Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Verwenden Sie SOC-Optimierungsempfehlungen, um Deckungslücken gegen bestimmte Bedrohungen zu schließen und Ihre Erfassungsraten für Daten zu straffen, die keinen Sicherheitswert bieten. SOC-Optimierungen helfen Ihnen, Ihren Microsoft Sentinel Arbeitsbereich zu optimieren, ohne dass Ihre SOC-Teams Zeit mit manuellen Analysen und Recherchen verbringen müssen.
Microsoft Sentinel SOC-Optimierungen umfassen die folgenden Arten von Empfehlungen:
Datenwertempfehlungen schlagen Möglichkeiten vor, ihre Datennutzung zu verbessern, z. B. einen besseren Datenplan für Ihre organization.
Abdeckungsbasierte Empfehlungen schlagen das Hinzufügen von Kontrollen vor, um Abdeckungslücken zu vermeiden, die zu Anfälligkeiten für Angriffe oder Szenarien führen können, die zu finanziellen Verlusten führen können. Zu den Empfehlungen für die Abdeckung gehören:
- Bedrohungsbasierte Empfehlungen: Empfiehlt das Hinzufügen von Sicherheitskontrollen, mit denen Sie Abdeckungslücken erkennen können, um Angriffe und Sicherheitsrisiken zu verhindern.
- AI MITRE ATT&CK-Taggingempfehlungen (Vorschau): Verwendet künstliche Intelligenz, um das Tagging von Sicherheitserkennungen mit MITRE ATT&CK-Taktiken und -Techniken vorzuschlagen.
- Risikobasierte Empfehlungen (Vorschau): Empfiehlt die Implementierung von Kontrollen, um Abdeckungslücken im Zusammenhang mit Anwendungsfällen zu beheben, die zu Geschäftsrisiken oder finanziellen Verlusten führen können, einschließlich betrieblicher, finanzieller, Reputations-, Compliance- und rechtlicher Risiken.
Ähnliche Organisationsempfehlungen schlagen vor, Daten aus den Arten von Quellen zu erfassen, die von Organisationen verwendet werden, die ähnliche Erfassungstrends und Branchenprofile wie Ihre haben.
Dieser Artikel enthält eine ausführliche Referenz zu den Verfügbaren Typen von SOC-Optimierungsempfehlungen.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
Empfehlungen zur Datenwertoptimierung
Um Ihr Kosten-/Sicherheits-Wert-Verhältnis zu optimieren, werden bei der SOC-Optimierung kaum genutzte Datenconnectors oder Tabellen angezeigt. Die SOC-Optimierung schlägt Möglichkeiten vor, je nach Abdeckung entweder die Kosten einer Tabelle zu senken oder ihren Wert zu verbessern. Diese Art der Optimierung wird auch als Datenwertoptimierung bezeichnet.
Datenwertoptimierungen betrachten nur abrechenbare Tabellen, die daten in den letzten 30 Tagen erfasst haben.
In der folgenden Tabelle sind die verfügbaren Typen von Datenwert-SOC-Optimierungsempfehlungen aufgeführt:
| Art der Beobachtung | Aktion |
|---|---|
| Die Tabelle wurde in den letzten 30 Tagen nicht von Analyseregeln oder Erkennungen verwendet, sondern von anderen Quellen wie Arbeitsmappen, Protokollabfragen und Huntingabfragen verwendet. | Aktivieren von Analyseregelvorlagen OR Verschieben Sie die Tabelle in einen einfachen Protokollplan , wenn die Tabelle berechtigt ist. |
| Die Tabelle wurde in den letzten 30 Tagen überhaupt nicht verwendet. | Aktivieren von Analyseregelvorlagen OR Beenden Sie die Datenerfassung, und entfernen Sie die Tabelle, oder verschieben Sie die Tabelle in die langfristige Aufbewahrung. |
| Die Tabelle wurde nur von Azure Monitor verwendet. | Aktivieren aller relevanten Analyseregelvorlagen für Tabellen mit Sicherheitswert OR Wechseln sie zu einem nicht sicherheitsrelevanten Log Analytics-Arbeitsbereich. |
Wenn eine Tabelle für UEBA oder eine Threat Intelligence-Abgleichsanalyseregel ausgewählt wird, empfiehlt die SOC-Optimierung keine Änderungen bei der Erfassung.
