azure Monitor によってのみ使用されました。 | セキュリティ値を持つテーブルに関連する分析ルール テンプレートを有効にする OR セキュリティ以外の Log Analytics ワークスペースに移動します。 |
テーブルが UEBA または インテリジェンス 照合分析ルールに対して選択されている場合、SOC 最適化ではインジェストの変更は推奨されません。
重要
インジェスト 計画に変更を加える場合は、常にインジェスト 計画の制限が明確であり、影響を受けるテーブルがコンプライアンスやその他の同様の理由で取り込まれないことを確認することをお勧めします。
脅威ベースの最適化に関する推奨事項
SOC の最適化では、データ値を最適化するために、脅威ベースのアプローチを使用して、追加の検出とデータ ソースの形式で環境にセキュリティ制御を追加することをお勧めします。 この最適化の種類は、 超過最適化とも呼ばれ、Microsoft のセキュリティ調査に基づいています。
脅威ベースの推奨事項を提供するために、SOC の最適化は、取り込まれたログと有効な分析ルールを調べ、特定の種類の攻撃を保護、検出、対応するために必要なログと検出と比較します。
脅威ベースの最適化では、定義済みの検出とユーザー定義の検出の両方が考慮されます。
次の表に、使用可能な脅威ベースの SOC 最適化の推奨事項を示します。
| 観測 | アクション |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | 脅威に基づいて分析ルール テンプレートを有効にする: 分析ルール テンプレートを使用してルールを作成し、環境に合わせて名前、説明、クエリ ロジックを調整します。 詳細については、「 Microsoft Sentinel での検出の後」を参照してください。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
同様の組織の推奨事項
SOC の最適化では、高度な機械学習を使用して、ワークスペースに不足しているテーブルを特定しますが、同様のインジェスト傾向と業界プロファイルを持つ組織によって使用されます。 他の組織がこれらのテーブルを使用する方法を示し、関連するデータ ソースと関連するルールを使用してセキュリティ カバレッジを向上させるようお勧めします。
| 観測 | アクション |
|---|---|
| 類似した顧客によって取り込まれたログ ソースが見つからない | 推奨されるデータ ソースを接続します。 この推奨事項には以下は含まれません。
|
考慮事項
すべてのワークスペースに類似した組織の推奨事項が表示されるわけではありません。 ワークスペースがこれらの推奨事項を受け取るのは、機械学習モデルが他の組織との重要な類似点を特定し、他の組織が持っているテーブルを検出した場合にのみ行われますが、そうはいりません。 初期段階またはオンボード段階の SOC は、通常、成熟度が高い SOC よりもこれらの推奨事項を受け取る可能性が高くなります。
推奨事項は、組織を特定できる情報 (OII) とシステム メタデータのみに依存する機械学習モデルに基づいています。 モデルは、顧客ログの内容にアクセスしたり分析したり、いつでも取り込んだりすることはありません。 顧客データ、コンテンツ、またはエンド ユーザーを特定できる情報 (EUII) が分析に公開されることはありません。