Güvenlik işlemlerinizi iyileştirme
Güvenlik operasyonları merkezi (SOC) ekipleri süreçleri ve sonuçları iyileştirmenin yollarını arar ve ek alım maliyetleri olmadan riskleri ele almak için gereken verilere sahip olduğunuzdan emin olur. SOC ekipleri, gerekenden daha fazla veri için ödeme yapmadan risklere karşı harekete geçmek için gerekli tüm verilere sahip olduğunuzdan emin olmak ister. Aynı zamanda SOC ekipleri, tehditler ve iş öncelikleri değiştikçe güvenlik denetimlerini de ayarlamalı ve yatırım getirinizi en üst düzeye çıkarmak için bunu hızlı ve verimli bir şekilde gerçekleştirmelidir.
SOC iyileştirmeleri, zaman geçtikçe Microsoft güvenlik hizmetlerinden daha fazla değer kazanarak güvenlik denetimlerinizi iyileştirmenin yollarını ortaya çıkartan eyleme dönüştürülebilir önerilerdir. Öneriler, SOC gereksinimlerini veya kapsamını etkilemeden maliyetleri azaltmanıza yardımcı olur ve gerektiğinde güvenlik denetimleri ve veriler eklemenize yardımcı olabilir. Bu iyileştirmeler ortamınıza özel olarak ve geçerli kapsamınıza ve tehdit ortamınıza göre uyarlanır.
Belirli tehditlere karşı kapsam boşluklarını kapatmanıza ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı artırmanıza yardımcı olması için SOC iyileştirme önerilerini kullanın. SOC optimizasyonları, SOC ekiplerinizin manuel analiz ve araştırma konusunda zaman harcamalarına gerek kalmadan Microsoft Sentinel çalışma alanınızı optimize etmenize yardımcı olur.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Microsoft Defender portalında SOC iyileştirmesine genel bakış ve tanıtım için aşağıdaki videoyu izleyin. Sadece bir tanıtım istiyorsanız, 8:14 dakikasına atlayın.
Önkoşullar
SOC iyileştirmesi standart Microsoft Sentinel rollerini ve izinlerini kullanır. Daha fazla bilgi için Microsoft Sentinel'deki roller ve izinler bölümüne bakın.
Defender portalında SOC iyileştirmesini kullanmak için Microsoft Sentinel'i Defender portalına ekleme. Daha fazla bilgi için bkz . Microsoft Sentinel'i Microsoft Defender portalına bağlama.
SOC iyileştirme sayfasına erişme
Azure portalında mı yoksa Defender portalında mı çalıştığınıza bağlı olarak aşağıdaki sekmelerden birini kullanın. Çalışma alanınız birleşik güvenlik işlemleri için eklendiğinde, SOC iyileştirmeleri Microsoft güvenlik hizmetlerinin kapsamını içerir.
Azure portalındaki Microsoft Sentinel'de Tehdit yönetimi'nin altında SOC iyileştirme'yi seçin.
SOC iyileştirmeye genel bakış ölçümlerini anlama
Genel Bakış sekmesinin en üstünde gösterilen iyileştirme ölçümleri, verilerinizi ne kadar verimli bir şekilde kullandığınıza ilişkin üst düzey bir anlayış sağlar ve öneriler uygulanırken zaman içinde değişir.
Genel Bakış sekmesinin en üstündeki desteklenen ölçümler şunlardır:
| Ünvan | Açıklama |
|---|---|
| Son 3 ay içinde alınan veriler | Son üç ay içinde çalışma alanınıza alınan toplam verileri gösterir. |
| İyileştirmelerin durumu | Şu anda etkin, tamamlanmış ve kapatılmış önerilen iyileştirmelerin sayısını gösterir. |
İlgili tehditlerin tam listesini, etkin ve önerilen analiz kurallarının yüzdelerini ve kapsam düzeylerini görüntülemek için Tüm tehdit senaryolarını görüntüle'yi seçin.
