優化您的安全性作業 (預覽)
安全性作業中心 (SOC) 小組會積極尋找優化流程和結果的機會。 您想要確定您擁有針對環境中風險採取動作所需的所有數據,同時確保您不會支付擷取 比您需要更多 數據的費用。 同時,您的小組必須定期調整安全性控制,因為威脅環境和商業優先順序變更,快速且有效率地調整,以保持高投資報酬。
SOC 優化可讓您優化安全性控件的方式,隨著時間的流逝,從 Microsoft 安全性服務取得更多價值。
SOC 優化是高逼真度且可採取動作的建議,可協助您找出可降低成本、不影響SOC需求或涵蓋範圍的區域,或您可以在其中新增安全性控件和數據,其中發現遺失安全性控件和數據。 SOC 優化會根據您的環境量身打造,並根據您目前的涵蓋範圍和威脅環境。
使用SOC優化建議可協助您關閉特定威脅的涵蓋範圍差距,並加強對未提供安全性價值之數據的擷取率。 SOC 優化可協助您優化 Microsoft Sentinel 工作區,而不需要您的 SOC 小組花時間進行手動分析和研究。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
觀看下列影片,以取得Defender入口網站中SOC優化的概觀和示範。 如果您只想要示範,請跳到 8:14 分鐘。
必要條件
SOC 優化會使用標準的 Microsoft Sentinel 角色和許可權。 如需詳細資訊,請參閱 Microsoft Sentinel 中的角色和許可權。
若要在 Microsoft Defender 入口網站中使用 SOC 優化,您必須將 Microsoft Sentinel 與 Microsoft Defender 全面偵測回應 整合。 如需詳細資訊,請參閱 連線 Microsoft Sentinel Microsoft Defender 全面偵測回應。
存取SOC優化頁面
根據您要在統一 SOC 作業平臺或 Azure 入口網站 中使用下列其中一個索引標籤:
在 Azure 入口網站 的 Microsoft Sentinel 中,於 [威脅管理] 底下,選取 [SOC 優化]。
瞭解SOC優化概觀計量
[概觀] 索引卷標頂端顯示的優化計量可讓您大致瞭解您使用數據的效率,並在實作建議時隨著時間變更。
[概觀] 索引標籤端支援的計量包括:
| 標題 | 描述 |
|---|---|
| 過去 3 個月內嵌的數據 | 顯示過去三個月內嵌在工作區中的數據總數。 |
| 優化狀態 | 顯示目前作用中、已完成和關閉的建議優化數目。 |
選取 [ 查看所有威脅案例 ],以檢視相關威脅的完整清單、作用中和建議的偵測,以及涵蓋範圍層級。
檢視和管理優化建議
在 Azure 入口網站 中,SOC 優化建議會列在 [SOC 優化>概觀] 索引卷標上。
例如:
![Azure 入口網站 中 SOC 優化 [概觀] 索引標籤的螢幕快照。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
![Defender 入口網站中 SOC 優化 [概觀] 索引卷標的螢幕快照。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
每個優化卡片都包含狀態、標題、建立日期、高階描述,以及其適用的工作區。
篩選優化
根據優化類型篩選優化,或使用側邊的搜尋方塊搜尋特定優化標題。 優化類型包括:
涵蓋範圍:包含新增安全性控制的威脅型建議,以協助縮小各種攻擊類型的涵蓋範圍差距。
數據值:包含建議建議改善數據使用量的建議,以將內嵌數據的安全性價值最大化,或建議為組織制定更好的數據計劃。
檢視優化詳細數據並採取動作
在每個優化卡片中,選取 [檢視完整詳細 數據] 以查看導致建議之觀察的完整描述,以及您在環境中實作該建議時看到的值。
向下捲動至詳細數據窗格底部,以取得您可以採取建議動作的連結。 例如:
- 如果優化包含新增分析規則的建議,請選取 [移至內容中樞]。
- 如果優化包含將數據表移至基本記錄的建議,請選取 [變更計劃]。
如果您選擇從內容中樞安裝分析規則範本,而且尚未安裝解決方案,則當您完成時,只會顯示您安裝的分析規則範本。 安裝完整的解決方案,以查看所選解決方案中所有可用的內容專案。 如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容。