Nicht verwendete Spalten (Vorschau)
Die SOC-Optimierung zeigt auch nicht verwendete Spalten in Ihren Tabellen an. In der folgenden Tabelle sind die verfügbaren Spaltentypen aufgeführt, die für SOC-Optimierungsempfehlungen verfügbar sind:
| Art der Beobachtung | Aktion |
|---|---|
| Die Spalte ConditionalAccessPolicies in der Tabelle SignInLogs oder die Tabelle AADNonInteractiveUserSignInLogs wird nicht verwendet. | Beenden Sie die Datenerfassung für die Spalte. |
Wichtig
Wenn Sie Änderungen an Erfassungsplänen vornehmen, sollten Sie immer sicherstellen, dass die Grenzwerte Ihrer Erfassungspläne klar sind und dass die betroffenen Tabellen aus Konformitäts- oder anderen ähnlichen Gründen nicht erfasst werden.
Empfehlungen zur abdeckungsbasierten Optimierung
Empfehlungen zur abdeckungsbasierten Optimierung helfen Ihnen, Deckungslücken gegen bestimmte Bedrohungen oder Szenarien zu schließen, die zu Geschäftsrisiken und finanziellen Verlusten führen können.
Empfehlungen zur bedrohungsbasierten Optimierung
Um den Datenwert zu optimieren, empfiehlt die SOC-Optimierung, Ihrer Umgebung Sicherheitskontrollen in Form zusätzlicher Erkennungen und Datenquellen hinzuzufügen, wobei ein bedrohungsbasierter Ansatz verwendet wird. Dieser Optimierungstyp wird auch als Abdeckungsoptimierung bezeichnet und basiert auf der Sicherheitsforschung von Microsoft.
Die SOC-Optimierung bietet bedrohungsbasierte Empfehlungen, indem sie Ihre erfassten Protokolle analysiert und Analyseregeln aktiviert und diese dann mit den Protokollen und Erkennungen vergleicht, die für bestimmte Arten von Angriffen erforderlich sind.
Bei bedrohungsbasierten Optimierungen werden sowohl vordefinierte als auch benutzerdefinierte Erkennungen berücksichtigt.
In der folgenden Tabelle sind die verfügbaren Arten von empfehlungen für die bedrohungsbasierte SOC-Optimierung aufgeführt:
| Art der Beobachtung | Aktion |
|---|---|
| Es gibt Datenquellen, aber Erkennungen fehlen. | Aktivieren von Analyseregelvorlagen basierend auf der Bedrohung: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an. Weitere Informationen finden Sie unter Bedrohungserkennung in Microsoft Sentinel. |
| Vorlagen sind aktiviert, aber Datenquellen fehlen. | Verbinden neuer Datenquellen. |
| Es sind keine Erkennungen oder Datenquellen vorhanden. | Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung. |
AI MITRE ATT&Empfehlungen zum CK-Tagging (Vorschau)
Das KI-FEATURE MITRE ATT&CK-Tagging verwendet künstliche Intelligenz, um Sicherheitserkennungen automatisch zu markieren. Das KI-Modell wird im Arbeitsbereich des Kunden ausgeführt, um Taggingempfehlungen für nicht markierte Erkennungen mit relevanten MITRE ATT&CK-Taktiken und -Techniken zu erstellen.
Kunden können diese Empfehlungen anwenden, um sicherzustellen, dass ihre Sicherheitsabdeckung gründlich und präzise ist. Dadurch wird eine vollständige und genaue Sicherheitsabdeckung sichergestellt und die Funktionen zur Bedrohungserkennung und -reaktion verbessert.
Dies sind 3 Möglichkeiten, um die Ki-MITRE ATT-&CK-Kennzeichnungsempfehlungen anzuwenden:
- Wenden Sie die Empfehlung auf eine bestimmte Analyseregel an.
