Optimera dina säkerhetsåtgärder

SOC-team (Security Operations Center) söker aktivt efter möjligheter att optimera både processer och resultat. Du vill se till att du har alla data som du behöver för att vidta åtgärder mot risker i din miljö, samtidigt som du ser till att du inte betalar för att mata in mer data än du behöver. Samtidigt måste dina team regelbundet justera säkerhetskontrollerna när hotlandskap och affärsprioriteringar ändras och justeras snabbt och effektivt för att hålla avkastningen på investeringar hög.

SOC-optimering visar hur du kan optimera dina säkerhetskontroller och få mer värde från Microsofts säkerhetstjänster allt eftersom tiden går.

SOC-optimeringar är konkreta och handlingsbara rekommendationer som hjälper dig att identifiera områden där du kan minska kostnaderna utan att påverka SOC-behov eller täckning, eller där du kan lägga till säkerhetskontroller och data där de saknas. SOC-optimeringar är skräddarsydda för din miljö och baseras på din aktuella täckning och hotlandskap.

Använd rekommendationer för SOC-optimering för att hjälpa dig att minska täckningsluckorna mot specifika hot och skärpa dina inmatningshastigheter mot data som inte ger säkerhetsvärde. SOC-optimeringar hjälper dig att optimera din Microsoft Sentinel-arbetsyta, utan att SOC-teamen lägger tid på manuell analys och forskning.

Viktigt!

Microsoft Sentinel är nu allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.

Titta på följande video för en översikt och demonstration av SOC-optimering i Defender-portalen. Om du bara vill ha en demo, hoppa till minut 8:14.

Förutsättningar

Öppna sidan SOC-optimering

Använd någon av följande flikar, beroende på om du arbetar i den enhetliga SOC-driftplattformen eller i Azure-portalen:

I Microsoft Sentinel i Azure-portalen går du till Hothantering och väljer SOC-optimering.

Skärmbild av sidan SOC-optimering i Azure-portalen.

Förstå översiktsmått för SOC-optimering

Optimeringsmått som visas överst på fliken Översikt ger dig en hög förståelse för hur effektivt du använder dina data och ändras med tiden när du implementerar rekommendationer.

Mått som stöds överst på fliken Översikt är:

Title Description
Inmatade data under de senaste 3 månaderna Visar den totala mängden data som har matats in på din arbetsyta under de senaste tre månaderna.
Status för optimeringar Visar antalet rekommenderade optimeringar som för närvarande är aktiva, slutförda och inaktiverade.

Välj Se alla hotscenarier om du vill visa en fullständig lista över relevanta hot, aktiva och rekommenderade identifieringar och täckningsnivåer.

Visa och hantera optimeringsrekommendationer

I Azure-portalen visas rekommendationer för SOC-optimering på fliken Översikt över SOC-optimering>.

Till exempel:

Skärmbild av fliken Översikt över SOC-optimering i Azure-portalen.

Varje optimeringskort innehåller status, rubrik, det datum då det skapades, en beskrivning på hög nivå och den arbetsyta som det gäller för.

Kommentar

Rekommendationer för SOC-optimering beräknas var 24:e timme.

Filteroptimeringar

Filtrera optimeringarna baserat på optimeringstyp eller sök efter en specifik optimeringstitel med hjälp av sökrutan på sidan. Optimeringstyper är:

  • Täckning: Innehåller hotbaserade rekommendationer för att lägga till säkerhetskontroller för att minska täckningsluckorna för olika typer av attacker.

  • Datavärde: Innehåller rekommendationer som föreslår sätt att förbättra dataanvändningen för att maximera säkerhetsvärdet från inmatade data eller föreslå en bättre dataplan för din organisation.

Visa optimeringsinformation och vidta åtgärder

I varje optimeringskort väljer du Visa fullständig information för att se en fullständig beskrivning av observationen som ledde till rekommendationen och det värde du ser i din miljö när rekommendationen implementeras.

Rulla ned till slutet av informationsfönstret för en länk till där du kan vidta de rekommenderade åtgärderna. Till exempel:

  • Om en optimering innehåller rekommendationer för att lägga till analysregler väljer du Gå till Innehållshubb.
  • Om en optimering innehåller rekommendationer för att flytta en tabell till grundläggande loggar väljer du Ändra plan.

Om du väljer att installera en analysregelmall från innehållshubben och du inte redan har lösningen installerad visas endast mallen för analysregeln som du installerar i lösningen när du är klar. Installera den fullständiga lösningen för att se alla tillgängliga innehållsobjekt från den valda lösningen. Mer information finns i Identifiera och hantera innehåll i Microsoft Sentinel out-of-the-box.

