Mengoptimalkan operasi keamanan Anda (pratinjau)
Tim Security Operations Center (SOC) secara aktif mencari peluang untuk mengoptimalkan proses dan hasil. Anda ingin memastikan bahwa Anda memiliki semua data yang Anda butuhkan untuk mengambil tindakan terhadap risiko di lingkungan Anda, sekaligus memastikan bahwa Anda tidak membayar untuk menyerap lebih banyak data daripada yang Anda butuhkan. Pada saat yang sama, tim Anda harus secara teratur menyesuaikan kontrol keamanan saat lanskap ancaman dan prioritas bisnis berubah, menyesuaikan dengan cepat dan efisien untuk menjaga pengembalian investasi Anda tetap tinggi.
Pengoptimalan SOC menampilkan cara Anda dapat mengoptimalkan kontrol keamanan, mendapatkan nilai lebih dari layanan keamanan Microsoft seiring berjalannya waktu.
Pengoptimalan SOC adalah rekomendasi keakuratan tinggi dan dapat ditindaklanjuti untuk membantu Anda mengidentifikasi area di mana Anda dapat mengurangi biaya, tanpa memengaruhi kebutuhan atau cakupan SOC, atau di mana Anda dapat menambahkan kontrol keamanan dan data di mana ditemukan hilang. Pengoptimalan SOC disesuaikan dengan lingkungan Anda dan berdasarkan cakupan dan lanskap ancaman Anda saat ini.
Gunakan rekomendasi pengoptimalan SOC untuk membantu Anda menutup kesenjangan cakupan terhadap ancaman tertentu dan memperketat tingkat penyerapan Terhadap data yang tidak memberikan nilai keamanan. Pengoptimalan SOC membantu Anda mengoptimalkan ruang kerja Microsoft Azure Sentinel, tanpa meminta tim SOC Anda menghabiskan waktu untuk analisis dan penelitian manual.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Tonton video berikut untuk gambaran umum dan demo pengoptimalan SOC di portal Defender. Jika Anda hanya ingin demo, lompat ke menit 8:14.
Prasyarat
Pengoptimalan SOC menggunakan peran dan izin Microsoft Azure Sentinel standar. Untuk informasi selengkapnya, lihat Peran dan izin di Microsoft Azure Sentinel.
Untuk menggunakan pengoptimalan SOC di portal Microsoft Defender, Anda harus memiliki Microsoft Sentinel yang terintegrasi dengan Microsoft Defender XDR. Untuk informasi selengkapnya, lihat Koneksi Microsoft Sentinel ke Microsoft Defender XDR.
Mengakses halaman pengoptimalan SOC
Gunakan salah satu tab berikut, tergantung pada apakah Anda bekerja di platform operasi SOC terpadu atau di portal Azure:
Di Microsoft Azure Sentinel di portal Azure, di bawah Manajemen ancaman, pilih pengoptimalan SOC.
Memahami metrik gambaran umum pengoptimalan SOC
Metrik pengoptimalan yang ditampilkan di bagian atas tab Gambaran Umum memberi Anda pemahaman tingkat tinggi tentang seberapa efisien Anda menggunakan data Anda, dan akan berubah dari waktu ke waktu saat Anda menerapkan rekomendasi.
Metrik yang didukung di bagian atas tab Gambaran Umum meliputi:
| Judul | Deskripsi |
|---|---|
| Data yang diserap selama 3 bulan terakhir | Memperlihatkan total data yang diserap di ruang kerja Anda selama tiga bulan terakhir. |
| Status pengoptimalan | Menunjukkan jumlah pengoptimalan yang direkomendasikan yang saat ini aktif, selesai, dan diberhentikan. |
Pilih Lihat semua skenario ancaman untuk melihat daftar lengkap ancaman yang relevan, deteksi aktif dan direkomendasikan, dan tingkat cakupan.
Melihat dan mengelola rekomendasi pengoptimalan
Dalam portal Azure, rekomendasi pengoptimalan SOC tercantum di tab Gambaran Umum pengoptimalan > SOC.
Contohnya:
Setiap kartu pengoptimalan mencakup status, judul, tanggal pembuatannya, deskripsi tingkat tinggi, dan ruang kerja yang berlaku untuknya.
