Partilhar via


Otimize suas operações de segurança

As equipes do centro de operações de segurança (SOC) procuram ativamente oportunidades para otimizar processos e resultados. Você quer garantir que tem todos os dados necessários para tomar medidas contra os riscos em seu ambiente, ao mesmo tempo em que garante que não está pagando para ingerir mais dados do que precisa. Ao mesmo tempo, suas equipes devem ajustar regularmente os controles de segurança à medida que os cenários de ameaças e as prioridades de negócios mudam, ajustando-se de forma rápida e eficiente para manter o retorno sobre os investimentos alto.

A otimização SOC apresenta maneiras de otimizar os seus controlos de segurança, ganhando mais valor dos serviços Microsoft Security com o passar do tempo.

As otimizações SOC são recomendações de alta fidelidade e acionáveis para ajudá-lo a identificar áreas onde pode reduzir custos, sem afetar as necessidades ou a cobertura de SOC, ou onde pode adicionar controlos de segurança e dados onde eles estão em falta. As otimizações SOC são adaptadas ao seu ambiente e baseadas na sua cobertura atual e no cenário de ameaças.

Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Assista ao vídeo a seguir para obter uma visão geral e demonstração da otimização SOC no portal do Microsoft Defender. Se você quiser apenas uma demonstração, pule para o minuto 8:14.

Pré-requisitos

Acesse a página de otimização SOC

Use uma das seguintes guias, dependendo se você está trabalhando no portal do Azure ou no portal do Defender:

No Microsoft Sentinel no portal do Azure, em Gerenciamento de ameaças, selecione Otimização SOC.

Captura de ecrã da página de otimização SOC no portal do Azure.

Compreender as métricas de visão geral da otimização SOC

As métricas de otimização mostradas na parte superior da guia Visão geral fornecem uma compreensão de alto nível de quão eficiente você está usando seus dados e mudarão ao longo do tempo à medida que você implementa recomendações.

As métricas suportadas na parte superior da guia Visão geral incluem:

Title Description
Dados ingeridos nos últimos 3 meses Mostra o total de dados ingeridos em seu espaço de trabalho nos últimos três meses.
Status das otimizações Mostra o número de otimizações recomendadas que estão ativas, concluídas e descartadas no momento.

Selecione Ver todos os cenários de ameaça para visualizar a lista completa de ameaças relevantes, deteções ativas e recomendadas e níveis de cobertura.

Visualizar e gerenciar recomendações de otimização

No portal do Azure, as recomendações de otimização SOC estão listadas na guia Visão geral da otimização > SOC.

Por exemplo:

Captura de ecrã do separador Descrição Geral da otimização SOC no portal do Azure.

Cada cartão de otimização inclui o status, o título, a data em que foi criado, uma descrição de alto nível e o espaço de trabalho ao qual se aplica.

Nota

As recomendações de otimização SOC são calculadas a cada 24 horas.

Otimizações de filtro

Filtre as otimizações com base no tipo de otimização ou procure um título de otimização específico usando a caixa de pesquisa ao lado. Os tipos de otimização incluem:

  • Cobertura: Inclui recomendações baseadas em ameaças para adicionar controles de segurança para ajudar a fechar lacunas de cobertura para vários tipos de ataques.

  • Valor dos dados: inclui recomendações que sugerem maneiras de melhorar o uso de dados para maximizar o valor de segurança dos dados ingeridos ou sugerem um plano de dados melhor para sua organização.

Veja os detalhes da otimização e tome medidas

Em cada cartão de otimização, selecione Exibir detalhes completos para ver uma descrição completa da observação que levou à recomendação e o valor que você vê em seu ambiente quando essa recomendação é implementada.

Role para baixo até a parte inferior do painel de detalhes para obter um link para onde você pode executar as ações recomendadas. Por exemplo:

  • Se uma otimização incluir recomendações para adicionar regras de análise, selecione Ir para o Hub de conteúdo.
  • Se uma otimização incluir recomendações para mover uma tabela para logs básicos, selecione Alterar plano.

Se você optar por instalar um modelo de regra de análise a partir do Hub de Conteúdo e ainda não tiver a solução instalada, somente o modelo de regra de análise instalado será mostrado na solução quando terminar. Instale a solução completa para ver todos os itens de conteúdo disponíveis da solução selecionada. Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel.

