권장 사항에 대한 SOC 최적화 참조
SOC 최적화 권장 사항을 사용하면 특정 위협에 대한 적용 범위 간격을 줄이고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화할 수 있습니다. SOC 최적화는 SOC 팀이 수동 분석 및 연구에 시간을 소비하지 않고도 Microsoft Sentinel 작업 영역을 최적화하는 데 도움이 됩니다.
Microsoft Sentinel SOC 최적화에는 다음과 같은 유형의 권장 사항이 포함됩니다.
위협 기반 최적화는 적용 범위 격차를 해소하는 데 도움이 되는 보안 컨트롤을 추가하는 것이 좋습니다.
데이터 값 최적화는 조직의 더 나은 데이터 계획과 같이 데이터 사용을 개선하는 방법을 권장합니다.
이 문서에서는 사용 가능한 SOC 최적화 권장 사항에 대한 참조를 제공합니다.
Important
이제 Microsoft Sentinel이 Microsoft Defender 포털의 Microsoft 통합 보안 운영 플랫폼 내에서 일반 공급됩니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
데이터 값 최적화
보안 값 비율에 대한 비용을 최적화하기 위해 SOC 최적화는 거의 사용되지 않고 데이터 커넥터 또는 테이블을 표시하며, 범위에 따라 테이블 비용을 줄이거나 해당 값을 개선하는 방법을 제안합니다. 이러한 유형의 최적화를 데이터 값 최적화라고도 합니다.
데이터 값 최적화는 지난 30일 동안 데이터를 수집한 청구 가능한 테이블만 살펴봅니다.
다음 표에서는 사용 가능한 데이터 값 SOC 최적화 권장 사항을 나열합니다.
| 관찰 | 작업 |
|---|---|
| 이 테이블은 지난 30일 동안 분석 규칙 또는 검색에서 사용되지 않았지만 통합 문서, 로그 쿼리, 헌팅 쿼리와 같은 다른 원본에서 사용되었습니다. | 분석 규칙 템플릿 켜기 또는 테이블이 적합한 경우 기본 로그로 이동 |
| 지난 30일 동안 테이블이 전혀 사용되지 않았습니다. | 분석 규칙 템플릿 켜기 또는 데이터 수집 중지 또는 테이블 보관 |
| 이 테이블은 Azure Monitor에서만 사용되었습니다. | 보안 값이 있는 테이블에 대한 관련 분석 규칙 템플릿 켜기 또는 비보안 Log Analytics 작업 영역으로 이동 |
UEBA 또는 위협 인텔리전스 일치 분석 규칙에 대해 테이블을 선택한 경우 SOC 최적화는 수집 변경을 권장하지 않습니다.
Important
수집 계획을 변경할 때는 항상 수집 계획의 제한이 명확하고 영향을 받는 테이블이 규정 준수 또는 기타 유사한 이유로 수집되지 않도록 하는 것이 좋습니다.
위협 기반 최적화
데이터 값을 최적화하기 위해 SOC 최적화는 위협 기반 접근 방식을 사용하여 추가 검색 및 데이터 원본의 형태로 환경에 보안 컨트롤을 추가하는 것이 좋습니다.
위협 기반 권장 사항을 제공하기 위해 SOC 최적화는 수집된 로그 및 활성화된 분석 규칙을 살펴보고 특정 유형의 공격을 보호, 감지 및 대응하는 데 필요한 로그 및 검색과 비교합니다. 이 최적화 유형은 적용 범위 최적화라고도 하며 Microsoft의 보안 연구를 기반으로 합니다. SOC 최적화는 사용자 정의 및 기본 검색을 모두 고려합니다.
다음 표에서는 사용 가능한 위협 기반 SOC 최적화 권장 사항을 나열합니다.
| 관찰 | 작업 |
|---|---|
| 데이터 원본이 있지만 검색이 없습니다. | 위협에 따라 분석 규칙 템플릿을 켭니다. |
| 템플릿이 켜져 있지만 데이터 원본이 없습니다. | 새 데이터 원본을 연결합니다. |
| 기존 검색 또는 데이터 원본이 없습니다. | 검색 및 데이터 원본을 연결하거나 솔루션을 설치합니다. |