セキュリティ オペレーション センター (SOC) チームは、プロセスと結果を改善し、余分なインジェスト コストなしでリスクに対処するために必要なデータを確保する方法を探します。 SOC チームは、必要以上に 多くの データを支払うことなく、リスクに対して対処するために必要なすべてのデータを確実に取得したいと考えています。 同時に、SOC チームは、脅威やビジネスの優先順位の変化に応じてセキュリティ制御を調整し、迅速かつ効率的に投資収益率を最大化する必要があります。
SOC の最適化は、セキュリティ制御を最適化し、時間が経つにつれて Microsoft セキュリティ サービスからより多くの価値を得る方法を示す実用的な推奨事項です。 推奨事項は、SOC のニーズやカバレッジに影響を与えずにコストを削減するのに役立ち、必要に応じてセキュリティ制御とデータを追加するのに役立ちます。 これらの最適化は、現在のカバレッジと脅威の状況に基づいて、環境に合わせて調整されます。
SOC 最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを解消し、セキュリティ値を提供しないデータに対するインジェスト率を引き締めることができます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するのに役立ちます。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
Microsoft Defender ポータルでの SOC 最適化の概要とデモについては、次のビデオをご覧ください。 デモが必要な場合は、8:14 分にジャンプします。
前提条件
SOC の最適化では、標準のMicrosoft Sentinelロールとアクセス許可が使用されます。 詳細については、「Microsoft Sentinelのロールとアクセス許可」を参照してください。
Defender ポータルで SOC 最適化を使用するには、Microsoft Sentinelを Defender ポータルにオンボードします。 詳細については、「Microsoft Defender ポータルにMicrosoft Sentinelを接続する」を参照してください。
SOC 最適化ページにアクセスする
Azure portalポータルと Defender ポータルのどちらを使用しているかに応じて、次のいずれかのタブを使用します。 ワークスペースが Defender ポータルにオンボードされている場合、SOC の最適化には、Microsoft セキュリティ サービス全体からのカバレッジが含まれます。
Defender ポータルで、[ SOC の最適化] を選択します。
![Defender ポータルの [SOC 最適化] ページのスクリーンショット。](media/soc-optimization-access/soc-optimization-xdr.png#lightbox)
![Azure portalの [SOC 最適化] ページのスクリーンショット。](media/soc-optimization-access/soc-optimization-azure.png)
SOC 最適化の概要メトリックについて理解する
[ 概要 ] タブの上部に表示される最適化メトリックは、データを使用する効率を高く理解し、推奨事項を実装するにつれて時間の経過とともに変化します。
[ 概要 ] タブの上部でサポートされているメトリックは次のとおりです。
| Title | 説明 |
|---|---|
| 最近の最適化値 | 最近実装した推奨事項に基づいて得られた値を表示します |
| 取り込まれたデータ | 過去 90 日間にワークスペースに取り込まれたデータの合計を表示します。 |
| 脅威ベースのカバレッジの最適化 | Microsoft リサーチ チームが推奨するルールの数と比較して、ワークスペースで見つかった分析ルールの数に基づいて、次のいずれかのカバレッジ インジケーターを表示します。 - 高: 推奨ルールの 75% 以上がアクティブ化されます - 中: 推奨ルールの 30% から 74% がアクティブ化されます - 低: 推奨ルールの 0% から 29% がアクティブ化されます。 [ すべての脅威シナリオの表示] を選択して、関連する脅威とリスクベースのシナリオ、アクティブおよび推奨される検出、カバレッジ レベルの完全な一覧を表示します。 次に、脅威シナリオを選択して、別の脅威シナリオの詳細ページで推奨事項の詳細をドリルダウンします。 |
| 最適化の状態 | 現在アクティブ、完了、および無視されている推奨される最適化の数を示します。 |
最適化に関する推奨事項を表示および管理する
Defender ポータルの [SOC 最適化] タブの [ 最適化 ] 領域に SOC 最適化の推奨事項が 一覧表示されます。
