Güvenlik işlemlerinizi iyileştirme (önizleme)
Güvenlik operasyonları merkezi (SOC) ekipleri hem süreçleri hem de sonuçları iyileştirme fırsatlarını etkin bir şekilde arar. Ortamınızdaki risklere karşı eyleme geçmek için ihtiyacınız olan tüm verilere sahip olduğunuzdan emin olmak ve aynı zamanda ihtiyacınız olandan daha fazla veri almak için ödeme yapılmadığından emin olmak istiyorsunuz. Aynı zamanda, tehdit alanları ve iş öncelikleri değiştikçe ekiplerinizin güvenlik denetimlerini düzenli olarak ayarlaması ve yatırım getirinizi yüksek tutmak için hızlı ve verimli bir şekilde ayarlanması gerekir.
SOC iyileştirmesi, zaman geçtikçe Microsoft güvenlik hizmetlerinden daha fazla değer kazanarak güvenlik denetimlerinizi iyileştirmenin yollarını ortaya çıkarmaktadır.
SOC iyileştirmeleri, SOC gereksinimlerini veya kapsamını etkilemeden maliyetleri düşürebileceğiniz alanları veya eksik olduğu durumlarda güvenlik denetimleri ve verileri ekleyebileceğiniz alanları belirlemenize yardımcı olan yüksek aslına uygun ve eyleme dönüştürülebilir önerilerdir. SOC iyileştirmeleri ortamınıza özel olarak ve geçerli kapsamınıza ve tehdit ortamınıza göre uyarlanır.
Belirli tehditlere karşı kapsam boşluklarını kapatmanıza ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı artırmanıza yardımcı olması için SOC iyileştirme önerilerini kullanın. SOC iyileştirmeleri, SOC ekiplerinizin el ile analiz ve araştırma için zaman harcamalarına gerek kalmadan Microsoft Sentinel çalışma alanınızı iyileştirmenize yardımcı olur.
Önemli
Microsoft Sentinel, Microsoft Defender portalında birleşik güvenlik işlemleri platformu için genel önizleme kapsamında kullanılabilir. Daha fazla bilgi için Bkz . Microsoft Defender portalında Microsoft Sentinel.
Defender portalında SOC iyileştirmesine genel bakış ve tanıtım için aşağıdaki videoyu izleyin. Sadece bir tanıtım istiyorsanız, 8:14 dakikasına atlayın.
Önkoşullar
SOC iyileştirmesi standart Microsoft Sentinel rollerini ve izinlerini kullanır. Daha fazla bilgi için bkz . Microsoft Sentinel'de roller ve izinler.
Microsoft Defender portalında SOC iyileştirmesini kullanmak için Microsoft Sentinel'in Microsoft Defender XDR ile tümleşik olması gerekir. Daha fazla bilgi için bkz. Microsoft Sentinel'den Microsoft Defender XDR'ye Bağlan.
SOC iyileştirme sayfasına erişme
Birleşik SOC işlemleri platformunda mı yoksa Azure portalında mı çalıştığınıza bağlı olarak aşağıdaki sekmelerden birini kullanın:
Azure portalındaki Microsoft Sentinel'de Tehdit yönetimi'nin altında SOC iyileştirme'yi seçin.
SOC iyileştirmeye genel bakış ölçümlerini anlama
Genel Bakış sekmesinin en üstünde gösterilen iyileştirme ölçümleri, verilerinizi ne kadar verimli bir şekilde kullandığınıza ilişkin üst düzey bir anlayış sağlar ve öneriler uygulanırken zaman içinde değişir.
Genel Bakış sekmesinin en üstündeki desteklenen ölçümler şunlardır:
| Ünvan | Açıklama |
|---|---|
| Son 3 ay içinde alınan veriler | Son üç ay içinde çalışma alanınıza alınan toplam verileri gösterir. |
| İyileştirmelerin durumu | Şu anda etkin, tamamlanmış ve kapatılmış önerilen iyileştirmelerin sayısını gösterir. |
İlgili tehditlerin, etkin ve önerilen algılamaların ve kapsam düzeylerinin tam listesini görüntülemek için Tüm tehdit senaryolarını görüntüle'yi seçin.
İyileştirme önerilerini görüntüleme ve yönetme
Azure portalında SOC iyileştirme önerileri SOC iyileştirmesine > Genel Bakış sekmesinde listelenir.