Hantera optimeringar

Som standard är optimeringsstatusar aktiva. Ändra deras status när dina team fortsätter genom att prioritera och implementera rekommendationer.

Välj antingen alternativmenyn eller välj Visa fullständig information för att utföra någon av följande åtgärder:

Åtgärd beskrivning
Slutförd Slutför en optimering när du har slutfört varje rekommenderad åtgärd.

Om en ändring i din miljö identifieras som gör rekommendationen irrelevant slutförs optimeringen automatiskt och flyttas till fliken Slutförd .

Du kan till exempel ha en optimering relaterad till en tidigare oanvänd tabell. Om tabellen nu används i en ny analysregel är optimeringsrekommendationsen nu irrelevant.

I sådana fall visas en banderoll på fliken Översikt med antalet automatiskt slutförda optimeringar sedan ditt senaste besök.
Markera som pågående / Markera som aktiv Markera en optimering som pågående eller aktiv för att meddela andra teammedlemmar att du arbetar aktivt med den.

Använd dessa två statusar flexibelt, men konsekvent, efter behov för din organisation.
Stäng Stäng en optimering om du inte planerar att vidta den rekommenderade åtgärden och inte längre vill se den i listan.
Ge feedback Vi inbjuder dig att dela dina tankar om de rekommenderade åtgärderna med Microsoft-teamet!

När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy.

Visa slutförda och avvisade optimeringar

Om du markerade en specifik optimering som Slutförd eller Avvisad, eller om en optimering slutfördes automatiskt, visas den på flikarna Slutförd respektive Avvisad .

Härifrån väljer du antingen alternativmenyn eller väljer Visa fullständig information för att utföra någon av följande åtgärder:

  • Återaktivera optimeringen och skicka tillbaka den till fliken Översikt . Återaktiverade optimeringar beräknas om för att ge det mest uppdaterade värdet och åtgärden. Omberäkning av den här informationen kan ta upp till en timme, så vänta innan du kontrollerar informationen och rekommenderade åtgärder igen.

    Återaktiverade optimeringar kan också flyttas direkt till fliken Slutförd om de inte längre är relevanta efter att ha beräknat om informationen.

  • Ge ytterligare feedback till Microsoft-teamet. När du delar din feedback bör du vara noga med att inte dela några konfidentiella data. Mer information finns i Microsofts sekretesspolicy.

SOC-optimeringsanvändningsflöde

Det här avsnittet innehåller ett exempelflöde för att använda SOC-optimeringar från antingen Defender- eller Azure-portalen:

  1. På sidan SOC-optimering börjar du med att förstå instrumentpanelen:

    • Observera de viktigaste måtten för övergripande optimeringsstatus.
    • Granska optimeringsrekommendationer för datavärde och hotbaserad täckning.
  2. Använd optimeringsrekommendationerna för att identifiera tabeller med låg användning, vilket indikerar att de inte används för identifieringar. Välj Visa fullständig information för att se storleken och kostnaden för oanvända data. Överväg någon av följande åtgärder:

    • Lägg till analysregler för att använda tabellen för förbättrat skydd. Om du vill använda det här alternativet väljer du Gå till innehållshubben för att visa och konfigurera specifika analysregelmallar som använder den valda tabellen. I innehållshubben behöver du inte söka efter relevant regel, eftersom du tas direkt till den relevanta regeln.

      Om nya analysregler kräver ytterligare loggkällor bör du överväga att mata in dem för att förbättra hottäckningen.

      Mer information finns i Identifiera och hantera out-of-the-box-innehåll i Microsoft Sentinel och Identifiera hot direkt.

    • Ändra åtagandenivån för kostnadsbesparingar. Mer information finns i Minska kostnaderna för Microsoft Sentinel.

  3. Använd optimeringsrekommendationerna för att förbättra täckningen mot specifika hot. Till exempel för en optimering av utpressningstrojaner som drivs av människor:

    1. Välj Visa fullständig information för att se aktuell täckning och föreslagna förbättringar.

    2. Välj Visa alla MITRE ATT&CK-teknikförbättringar för att öka detaljnivån och analysera relevanta taktiker och tekniker, vilket hjälper dig att förstå täckningsgapet.

    3. Välj Gå till innehållshubben för att visa allt rekommenderat säkerhetsinnehåll som filtrerats specifikt för den här optimeringen.

  4. När du har konfigurerat nya regler eller gjort ändringar markerar du rekommendationen som slutförd eller låter systemet uppdateras automatiskt.