Pengoptimalan filter
Filter pengoptimalan berdasarkan jenis pengoptimalan, atau cari judul pengoptimalan tertentu menggunakan kotak pencarian di samping. Jenis pengoptimalan meliputi:
Cakupan: Mencakup rekomendasi berbasis ancaman untuk menambahkan kontrol keamanan untuk membantu menutup kesenjangan cakupan untuk berbagai jenis serangan.
Nilai data: Menyertakan rekomendasi yang menyarankan cara untuk meningkatkan penggunaan data Anda untuk memaksimalkan nilai keamanan dari data yang diserap, atau menyarankan rencana data yang lebih baik untuk organisasi Anda.
Melihat detail pengoptimalan dan mengambil tindakan
Di setiap kartu pengoptimalan, pilih Lihat detail lengkap untuk melihat deskripsi lengkap pengamatan yang mengarah ke rekomendasi, dan nilai yang Anda lihat di lingkungan Anda saat rekomendasi tersebut diterapkan.
Gulir ke bawah ke bagian bawah panel detail untuk tautan ke tempat Anda bisa mengambil tindakan yang direkomendasikan. Contohnya:
- Jika pengoptimalan menyertakan rekomendasi untuk menambahkan aturan analitik, pilih Buka Hub Konten.
- Jika pengoptimalan menyertakan rekomendasi untuk memindahkan tabel ke log dasar, pilih Ubah paket.
Jika Anda memilih untuk menginstal templat aturan analitik dari Hub Konten, dan Anda belum menginstal solusi, hanya templat aturan analitik yang Anda instal yang ditampilkan dalam solusi saat Anda selesai. Instal solusi lengkap untuk melihat semua item konten yang tersedia dari solusi yang dipilih. Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten di luar kotak Microsoft Azure Sentinel.
Mengelola pengoptimalan
Secara default, status pengoptimalan aktif. Ubah status mereka saat tim Anda maju melalui triaging dan menerapkan rekomendasi.
Pilih menu opsi atau pilih Tampilkan detail lengkap untuk mengambil salah satu tindakan berikut:
| Tindakan | Deskripsi |
|---|---|
| Complete | Selesaikan pengoptimalan saat Anda menyelesaikan setiap tindakan yang direkomendasikan. Jika perubahan di lingkungan Anda terdeteksi yang membuat rekomendasi tidak relevan, pengoptimalan secara otomatis selesai dan dipindahkan ke tab Selesai . Misalnya, Anda mungkin memiliki pengoptimalan yang terkait dengan tabel yang sebelumnya tidak digunakan. Jika tabel Anda sekarang digunakan dalam aturan analitik baru, rekomendasi pengoptimalan sekarang tidak relevan. Dalam kasus seperti itu, banner ditampilkan di tab Gambaran Umum dengan jumlah pengoptimalan yang diselesaikan secara otomatis sejak kunjungan terakhir Anda. |
| Tandai sebagai sedang berlangsung / Tandai sebagai aktif | Tandai pengoptimalan saat sedang berlangsung atau aktif untuk memberi tahu anggota tim lain bahwa Anda sedang aktif mengerjakannya. Gunakan kedua status ini secara fleksibel, tetapi secara konsisten, sesuai kebutuhan untuk organisasi Anda. |
| Tutup | Menutup pengoptimalan jika Anda tidak berencana untuk mengambil tindakan yang direkomendasikan dan tidak lagi ingin melihatnya dalam daftar. |
| Berikan umpan balik | Kami mengundang Anda untuk membagikan pemikiran Anda tentang tindakan yang direkomendasikan dengan tim Microsoft! Saat membagikan umpan balik Anda, berhati-hatilah untuk tidak berbagi data rahasia apa pun. Untuk informasi selengkapnya, lihat Pernyataan Privasi Microsoft. |
Melihat pengoptimalan yang telah selesai dan dihentikan
Jika Anda menandai pengoptimalan tertentu sebagai Selesai atau Ditutup, atau jika pengoptimalan selesai secara otomatis, pengoptimalan tersebut tercantum di tab Selesai dan Ditutup .