Örneğin:
Her iyileştirme kartı durum, başlık, oluşturulduğu tarih, üst düzey bir açıklama ve geçerli olduğu çalışma alanını içerir.
Filtre iyileştirmeleri
İyileştirmeleri iyileştirme türüne göre filtreleyin veya yan taraftaki arama kutusunu kullanarak belirli bir iyileştirme başlığı arayın. İyileştirme türleri şunlardır:
Kapsam: Çeşitli saldırı türlerinin kapsama boşluklarını kapatmaya yardımcı olmak için güvenlik denetimleri eklemeye yönelik tehdit tabanlı öneriler içerir.
Veri değeri: Alınan verilerden güvenlik değerini en üst düzeye çıkarmak için veri kullanımınızı iyileştirmenin yollarını öneren veya kuruluşunuz için daha iyi bir veri planı öneren öneriler içerir.
İyileştirme ayrıntılarını görüntüleme ve işlem gerçekleştirme
Her iyileştirme kartında, öneriye yol açan gözlemin tam açıklamasını ve bu öneri uygulandığında ortamınızda gördüğünüz değeri görmek için Tüm ayrıntıları görüntüle'yi seçin.
Önerilen eylemleri gerçekleştirebileceğiniz bir bağlantı için ayrıntılar bölmesinin en altına kadar aşağı kaydırın. Örneğin:
- İyileştirme analiz kuralları eklemeye yönelik öneriler içeriyorsa İçerik Hub'ına Git'i seçin.
- İyileştirme, tabloyu temel günlüklere taşıma önerileri içeriyorsa Planı değiştir'i seçin.
İçerik Merkezi'nden bir analiz kuralı şablonu yüklemeyi seçerseniz ve çözümü henüz yüklemediyseniz, işiniz bittiğinde çözümde yalnızca yüklediğiniz analiz kuralı şablonu gösterilir. Seçili çözümden tüm kullanılabilir içerik öğelerini görmek için çözümün tamamını yükleyin. Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme.
İyileştirmeleri yönetme
Varsayılan olarak iyileştirme durumları Etkin'dir. Ekipleriniz önerileri önceliklendirme ve uygulama yoluyla ilerledikçe durumlarını değiştirin.
Aşağıdaki eylemlerden birini yapmak için seçenekler menüsünü seçin veya Tüm ayrıntıları görüntüle'yi seçin:
| Eylem | Açıklama |
|---|---|
| Tamamla | Önerilen her eylemi tamamladığınızda iyileştirmeyi tamamlayın. Ortamınızda öneriyi ilgisiz hale getiren bir değişiklik algılanırsa, iyileştirme otomatik olarak tamamlanır ve Tamamlandı sekmesine taşınır. Örneğin, daha önce kullanılmayan bir tabloyla ilgili bir iyileştirmeniz olabilir. Tablonuz artık yeni bir analiz kuralında kullanılıyorsa, iyileştirme önerisi artık ilgisizdir. Bu gibi durumlarda, Genel Bakış sekmesinde son ziyaretinizin ardından otomatik olarak tamamlanan iyileştirmelerin sayısını içeren bir başlık gösterilir. |
| Devam ediyor / olarak işaretle Etkin olarak işaretle | Diğer ekip üyelerine üzerinde etkin bir şekilde çalıştığınızı bildirmek için bir iyileştirmeyi devam ediyor veya etkin olarak işaretleyin. Kuruluşunuz için gerektiğinde bu iki durumu esnek ancak tutarlı bir şekilde kullanın. |
| At | Önerilen eylemi gerçekleştirmeyi planlamıyorsanız ve artık listede görmek istemiyorsanız iyileştirmeyi kapatabilirsiniz. |
| Geribildirim gönderme | Önerilen eylemler hakkındaki düşüncelerinizi Microsoft ekibiyle paylaşmaya davet ediyoruz! Geri bildiriminizi paylaşırken gizli veri paylaşmamaya dikkat edin. Daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi. |
Tamamlanan ve kapatılan iyileştirmeleri görüntüleme
Belirli bir iyileştirmeyi Tamamlandı veya Kapatıldı olarak işaretlediyseniz veya bir iyileştirme otomatik olarak tamamlandıysa, sırasıyla Tamamlandı ve Kapatıldı sekmelerinde listelenir.