Gerenciar otimizações

Por padrão, os status de otimização são Ativo. Altere seus status à medida que suas equipes progridem na triagem e na implementação de recomendações.

Selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:

Ação Descrição
Concluída Conclua uma otimização quando concluir cada ação recomendada.

Se for detetada uma alteração no seu ambiente que torne a recomendação irrelevante, a otimização será automaticamente concluída e movida para a guia Concluído .

Por exemplo, você pode ter uma otimização relacionada a uma tabela não utilizada anteriormente. Se sua tabela agora é usada em uma nova regra de análise, a recomendação de otimização agora é irrelevante.

Nesses casos, um banner é exibido na guia Visão geral com o número de otimizações concluídas automaticamente desde sua última visita.
Marcar como em andamento / Marcar como ativo Marque uma otimização como em andamento ou ativa para notificar outros membros da equipe de que você está trabalhando ativamente nela.

Use esses dois status de forma flexível, mas consistente, conforme necessário para sua organização.
Dispensar Dispense uma otimização se você não estiver planejando executar a ação recomendada e não quiser mais vê-la na lista.
Enviar comentários Convidamo-lo a partilhar a sua opinião sobre as ações recomendadas com a equipa da Microsoft!

Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.

Ver otimizações concluídas e descartadas

Se você marcou uma otimização específica como Concluída ou Descartada, ou se uma otimização foi concluída automaticamente, ela será listada nas guias Concluída e Descartada, respectivamente.

A partir daqui, selecione o menu de opções ou selecione Exibir detalhes completos para executar uma das seguintes ações:

  • Reative a otimização, enviando-a de volta para a guia Visão geral . As otimizações reativadas são recalculadas para fornecer o valor e a ação mais atualizados. Recalcular esses detalhes pode levar até uma hora, portanto, aguarde antes de verificar os detalhes e as ações recomendadas novamente.

    As otimizações reativadas também podem ser movidas diretamente para a guia Concluído se, depois de recalcular os detalhes, elas não forem mais relevantes.

  • Forneça mais comentários à equipe da Microsoft. Ao partilhar os seus comentários, tenha cuidado para não partilhar quaisquer dados confidenciais. Para obter mais informações, consulte Declaração de Privacidade da Microsoft.

Fluxo de uso de otimização de SOC

Esta seção fornece um fluxo de exemplo para usar otimizações SOC, do Defender ou do portal do Azure:

  1. Na página de otimização SOC, comece entendendo o painel:

    • Observe as principais métricas para o status geral de otimização.
    • Analise as recomendações de otimização para o valor dos dados e a cobertura baseada em ameaças.
  2. Use as recomendações de otimização para identificar tabelas com baixo uso, indicando que elas não estão sendo usadas para deteções. Selecione Ver detalhes completos para ver o tamanho e o custo dos dados não utilizados. Considere uma das seguintes ações:

    • Adicione regras de análise para usar a tabela para proteção aprimorada. Para usar essa opção, selecione Ir para o Hub de Conteúdo para exibir e configurar modelos de regras analíticas prontos para uso específicos que usam a tabela selecionada. No hub de conteúdo, você não precisa pesquisar a regra relevante, pois é levado diretamente para a regra relevante.

      Se novas regras analíticas exigirem fontes de log adicionais, considere ingeri-las para melhorar a cobertura de ameaças.

      Para obter mais informações, consulte Descobrir e gerenciar conteúdo pronto para uso do Microsoft Sentinel e Detetar ameaças prontas para uso.

    • Altere seu nível de compromisso para economizar custos. Para obter mais informações, consulte Reduzir custos para o Microsoft Sentinel.

  3. Use as recomendações de otimização para melhorar a cobertura contra ameaças específicas. Por exemplo, para uma otimização de ransomware operada por humanos:

    1. Selecione Ver detalhes completos para ver a cobertura atual e as melhorias sugeridas.

    2. Selecione Ver todas as melhorias da técnica MITRE ATT&CK para detalhar e analisar as táticas e técnicas relevantes, ajudando-o a entender a lacuna de cobertura.

    3. Selecione Ir para o hub de conteúdo para visualizar todo o conteúdo de segurança recomendado, filtrado especificamente para essa otimização.

  4. Depois de configurar novas regras ou fazer alterações, marque a recomendação como concluída ou deixe o sistema atualizar automaticamente.