Referensi pengoptimalan SOC rekomendasi (pratinjau)
Gunakan rekomendasi pengoptimalan SOC untuk membantu Anda menutup kesenjangan cakupan terhadap ancaman tertentu dan memperketat tingkat penyerapan Terhadap data yang tidak memberikan nilai keamanan. Pengoptimalan SOC membantu Anda mengoptimalkan ruang kerja Microsoft Azure Sentinel, tanpa meminta tim SOC Anda menghabiskan waktu untuk analisis dan penelitian manual.
Pengoptimalan SOC Microsoft Sentinel mencakup jenis rekomendasi berikut:
Pengoptimalan berbasis ancaman merekomendasikan penambahan kontrol keamanan yang membantu Anda menutup kesenjangan cakupan.
Pengoptimalan nilai data merekomendasikan cara untuk meningkatkan penggunaan data Anda, seperti rencana data yang lebih baik untuk organisasi Anda.
Artikel ini menyediakan referensi rekomendasi pengoptimalan SOC yang tersedia.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari platform operasi keamanan terpadu di portal Pertahanan Microsoft. Microsoft Sentinel di portal Defender sekarang didukung untuk penggunaan produksi. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Pengoptimalan nilai data
Untuk mengoptimalkan rasio biaya terhadap nilai keamanan Anda, pengoptimalan SOC memunculkan konektor data atau tabel yang hampir tidak digunakan, dan menyarankan cara untuk mengurangi biaya tabel atau meningkatkan nilainya, tergantung pada cakupan Anda. Jenis pengoptimalan ini juga disebut pengoptimalan nilai data.
Pengoptimalan nilai data hanya melihat tabel yang dapat ditagih yang menyerap data dalam 30 hari terakhir.
Tabel berikut mencantumkan rekomendasi pengoptimalan SOC nilai data yang tersedia:
| Pengamatan | Perbuatan |
|---|---|
| Tabel tidak digunakan oleh aturan analitik atau deteksi dalam 30 hari terakhir tetapi digunakan oleh sumber lain, seperti buku kerja, kueri log, kueri berburu. | Mengaktifkan templat aturan analitik ATAU Pindah ke log dasar jika tabel memenuhi syarat |
| Tabel tidak digunakan sama sekali dalam 30 hari terakhir | Mengaktifkan templat aturan analitik ATAU Menghentikan penyerapan data atau mengarsipkan tabel |
| Tabel hanya digunakan oleh Azure Monitor | Mengaktifkan templat aturan analitik yang relevan untuk tabel dengan nilai keamanan ATAU Pindah ke ruang kerja Analitik Log non-keamanan |
Jika tabel dipilih untuk UEBA atau aturan analitik pencocokan inteligensi ancaman, pengoptimalan SOC tidak merekomendasikan perubahan dalam penyerapan.
Penting
Saat membuat perubahan pada rencana penyerapan, kami sarankan selalu memastikan bahwa batas rencana penyerapan Anda jelas, dan bahwa tabel yang terpengaruh tidak diserap karena kepatuhan atau alasan serupa lainnya.
Pengoptimalan berbasis ancaman
Untuk mengoptimalkan nilai data, pengoptimalan SOC merekomendasikan penambahan kontrol keamanan ke lingkungan Anda dalam bentuk deteksi ekstra dan sumber data, menggunakan pendekatan berbasis ancaman.
Untuk memberikan rekomendasi berbasis ancaman, pengoptimalan SOC melihat log anda yang diserap dan mengaktifkan aturan analitik, dan membandingkannya dengan log dan deteksi yang diperlukan untuk melindungi, mendeteksi, dan merespons jenis serangan tertentu. Jenis pengoptimalan ini juga dikenal sebagai pengoptimalan cakupan, dan didasarkan pada penelitian keamanan Microsoft.
Tabel berikut mencantumkan rekomendasi pengoptimalan SOC berbasis ancaman yang tersedia:
| Pengamatan | Perbuatan |
|---|---|
| Ada sumber data, tetapi deteksi hilang. | Aktifkan templat aturan analitik berdasarkan ancaman. |
| Templat diaktifkan, tetapi sumber data hilang. | Koneksi sumber data baru. |
| Tidak ada deteksi atau sumber data yang ada. | Koneksi deteksi dan sumber data atau instal solusi. |