Buradan seçenekler menüsünü seçin veya Tüm ayrıntıları görüntüle'yi seçerek aşağıdaki eylemlerden birini gerçekleştirin:
İyileştirmeyi yeniden etkinleştirerek Genel Bakış sekmesine geri gönderme. En güncel değeri ve eylemi sağlamak için yeniden etkinleştirilen iyileştirmeler yeniden hesaplanır. Bu ayrıntıların yeniden hesaplanması bir saate kadar sürebilir, bu nedenle ayrıntıları ve önerilen eylemleri yeniden denetlemeden önce bekleyin.
Yeniden etkinleştirilen iyileştirmeler, ayrıntıları yeniden hesapladıktan sonra artık ilgili olmadığı tespit edilmesi durumunda doğrudan Tamamlandı sekmesine de taşınabilir.
Microsoft ekibine daha fazla geri bildirim sağlayın. Geri bildiriminizi paylaşırken gizli veri paylaşmamaya dikkat edin. Daha fazla bilgi için bkz. Microsoft Gizlilik Bildirimi.
API aracılığıyla iyileştirmeleri kullanma
İşlem grubu, Recommendations Azure REST API aracılığıyla SOC iyileştirmelerine erişim sağlar. Örneğin, belirli öneriler veya çalışma alanlarınızdaki tüm geçerli öneriler hakkında ayrıntılı bilgi almak veya değişiklik yaptıysanız bir öneriyi yeniden değerlendirmek için API'yi kullanın.
SOC iyileştirmeleri önizleme aşamasındayken, API belgeleri REST API başvurusunda değil yalnızca Swagger belirtiminde kullanılabilir. Daha fazla bilgi için bkz . Microsoft Sentinel REST API'lerinin API sürümleri.
SOC iyileştirme kullanım akışı
Bu bölüm, Defender veya Azure portalından SOC iyileştirmelerini kullanmaya yönelik örnek bir akış sağlar:
SOC iyileştirme sayfasında, panoyu anlayarak başlayın:
- Genel iyileştirme durumu için en önemli ölçümleri gözlemleyin.
- Veri değeri ve tehdit tabanlı kapsam için iyileştirme önerilerini gözden geçirin.
Düşük kullanımlı tabloları belirlemek için iyileştirme önerilerini kullanın ve bu tabloların algılamalar için kullanılmadığını belirtin. Kullanılmayan verilerin boyutunu ve maliyetini görmek için Tüm ayrıntıları görüntüle'yi seçin. Aşağıdaki eylemlerden birini göz önünde bulundurun:
Gelişmiş koruma için tabloyu kullanmak için analiz kuralları ekleyin. Bu seçeneği kullanmak için İçerik Hub'ına git'i seçerek seçili tabloyu kullanan belirli hazır analiz kuralı şablonlarını görüntüleyin ve yapılandırın. İçerik hub'ında, doğrudan ilgili kurala alındığı için ilgili kuralı aramanız gerekmez.
Yeni analiz kuralları ek günlük kaynakları gerektiriyorsa tehdit kapsamını geliştirmek için bunları almayı göz önünde bulundurun.
Daha fazla bilgi için bkz . Microsoft Sentinel'in kullanıma hazır içeriğini bulma ve yönetme ve Tehditleri kullanıma hazır olarak algılama.
Maliyet tasarrufu için taahhüt katmanınızı değiştirin. Daha fazla bilgi için bkz . Microsoft Sentinel için maliyetleri azaltma.
Belirli tehditlere karşı kapsamı geliştirmek için iyileştirme önerilerini kullanın. Örneğin, insan tarafından çalıştırılan fidye yazılımı iyileştirmesi için:
Geçerli kapsamı ve önerilen iyileştirmeleri görmek için Tüm ayrıntıları görüntüle'yi seçin.
Kapsam farkını anlamanıza yardımcı olmak üzere ilgili taktikleri ve teknikleri detaya gidip analiz etmek için Tüm MITRE ATT ve CK teknik geliştirmelerini görüntüle'yi seçin.
Bu iyileştirme için özel olarak filtrelenmiş, önerilen tüm güvenlik içeriğini görüntülemek için İçerik hub'ına Git'i seçin.
Yeni kuralları yapılandırdıktan veya değişiklik yaptıktan sonra öneriyi tamamlandı olarak işaretleyin veya sistemin otomatik olarak güncelleştirilmesine izin verin.