Dari sini, pilih menu opsi atau pilih Tampilkan detail lengkap untuk mengambil salah satu tindakan berikut:
Aktifkan kembali pengoptimalan, kirim kembali ke tab Gambaran Umum. Pengoptimalan yang diaktifkan kembali dihitung ulang untuk memberikan nilai dan tindakan yang paling diperbarui. Menghitung ulang detail ini dapat memakan waktu hingga satu jam, jadi tunggu sebelum memeriksa detail dan tindakan yang direkomendasikan lagi.
Pengoptimalan yang diaktifkan kembali mungkin juga berpindah langsung ke tab Selesai jika, setelah menghitung ulang detail, pengoptimalan tersebut ditemukan tidak lagi relevan.
Berikan umpan balik lebih lanjut kepada tim Microsoft. Saat membagikan umpan balik Anda, berhati-hatilah untuk tidak berbagi data rahasia apa pun. Untuk informasi selengkapnya, lihat Pernyataan Privasi Microsoft.
Menggunakan pengoptimalan melalui API
Recommendations Grup operasi menyediakan akses ke pengoptimalan SOC melalui Azure REST API. Misalnya, gunakan API untuk mendapatkan detail tentang rekomendasi tertentu, atau semua rekomendasi saat ini di seluruh ruang kerja Anda, atau untuk mengevaluasi kembali rekomendasi jika Anda telah membuat perubahan.
Meskipun pengoptimalan SOC dalam pratinjau, dokumentasi API hanya tersedia dalam spesifikasi Swagger, dan bukan dalam referensi REST API. Untuk informasi selengkapnya, lihat API versi API REST API Microsoft Sentinel.
Alur penggunaan pengoptimalan SOC
Bagian ini menyediakan alur sampel untuk menggunakan pengoptimalan SOC, baik dari Defender atau portal Azure:
Pada halaman pengoptimalan SOC, mulailah dengan memahami dasbor:
- Amati metrik teratas untuk status pengoptimalan keseluruhan.
- Tinjau rekomendasi pengoptimalan untuk nilai data dan cakupan berbasis ancaman.
Gunakan rekomendasi pengoptimalan untuk mengidentifikasi tabel dengan penggunaan rendah, yang menunjukkan bahwa mereka tidak digunakan untuk deteksi. Pilih Tampilkan detail lengkap untuk melihat ukuran dan biaya data yang tidak digunakan. Pertimbangkan salah satu tindakan berikut:
Tambahkan aturan analitik untuk menggunakan tabel untuk perlindungan yang ditingkatkan. Untuk menggunakan opsi ini, pilih Buka Hub Konten untuk melihat dan mengonfigurasi templat aturan analitik out-of-the-box tertentu yang menggunakan tabel yang dipilih. Di hub Konten, Anda tidak perlu mencari aturan yang relevan, karena Anda dibawa langsung ke aturan yang relevan.
Jika aturan analitik baru memerlukan sumber log tambahan, pertimbangkan untuk menyerapnya untuk meningkatkan cakupan ancaman.
Untuk informasi selengkapnya, lihat Menemukan dan mengelola konten out-of-the-box Microsoft Azure Sentinel dan Mendeteksi ancaman secara langsung.
Ubah tingkat komitmen Anda untuk penghematan biaya. Untuk informasi selengkapnya, lihat Mengurangi biaya untuk Microsoft Azure Sentinel.
Gunakan rekomendasi pengoptimalan untuk meningkatkan cakupan terhadap ancaman tertentu. Misalnya, untuk pengoptimalan ransomware yang dioperasikan manusia:
Pilih Tampilkan detail lengkap untuk melihat cakupan saat ini dan peningkatan yang disarankan.
Pilih Lihat semua peningkatan teknik MITRE ATT&CK untuk menelusuri paling detail dan menganalisis taktik dan teknik yang relevan, membantu Anda memahami kesenjangan cakupan.
Pilih Buka Hub konten untuk melihat semua konten keamanan yang direkomendasikan, difilter khusus untuk pengoptimalan ini.
Setelah mengonfigurasi aturan baru atau membuat perubahan, tandai rekomendasi sebagai selesai atau biarkan sistem diperbarui secara otomatis.