- Wenden Sie die Empfehlung auf alle Analyseregeln im Arbeitsbereich an.
- Wenden Sie die Empfehlung nicht auf Analyseregeln an.
Empfehlungen zur risikobasierten Optimierung (Vorschau)
Risikobasierte Optimierungen berücksichtigen reale Sicherheitsszenarien mit einer Reihe von damit verbundenen Geschäftsrisiken, einschließlich betrieblicher, finanzieller, Reputations-, Compliance- und rechtlicher Risiken. Die Empfehlungen basieren auf dem Microsoft Sentinel risikobasierten Sicherheitsansatz.
Um risikobasierte Empfehlungen bereitzustellen, untersucht die SOC-Optimierung Ihre erfassten Protokolle und Analyseregeln und vergleicht sie mit den Protokollen und Erkennungen, die zum Schutz, zur Erkennung und zum Reagieren auf bestimmte Arten von Angriffen erforderlich sind, die Geschäftsrisiken verursachen können. Bei der Optimierung risikobasierter Empfehlungen werden sowohl vordefinierte als auch benutzerdefinierte Erkennungen berücksichtigt.
In der folgenden Tabelle sind die verfügbaren Arten risikobasierter SOC-Optimierungsempfehlungen aufgeführt:
| Art der Beobachtung | Aktion |
|---|---|
| Es gibt Datenquellen, aber Erkennungen fehlen. | Aktivieren von Analyseregelvorlagen basierend auf den Geschäftsrisiken: Erstellen Sie eine Regel mithilfe einer Analyseregelvorlage, und passen Sie den Namen, die Beschreibung und die Abfragelogik an Ihre Umgebung an. |
| Vorlagen sind aktiviert, aber Datenquellen fehlen. | Verbinden neuer Datenquellen. |
| Es sind keine Erkennungen oder Datenquellen vorhanden. | Verbinden sie Erkennungen und Datenquellen, oder installieren Sie eine Lösung. |
Empfehlungen für ähnliche Organisationen
Die SOC-Optimierung verwendet erweitertes maschinelles Lernen, um Tabellen zu identifizieren, die in Ihrem Arbeitsbereich fehlen, aber von Organisationen mit ähnlichen Erfassungstrends und Branchenprofilen verwendet werden. Es zeigt, wie andere Organisationen diese Tabellen verwenden, und empfiehlt die relevanten Datenquellen zusammen mit zugehörigen Regeln, um Ihre Sicherheitsabdeckung zu verbessern.
| Art der Beobachtung | Aktion |
|---|---|
| Von ähnlichen Kunden erfasste Protokollquellen fehlen | Verbinden Sie die vorgeschlagenen Datenquellen. Diese Empfehlung enthält nicht:
|
Überlegungen
Ein Arbeitsbereich erhält nur dann ähnliche organization Empfehlungen, wenn das Machine Learning-Modell erhebliche Ähnlichkeiten mit anderen Organisationen erkennt und Tabellen erkennt, die sie haben, aber sie nicht. SOCs in ihrer frühen Oder Onboarding-Phase erhalten diese Empfehlungen eher als SOCs mit einem höheren Reifegrad. Nicht alle Arbeitsbereiche erhalten ähnliche Organisationsempfehlungen.
Die Machine Learning-Modelle greifen niemals auf den Inhalt von Kundenprotokollen zu oder analysieren sie zu keinem Zeitpunkt oder erfassen sie. Der Analyse werden keine Kundendaten, Inhalte oder personenbezogene Daten (EUII) offengelegt. Empfehlungen basieren auf Machine Learning-Modellen, die ausschließlich auf OII (Organizational Identifiable Information) und Systemmetadaten basieren.
Verwandte Inhalte
- Programmgesteuertes Verwenden von SOC-Optimierungen (Vorschau)
- Blog: SOC-Optimierung: Nutzen Sie die Leistungsfähigkeit eines präzisen Sicherheitsmanagements