SOC の最適化による推奨事項のリファレンス
SOC の最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化できます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するために役立ちます。
Microsoft Sentinel SOC の最適化には、次の種類の推奨事項が含まれます。
脅威ベースの最適化 カバレッジのギャップを埋めるのに役立つセキュリティコントロールを追加することをお勧めします。
データ値の最適化 組織のデータ計画の改善など、データの使用を改善する方法をお勧めします。
この記事では、使用可能な SOC 最適化の推奨事項のリファレンスを提供します。
重要
Microsoft Sentinel は、Microsoft Defender ポータルの統合セキュリティ オペレーション プラットフォームの一部として利用できます。 Defender ポータルの Microsoft Sentinel は、運用環境での使用がサポートされるようになりました。 詳細については、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
データ値の最適化
SOC 最適化では、セキュリティ値比に対するコストを最適化するために、データ コネクタまたはテーブルをほとんど使用しません。また、カバレッジに応じて、テーブルのコストを削減するか、その値を向上させる方法を提案します。 この種類の最適化は、 データ値の最適化とも呼ばれます。
データ値の最適化では、過去 30 日間にデータを取り込んだ課金対象テーブルのみが表示されます。
次の表に、使用可能なデータ値 SOC 最適化の推奨事項を示します。
| 観測 | アクション |
|---|---|
| このテーブルは、過去 30 日間の分析ルールや検出では使用されませんでしたが、ブック、ログ クエリ、ハンティング クエリなど、他のソースによって使用されていました。 | 分析ルール テンプレートを有効にする OR テーブルが対象の場合は、基本ログに移動する |
| テーブルは過去 30 日間まったく使用されませんでした | 分析ルール テンプレートを有効にする OR データ インジェストを停止するか、テーブルをアーカイブする |
| テーブルは Azure Monitor によってのみ使用されました | セキュリティ値を持つテーブルに関連する分析ルール テンプレートを有効にする OR セキュリティ以外の Log Analytics ワークスペースに移動する |
テーブルが UEBA または インテリジェンス 照合分析ルールに対して選択されている場合、SOC 最適化ではインジェストの変更は推奨されません。
重要
インジェスト 計画に変更を加える場合は、常にインジェスト 計画の制限が明確であり、影響を受けるテーブルがコンプライアンスやその他の同様の理由で取り込まれないことを確認することをお勧めします。
脅威ベースの最適化
SOC の最適化では、データ値を最適化するために、脅威ベースのアプローチを使用して、追加の検出とデータ ソースの形式で環境にセキュリティ制御を追加することをお勧めします。
脅威ベースの推奨事項を提供するために、SOC の最適化では、取り込まれたログと有効な分析ルールを確認し、特定の種類の攻撃を保護、検出、対応するために必要なログと検出と比較します。 この最適化の種類は、 超過最適化とも呼ばれ、Microsoft のセキュリティ調査に基づいています。
次の表に、使用可能な脅威ベースの SOC 最適化の推奨事項を示します。
| 観測 | アクション |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | 脅威に基づいて分析ルール テンプレートを有効にします。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
関連するコンテンツ
次のステップ
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示