你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
使用 SOC 优化建议来帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据收紧引入速率。 SOC 优化可帮助你优化 Microsoft Sentinel 工作区,而无需 SOC 团队花费时间进行手动分析和研究。
Microsoft Sentinel SOC 优化包括以下类型的建议:
数据价值建议 建议用于改进数据使用的方法,例如为组织制定更好的数据计划。
基于覆盖率的建议 建议建议添加控制措施,以防止覆盖差距,这些差距可能导致攻击或可能导致经济损失的方案。 覆盖范围建议包括:
- 基于威胁的建议:建议添加安全控制,以帮助检测覆盖范围差距,以防止攻击和漏洞。
- AI MITRE ATT&CK 标记建议(预览版):使用人工智能来建议采用 MITRE ATT&CK 策略和技术标记安全检测。
- 基于风险的建议(预览版):建议实施控制,以解决与可能导致业务风险或财务损失(包括运营、财务、信誉、合规性和法律风险)相关的用例的覆盖范围差距。
类似的组织建议 建议从具有类似引入趋势和行业配置文件的组织使用的源类型引入数据。
本文详细介绍了可用的 SOC 优化建议类型。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
数据值优化建议
为了优化成本/安全价值比率,SOC 优化会显示很少使用的数据连接器或表。 SOC 优化建议根据覆盖范围降低表的成本或提高其值的方法。 这种类型的优化也称为 数据值优化。
数据值优化仅查看过去 30 天内引入数据的计费表。
下表列出了可用的数据值 SOC 优化建议类型:
| 观察类型 | 操作 |
|---|---|
| 在过去 30 天内,分析规则或检测未使用该表,但其他源(如工作簿、日志查询、搜寻查询)使用。 | 启用分析规则模板 或者 如果表符合条件,请将表移动到 基本日志计划 。 |
| 在过去 30 天内根本不使用该表。 | 启用分析规则模板 或者 停止数据引入并删除表或将表移动到长期保留。 |
| 该表仅供 Azure Monitor 使用。 | 为具有安全值的表启用任何相关的分析规则模板 或者 移动到不安全的 Log Analytics 工作区。 |
如果为 UEBA 或 威胁情报匹配分析规则选择了表,SOC 优化不建议在引入时进行任何更改。
未使用的列(预览版)
SOC 优化还会显示表中未使用的列。 下表列出了可用于 SOC 优化建议的可用列类型:
| 观察类型 | 操作 |
|---|---|
| SignInLogs 表或 AADNonInteractiveUserSignInLogs 表中的 ConditionalAccessPolicies 列未使用。 | 停止列的数据引入。 |
重要
更改引入计划时,我们建议始终确保引入计划的限制是明确的,并且由于符合性或其他类似原因,不会引入受影响的表。
基于覆盖范围的优化建议
基于覆盖范围的优化建议可帮助你根据特定威胁或可能导致业务风险和财务损失的方案缩小覆盖范围差距。
基于威胁的优化建议
为了优化数据值,SOC 优化建议使用基于威胁的方法以额外的检测和数据源的形式向环境添加安全控制。 此优化类型也称为 覆盖优化,基于Microsoft的安全研究。
SOC 优化通过分析引入的日志和启用的分析规则来提供基于威胁的建议,然后将它们与解决特定类型攻击所需的日志和检测进行比较。
基于威胁的优化同时考虑预定义的检测和用户定义的检测。
下表列出了基于威胁的 SOC 优化建议的可用类型:
| 观察类型 | 操作 |
|---|---|
| 存在数据源,但缺少检测。 | 基于威胁启用分析规则模板:使用分析规则模板创建规则,并调整名称、说明和查询逻辑,以适应环境。 有关详细信息,请参阅 Microsoft Sentinel 中的威胁检测。 |
| 模板已打开,但缺少数据源。 | 连接新的数据源。 |
| 没有现有的检测或数据源。 | 连接检测和数据源或安装解决方案。 |
AI MITRE ATT&CK 标记建议(预览版)
AI MITRE ATT&CK 标记功能使用人工智能自动标记安全检测。 AI 模型在客户的工作区上运行,以使用相关的 MITRE ATT&CK 策略和技术为未标记的检测创建标记建议。
客户可以应用这些建议,以确保其安全覆盖范围全面且精确。 这可确保完整的准确安全覆盖,增强威胁检测和响应功能。
以下是应用 AI MITRE ATT&CK 标记建议的 3 种方法:
- 将建议应用于特定的分析规则。
- 将建议应用于工作区中的所有分析规则。
- 不要将建议应用于任何分析规则。
基于风险的优化建议(预览版)
基于风险的优化将实际安全方案视为与它相关的一组业务风险,包括运营、财务、信誉、合规性和法律风险。 这些建议基于基于安全Microsoft Sentinel 风险的方法。
为了提供基于风险的建议,SOC 优化将查看引入的日志和分析规则,并将其与保护、检测和响应可能导致业务风险的特定类型的攻击所需的日志和检测进行比较。 基于风险的建议优化同时考虑预定义的检测和用户定义的检测。
下表列出了基于风险的 SOC 优化建议的可用类型:
| 观察类型 | 操作 |
|---|---|
| 存在数据源,但缺少检测。 | 根据业务风险启用分析规则模板:使用分析规则模板创建规则,并调整名称、说明和查询逻辑,以适应你的环境。 |
| 模板已打开,但缺少数据源。 | 连接新的数据源。 |
| 没有现有的检测或数据源。 | 连接检测和数据源或安装解决方案。 |
类似的组织建议
SOC 优化使用高级机器学习来识别工作区中缺少的表,但由具有类似引入趋势和行业配置文件的组织使用。 它显示了其他组织如何使用这些表,并推荐相关数据源以及相关规则,以提高安全覆盖范围。
| 观察类型 | 操作 |
|---|---|
| 缺少类似客户引入的日志源 | 连接建议的数据源。 此建议不包括:
|
注意事项
如果机器学习模型识别其他组织的显著相似之处,并且发现它们具有但你没有的表,则工作区才会收到类似的组织建议。 其早期或载入阶段的 SOC 更有可能收到这些建议,而不是具有更高成熟度的 SOC。 并非所有工作区都会收到类似的组织建议。
机器学习模型永远不会访问或分析客户日志的内容,也不会在任何时刻引入它们。 不会向分析公开任何客户数据、内容或个人数据(EUII)。 建议基于仅依赖于组织可识别信息(OII)和系统元数据的机器学习模型。