Önerilerin SOC iyileştirme başvurusu
Belirli tehditlere karşı kapsam boşluklarını kapatmanıza ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı artırmanıza yardımcı olması için SOC iyileştirme önerilerini kullanın. SOC optimizasyonları, SOC ekiplerinizin manuel analiz ve araştırma konusunda zaman harcamalarına gerek kalmadan Microsoft Sentinel çalışma alanınızı optimize etmenize yardımcı olur.
Microsoft Sentinel SOC iyileştirmeleri aşağıdaki öneri türlerini içerir:
Tehdit tabanlı öneriler, kapsam boşluklarını kapatmanıza yardımcı olacak güvenlik denetimleri eklemeyi önerir.
Veri değeri önerileri , kuruluşunuz için daha iyi bir veri planı gibi veri kullanımınızı geliştirmenin yollarını önerir.
Benzer kuruluşlara yönelik öneriler, sizinkine benzer alım eğilimlerine ve sektör profillerine sahip kuruluşlar tarafından kullanılan kaynak türlerinden veri almayı önerir.
Bu makalede, kullanılabilir SOC iyileştirme önerilerine bir başvuru sağlanır.
Önemli
Microsoft Sentinel, Microsoft Defender portalındaki Microsoft'un birleşik güvenlik operasyonları platformunda genel olarak kullanılabilir. Önizleme için Microsoft Sentinel, Microsoft Defender XDR veya E5 lisansı olmadan Defender portalında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Veri değeri iyileştirme önerileri
Maliyet/güvenlik değeri oranınızı iyileştirmek için, SOC iyileştirmesi çok az kullanılan veri bağlayıcılarını veya tabloları ortaya çıkartır ve kapsamınıza bağlı olarak bir tablonun maliyetini azaltmanın veya değerini artırmanın yollarını önerir. Bu iyileştirme türüne veri değeri iyileştirmesi de denir.
Veri değeri iyileştirmeleri yalnızca son 30 gün içindeki verileri alan faturalanabilir tablolara bakar.
Aşağıdaki tabloda kullanılabilir veri değeri SOC iyileştirme önerileri listelanmaktadır:
| Gözlem | Eylem |
|---|---|
| Tablo son 30 gün içinde analiz kuralları veya algılamaları tarafından kullanılmamış ancak çalışma kitapları, günlük sorguları, tehdit avcılığı sorguları gibi diğer kaynaklar tarafından kullanılmıştır. | Analiz kuralı şablonlarını açma VEYA Tablo uygunsa yardımcı günlüklere (Önizleme) veya temel günlüklere geçin. |
| Tablo son 30 gün içinde hiç kullanılmadı. | Analiz kuralı şablonlarını açma VEYA Veri alımını durdurun ve tabloyu kaldırın veya tabloyu uzun süreli saklamaya taşıyın. |
| Tablo yalnızca Azure İzleyici tarafından kullanılmıştır. | Güvenlik değeri olan tablolar için ilgili analiz kuralı şablonlarını açma VEYA Güvenlikle ilgili olmayan bir Log Analytics çalışma alanına gitme. |
UEBA veya tehdit bilgileri eşleştirme analiz kuralı için bir tablo seçilirse, SOC iyileştirmesi alımda herhangi bir değişiklik önermez.
Önemli
Alım planlarında değişiklik yaparken, her zaman alım planlarınızın sınırlarının açık olduğundan ve etkilenen tabloların uyumluluk veya diğer benzer nedenlerden dolayı alınmamasını sağlamanızı öneririz.
Tehdit tabanlı iyileştirme önerileri
SOC iyileştirmesi, veri değerini iyileştirmek için tehdit tabanlı bir yaklaşım kullanarak ortamınıza ek algılamalar ve veri kaynakları biçiminde güvenlik denetimleri eklenmesini önerir. Bu iyileştirme türü, kapsam iyileştirme olarak da bilinir ve Microsoft'un güvenlik araştırmasını temel alır.
Tehdit tabanlı öneriler sağlamak için SOC iyileştirmesi, alınan günlüklerinize ve etkin analiz kurallarınıza bakar ve bunları belirli saldırı türlerini korumak, algılamak ve yanıtlamak için gereken günlüklerle ve algılamalarla karşılaştırır.
Tehdit tabanlı iyileştirmeler hem önceden tanımlanmış hem de kullanıcı tanımlı algılamaları dikkate alır.
Aşağıdaki tabloda, kullanılabilir tehdit tabanlı SOC iyileştirme önerileri listelanmaktadır:
| Gözlem | Eylem |
|---|---|
| Veri kaynakları vardır, ancak algılamalar eksiktir. | Tehdit temelinde analiz kuralı şablonlarını açın: Analiz kuralı şablonu kullanarak kural oluşturun ve adı, açıklamayı ve sorgu mantığını ortamınıza uyacak şekilde ayarlayın. Daha fazla bilgi için bkz . Microsoft Sentinel'de tehdit algılama. |
| Şablonlar açık, ancak veri kaynakları eksik. | Yeni veri kaynaklarını bağlayın. |
| Mevcut algılama veya veri kaynağı yok. | Algılamaları ve veri kaynaklarını bağlayın veya bir çözüm yükleyin. |
Benzer kuruluşlara yönelik öneriler
SOC iyileştirmesi, çalışma alanınızda eksik olan ancak sizinkine benzer alım eğilimlerine ve sektör profillerine sahip kuruluşlar tarafından kullanılan tabloları belirlemek için gelişmiş makine öğrenmesini kullanır. Diğer kuruluşların bu tabloları nasıl kullandığını gösterir ve güvenlik kapsamınızı geliştirmek için ilgili kuralların yanı sıra ilgili veri kaynaklarını size önerir.
| Gözlem | Eylem |
|---|---|
| Benzer müşteriler tarafından alınan günlük kaynakları eksik | Önerilen veri kaynaklarını bağlayın. Bu öneri şunları içermez:
|
Dikkat edilmesi gereken noktalar
Tüm çalışma alanları benzer kuruluş önerileri almaz. Çalışma alanı bu önerileri yalnızca makine öğrenmesi modelimiz diğer kuruluşlarla önemli benzerlikler tanımladıysa ve sahip oldukları ancak sizin olmayan tabloları keşfettiğinde alır. Erken veya ekleme aşamalarındaki SOC'lerin bu önerileri alma olasılığı genellikle daha yüksek olgunluk düzeyine sahip SOC'lere göre daha yüksektir.
Öneriler, yalnızca Kurumsal Olarak Tanımlanabilir Bilgileri (OII) ve sistem meta verilerini kullanan makine öğrenmesi modellerini temel alır. Modeller hiçbir zaman müşteri günlüklerinin içeriğine erişmez, bunları analiz etmez veya herhangi bir noktada almaz. Analize hiçbir müşteri verisi, içerik veya Son Kullanıcı Tarafından Tanımlanabilir Bilgi (EUII) sunulmaz.
İlgili içerik
- SOC iyileştirmelerini program aracılığıyla kullanma (Önizleme)
- Blog: SOC iyileştirmesi: Duyarlık odaklı güvenlik yönetiminin gücünü ortaya çıkarma