Référence d’optimisation SOC des recommandations (préversion)
Utilisez des recommandations d’optimisation SOC pour vous aider à combler les lacunes de couverture contre des menaces spécifiques et à renforcer vos taux d’ingestion par rapport aux données qui ne fournissent pas de valeur de sécurité. Les optimisations SOC vous aident à optimiser votre espace de travail Microsoft Sentinel, sans que vos équipes SOC consacrent du temps à l’analyse manuelle et à la recherche.
Les optimisations SOC de Microsoft Sentinel incluent les types de recommandations suivants :
Les optimisations basées sur les menaces recommandent d’ajouter des contrôles de sécurité qui vous aident à combler les lacunes de couverture.
Les optimisations de valeur des données recommandent des façons d’améliorer votre utilisation des données, telles qu’un meilleur plan de données pour votre organisation.
Cet article fournit une référence aux recommandations d’optimisation SOC disponibles.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée du portail Microsoft Defender. Si vous souhaitez en savoir plus, veuillez consulter la rubrique Microsoft Sentinel dans le portail Microsoft Defender.
Optimisations des valeurs de données
Pour optimiser votre rapport coût/valeur de sécurité, l’optimisation SOC expose à peine les connecteurs de données ou les tables utilisés, et suggère des moyens de réduire le coût d’une table ou d’améliorer sa valeur, en fonction de votre couverture. Ce type d’optimisation est également appelé optimisation des valeurs de données.
Les optimisations des valeurs de données examinent uniquement les tables facturables qui ingèrent des données au cours des 30 derniers jours.
Le tableau suivant répertorie les recommandations d’optimisation SOC de valeur de données disponibles :
| Observation | Action |
|---|---|
| La table n’a pas été utilisée par des règles analytiques ou des détections au cours des 30 derniers jours, mais elle a été utilisée par d’autres sources, telles que des classeurs, des requêtes de journal, des requêtes de repérage. | Activer les modèles de règle d’analyse OR Passer aux journaux de base si la table est éligible |
| La table n’a pas été utilisée du tout au cours des 30 derniers jours | Activer les modèles de règle d’analyse OR Arrêter l’ingestion de données ou archiver la table |
| La table a été utilisée uniquement par Azure Monitor | Activer tous les modèles de règles d’analyse pertinents pour les tables avec une valeur de sécurité OR Accéder à un espace de travail Log Analytics sans sécurité |
Si une table est choisie pour UEBA ou une règle d’analyse de correspondance des informations sur les menaces, l’optimisation SOC ne recommande aucune modification de l’ingestion.
Important
Lorsque vous apportez des modifications aux plans d’ingestion, nous vous recommandons de toujours veiller à ce que les limites de vos plans d’ingestion soient claires et que les tables affectées ne soient pas ingérées pour des raisons de conformité ou d’autres raisons similaires.
Optimisation basée sur les menaces
Pour optimiser la valeur des données, l’optimisation SOC recommande d’ajouter des contrôles de sécurité à votre environnement sous la forme de détections et de sources de données supplémentaires, à l’aide d’une approche basée sur les menaces.
Pour fournir des recommandations basées sur les menaces, l’optimisation SOC examine vos journaux d’activité ingérés et les règles d’analytique activées et les compare aux journaux et aux détections nécessaires pour protéger, détecter et répondre à des types d’attaques spécifiques. Ce type d’optimisation est également appelé optimisation de la couverture et est basé sur la recherche de sécurité de Microsoft.
Le tableau suivant répertorie les recommandations d’optimisation SOC basées sur les menaces disponibles :
| Observation | Action |
|---|---|
| Il existe des sources de données, mais les détections sont manquantes. | Activez les modèles de règles d’analyse en fonction de la menace. |
| Les modèles sont activés, mais les sources de données sont manquantes. | Connecter nouvelles sources de données. |
| Il n’existe aucune détection ou source de données existante. | Connecter détections et sources de données ou installer une solution. |