管理優化
根據預設,優化狀態為 [作用中]。 在小組進行分級和實作建議時變更其狀態。
選取選項選單,或選取 [ 檢視完整詳細資料 ] 以採取下列其中一個動作:
| 動作 | 描述 |
|---|---|
| 完成 | 完成每個建議動作時,請完成優化。 如果偵測到環境中所做的變更,使建議無關緊要,則會自動完成優化,並移至 [ 已完成 ] 索引標籤。 例如,您可能有與先前未使用的資料表相關的優化。 如果您的數據表現在用於新的分析規則,優化建議現在無關緊要。 在這種情況下,橫幅會顯示在 [ 概 觀] 索引標籤中,其中包含自上次瀏覽以來自動完成的優化數目。 |
| 標示為進行 / 中標示為使用中 | 將優化標示為進行中或作用中,以通知其他小組成員您正在積極處理。 您可以彈性地使用這兩種狀態,但一致地視組織的需求使用。 |
| 關閉 | 如果您不打算採取建議的動作,而不想再在清單中看到優化,請關閉優化。 |
| 提供意見反應 | 我們邀請您與 Microsoft 小組分享建議動作的想法! 共用您的意見反應時,請小心不要共用任何機密數據。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。 |
檢視已完成和已關閉的優化
如果您將特定優化標示為已完成或已關閉,或優化已自動完成,則會分別列在 [已完成] 和 [已關閉] 索引標籤上。
從這裡選取選項功能表,或選取 [ 檢視完整詳細數據 ] 以採取下列其中一個動作:
重新啟用優化,將其傳回 [ 概 觀] 索引標籤。重新啟用的優化會重新計算,以提供最新的值和動作。 重新計算這些詳細數據最多可能需要一小時的時間,因此在再次檢查詳細數據和建議動作之前等候。
如果重新計算詳細數據之後,重新啟用的優化可能也會直接 移至 [已完成 ] 索引標籤,發現它們不再相關。
向 Microsoft 小組提供進一步的意見反應 。 共用您的意見反應時,請小心不要共用任何機密數據。 如需詳細資訊,請參閱 Microsoft 隱私權聲明。
透過 API 使用優化
作業 Recommendations 群組會透過 Azure REST API 提供 SOC 優化存取權。 例如,使用 API 來取得特定建議或工作區中所有目前建議的詳細數據,或如果您已進行變更,則重新評估建議。
雖然 SOC 優化處於預覽狀態,但 API 檔僅適用於 Swagger 規格,而不是在 REST API 參考中。 如需詳細資訊,請參閱 Microsoft Sentinel REST API 的 API 版本。
SOC 優化使用流程
本節提供從 Defender 或 Azure 入口網站 使用 SOC 優化的範例流程:
在 SOC優化 頁面上,從了解儀錶板開始:
- 觀察整體優化狀態的最上層計量。
- 檢閱數據值和威脅型涵蓋範圍的優化建議。
使用優化建議來識別使用量低的數據表,指出它們不會用於偵測。 選取 [ 檢視完整詳細 數據] 以查看未使用資料的大小和成本。 請考慮下列其中一個動作:
新增分析規則,以使用數據表來增強保護。 若要使用此選項,請選取 [移至內容中樞 ] 以檢視及設定使用所選數據表的特定現用分析規則範本。 在內容中樞中,您不需要搜尋相關規則,因為您直接被帶到相關規則。
如果新的分析規則需要額外的記錄來源,請考慮擷取它們以改善威脅涵蓋範圍。
如需詳細資訊,請參閱 探索及管理現用的 Microsoft Sentinel 內容 和 立即偵測威脅。
變更您的承諾層級以節省成本。 如需詳細資訊,請參閱 降低 Microsoft Sentinel 的成本。
使用優化建議來改善特定威脅的涵蓋範圍。 例如,針對人為操作的勒索軟體優化:
選取 [ 檢視完整詳細數據 ] 以查看目前的涵蓋範圍和建議的改善。
選取 [ 檢視所有 MITRE ATT&CK 技術改進 ],以向下切入和分析相關的策略和技術,協助您了解涵蓋範圍差距。
選取 [移至內容中樞 ] 以檢視所有建議的安全性內容,並特別針對此優化進行篩選。
設定新規則或進行變更之後,請將建議標示為已完成,或讓系統自動更新。