İyileştirme önerilerini görüntüleme ve yönetme
Azure portalında SOC iyileştirme önerileri SOC iyileştirmesine > Genel Bakış sekmesinde listelenir.
Örneğin:
SOC iyileştirme önerileri 24 saatte bir hesaplanır. Her iyileştirme kartı durum, başlık, oluşturulduğu tarih, üst düzey bir açıklama ve geçerli olduğu çalışma alanını içerir.
Filtre iyileştirmeleri
İyileştirmeleri iyileştirme türüne göre filtreleyin veya yan taraftaki arama kutusunu kullanarak belirli bir iyileştirme başlığı arayın. İyileştirme türleri şunlardır:
Kapsam: Çeşitli saldırı türlerinin kapsama boşluklarını kapatmaya yardımcı olmak için güvenlik denetimleri eklemeye yönelik tehdit tabanlı öneriler içerir.
Veri değeri: Alınan verilerden güvenlik değerini en üst düzeye çıkarmak için veri kullanımınızı iyileştirmenin yollarını öneren veya kuruluşunuz için daha iyi bir veri planı öneren öneriler içerir.
İyileştirme ayrıntılarını görüntüleme ve işlem gerçekleştirme
Kullandığınız portala bağlı olarak aşağıdaki sekmelerden birini seçin:
Öneriye yol açan gözlemin tam açıklamasını ve öneri uygulandığında ortamınızda gördüğünüz değeri görmek için her iyileştirme kartında Ayrıntıları görüntüle'yi seçin.
Önerilen eylemleri gerçekleştirebileceğiniz bir bağlantı için ayrıntılar bölmesinin en altına kadar aşağı kaydırın. Örneğin:
- İyileştirme analiz kuralları eklemeye yönelik öneriler içeriyorsa İçerik Hub'ına Git'i seçin.
- İyileştirme, tabloyu temel günlüklere taşıma önerileri içeriyorsa Planı değiştir'i seçin.
Çözüm yüklü olmadan İçerik hub'ından bir analiz kuralı şablonu yüklerseniz, çözümde yalnızca yüklü şablon görüntülenir.
Seçili çözümden tüm kullanılabilir içerik öğelerini görmek için çözümün tamamını yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.
İyileştirmeleri yönetme
Varsayılan olarak iyileştirme durumları Etkin'dir. Ekipleriniz önerileri önceliklendirme ve uygulama yoluyla ilerledikçe durumlarını değiştirin.
Aşağıdaki eylemlerden birini yapmak için seçenekler menüsünü veya Ayrıntıları görüntüle'yi seçin:
| Eylem | Açıklama |
|---|---|
| Tamamla | Önerilen her eylemi tamamladığınızda iyileştirmeyi tamamlayın. Ortamınızda öneriyi ilgisiz hale getiren bir değişiklik algılanırsa, iyileştirme otomatik olarak tamamlanır ve Tamamlandı sekmesine taşınır. Örneğin, daha önce kullanılmayan bir tabloyla ilgili bir iyileştirmeniz olabilir. Tablonuz artık yeni bir analiz kuralında kullanılıyorsa, iyileştirme önerisi artık ilgisizdir. Bu gibi durumlarda, Genel Bakış sekmesinde son ziyaretinizin ardından otomatik olarak tamamlanan iyileştirmelerin sayısını içeren bir başlık gösterilir. |
| Devam ediyor / olarak işaretle Etkin olarak işaretle | Diğer ekip üyelerine üzerinde etkin bir şekilde çalıştığınızı bildirmek için bir iyileştirmeyi devam ediyor veya etkin olarak işaretleyin. Kuruluşunuz için gerektiğinde bu iki durumu esnek ancak tutarlı bir şekilde kullanın. |
| At | Önerilen eylemi gerçekleştirmeyi planlamıyorsanız ve artık listede görmek istemiyorsanız iyileştirmeyi kapatabilirsiniz. |
| Geribildirim gönderme | Önerilen eylemler hakkındaki düşüncelerinizi Microsoft ekibiyle paylaşmaya davet ediyoruz! Geri bildiriminizi paylaşırken gizli veri paylaşmamaya dikkat edin. Daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi. |
Tamamlanan ve kapatılan iyileştirmeleri görüntüleme
Belirli bir iyileştirmeyi Tamamlandı veya Kapatıldı olarak işaretlediyseniz veya bir iyileştirme otomatik olarak tamamlandıysa, sırasıyla Tamamlandı ve Kapatılan sekmelerinde listelenir.
