Referência de otimização SOC de recomendações

Use as recomendações de otimização do SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e restringir suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam você a otimizar seu workspace do Microsoft Sentinel, sem que suas equipes do SOC gastem tempo em análise e pesquisa manuais.

As otimizações do SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:

  • As otimizações baseadas em ameaças recomendam adicionar controles de segurança que ajudam a fechar as lacunas de cobertura.

  • As otimizações de valor de dados recomendam maneiras de melhorar o uso de dados, como um plano de dados melhor para sua organização.

Este artigo fornece uma referência das recomendações de otimização do SOC disponíveis.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal do Microsoft Defender. Para saber mais, confira Microsoft Sentinel no portal do Microsoft Defender.

Otimizações de valor de dados

Para otimizar sua relação custo/valor de segurança, a otimização do SOC apresenta conectores de dados ou tabelas quase não usados e sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.

As otimizações de valor de dados analisam apenas as tabelas faturáveis que assimilaram dados nos últimos 30 dias.

A tabela a seguir lista as recomendações de otimização de SOC de valor de dados disponíveis:

Observação Ação
A tabela não foi usada por regras de análise ou detecções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de busca. Ativar modelos de regra de análise
OR
Mover para logs básicos se a tabela for qualificada
A tabela não foi usada nos últimos 30 dias Ativar modelos de regra de análise
OR
Interromper a ingestão de dados ou arquivar a tabela
A tabela foi usada apenas pelo Azure Monitor Ativar todos os modelos de regra de análise relevantes para tabelas com valor de segurança
OR
Mover para um workspace do Log Analytics não relacionado à segurança

Se uma tabela for escolhida para UEBA ou uma regra de análise correspondente de inteligência contra ameaças, a otimização do SOC não recomendará nenhuma alteração na ingestão.

Importante

Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites de seus planos de ingestão estejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.

Otimização baseada em ameaças

Para otimizar o valor dos dados, a otimização do SOC recomenda adicionar controles de segurança ao seu ambiente na forma de detecções e fontes de dados extras, usando uma abordagem baseada em ameaças.

Para fornecer recomendações baseadas em ameaças, a otimização do SOC examina seus logs ingeridos e regras de análise habilitadas e os compara com os logs e detecções necessários para proteger, detectar e responder a tipos específicos de ataques. Esse tipo de otimização também é conhecido como otimização de cobertura e se baseia na pesquisa de segurança da Microsoft. A otimização do SOC considera detecções definidas pelo usuário e prontas para uso.

A tabela a seguir lista as recomendações de otimização de SOC baseadas em ameaças disponíveis:

Observação Ação
Existem fontes de dados, mas faltam detecções. Ative os modelos de regra de análise com base na ameaça.
Os modelos estão ativados, mas as fontes de dados estão ausentes. Conecte novas fontes de dados.
Não há detecções ou fontes de dados existentes. Conecte detecções e fontes de dados ou instale uma solução.

Próxima etapa