Buradan seçenekler menüsünü seçin veya Tüm ayrıntıları görüntüle'yi seçerek aşağıdaki eylemlerden birini gerçekleştirin:
İyileştirmeyi yeniden etkinleştirerek Genel Bakış sekmesine geri gönderme. En güncel değeri ve eylemi sağlamak için yeniden etkinleştirilen iyileştirmeler yeniden hesaplanır. Bu ayrıntıların yeniden hesaplanması bir saate kadar sürebilir, bu nedenle ayrıntıları ve önerilen eylemleri yeniden denetlemeden önce bekleyin.
Yeniden etkinleştirilen iyileştirmeler, ayrıntıları yeniden hesapladıktan sonra artık ilgili olmadığı tespit edilmesi durumunda doğrudan Tamamlandı sekmesine de taşınabilir.
Microsoft ekibine daha fazla geri bildirim sağlayın. Geri bildiriminizi paylaşırken gizli veri paylaşmamaya dikkat edin. Daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi.
SOC iyileştirme kullanım akışı
Bu bölüm, Defender veya Azure portalından SOC iyileştirmelerini kullanmaya yönelik örnek bir akış sağlar:
SOC iyileştirme sayfasında, panoyu anlayarak başlayın:
- Genel iyileştirme durumu için en önemli ölçümleri gözlemleyin.
- Veri değeri ve tehdit tabanlı kapsam için iyileştirme önerilerini gözden geçirin.
Düşük kullanımlı tabloları belirlemek için iyileştirme önerilerini kullanın ve bu tabloların algılamalar için kullanılmadığını belirtin. Kullanılmayan verilerin boyutunu ve maliyetini görmek için Tüm ayrıntıları görüntüle'yi seçin. Aşağıdaki eylemlerden birini göz önünde bulundurun:
Gelişmiş koruma için tabloyu kullanmak için analiz kuralları ekleyin. Bu seçeneği kullanmak için İçerik Hub'ına git'i seçerek seçili tabloyu kullanan belirli hazır analiz kuralı şablonlarını görüntüleyin ve yapılandırın. İçerik hub'ında, doğrudan ilgili kurala alındığı için ilgili kuralı aramanız gerekmez.
Yeni analiz kuralları fazladan günlük kaynakları gerektiriyorsa tehdit kapsamını geliştirmek için bunları almayı göz önünde bulundurun.
Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme ve Tehditleri kullanıma hazır olarak algılama.
Maliyet tasarrufu için taahhüt katmanınızı değiştirin. Daha fazla bilgi için bkz . Microsoft Sentinel için maliyetleri azaltma.
Belirli tehditlere karşı kapsamı geliştirmek için iyileştirme önerilerini kullanın. Örneğin, insan tarafından çalıştırılan fidye yazılımı iyileştirmesi için:
Geçerli kapsamı ve önerilen iyileştirmeleri görmek için Tüm ayrıntıları görüntüle'yi seçin.
Kapsam farkını anlamanıza yardımcı olmak üzere ilgili taktikleri ve teknikleri detaya gidip analiz etmek için Tüm MITRE ATT ve CK teknik geliştirmelerini görüntüle'yi seçin.
Bu iyileştirme için özel olarak filtrelenmiş, önerilen tüm güvenlik içeriğini görüntülemek için İçerik hub'ına Git'i seçin.
Yeni kuralları yapılandırdıktan veya değişiklik yaptıktan sonra öneriyi tamamlandı olarak işaretleyin veya sistemin otomatik olarak güncelleştirilmesine izin verin.