![Defender ポータルの [SOC 最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-defender.png#lightbox)
![Azure portalの [SOC 最適化の概要] タブのスクリーンショット。](media/soc-optimization-access/soc-optimization-overview-azure.png#lightbox)
SOC 最適化の推奨事項は、24 時間ごとに計算されます。 各最適化カードには、状態、タイトル、作成日、概要説明、適用されるワークスペースが含まれます。
フィルターの最適化
最適化の種類に基づいて最適化をフィルター処理するか、側面の検索ボックスを使用して特定の最適化タイトルを検索します。 最適化の種類は次のとおりです。
-
カバレッジ : 特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を引き締めるのに役立つ推奨事項が含まれています。 カバレッジに関する推奨事項は次のとおりです。
- さまざまな種類の攻撃のカバレッジ ギャップを埋めるのに役立つセキュリティ制御を追加するための脅威ベースの推奨事項。
- AI MITRE ATT&、MITRE ATT& CK フレームワークに基づいて、さまざまな種類の攻撃のカバレッジ ギャップを埋めるのに役立つタグ付けの推奨事項を追加するための CK 推奨事項を&します。
- セキュリティコントロールを追加するためのリスクベースの推奨事項は、さまざまな種類のビジネス リスクのカバレッジ ギャップを埋めるのに役立ちます。
- データ値: 取り込まれたデータからセキュリティ値を最大化するためのデータ使用量を改善する方法を提案する推奨事項や、organizationのより良いデータ プランを提案する推奨事項が含まれています。
最適化の詳細を表示し、アクションを実行する
使用しているポータルに応じて、次のいずれかのタブを選択します。
各最適化カードで、[詳細の表示] を選択して、推奨事項につながった観察の完全な説明と、その推奨事項が実装されたときに環境内に表示される値を確認します。
脅威ベースのカバレッジの最適化の場合:
- スパイダー チャートを切り替えて、環境内でアクティブなユーザー定義の検出とすぐに使用できる検出に基づいて、さまざまな戦術と手法にわたるカバレッジを理解します。
- [MITRE ATT&CK で脅威のシナリオを表示する] を選択して、脅威シナリオ用に事前フィルター処理されたMicrosoft Sentinelの [MITRE ATT&CK] ページに移動します。 詳細については、「MITRE ATT&CK® フレームワークによるセキュリティ カバレッジについて」を参照してください。
詳細ウィンドウの下部まで下にスクロールして、推奨されるアクションを実行できるリンクを表示します。 例:
最適化に分析ルールを追加するための推奨事項が含まれている場合は、[ コンテンツ ハブに移動] を選択します。
テーブルを基本ログに移動するための推奨事項が最適化に含まれている場合は、[ プランの変更] を選択します。
脅威ベースのカバレッジの最適化については、[ 完全な脅威シナリオの表示 ] を選択して、関連する脅威、アクティブおよび推奨される検出、カバレッジ レベルの完全な一覧を表示します。 そこから 、コンテンツ ハブ に直接ジャンプして推奨される検出をアクティブ化するか、 MITRE ATT&CK ページに移動して、 選択したシナリオの完全な MITRE ATT&CK カバレッジを表示できます。 例:
ソリューションをインストールせずに Content ハブから分析ルール テンプレートをインストールすると、ソリューションにインストールされているテンプレートのみが表示されます。
ソリューション全体をインストールして、選択したソリューションから使用可能なすべてのコンテンツ項目を表示します。 詳細については、「すぐに使用Microsoft Sentinelコンテンツを検出して管理する」を参照してください。
最適化の管理
既定では、最適化の状態は [アクティブ] です。 トリアージと推奨事項の実装を通じてチームの進捗状況を変更します。
オプション メニューを選択するか、[ 詳細の表示 ] を選択して、次のいずれかのアクションを実行します。
| アクション | 説明 |
|---|---|
| 完了する | 推奨される各アクションを完了したら、最適化を完了します。 環境の変更によって推奨事項が無関係であることが検出された場合、最適化は自動的に完了し、[ 完了 ] タブに移動されます。 たとえば、以前に使用されていないテーブルに関連する最適化があるとします。 テーブルが新しい分析ルールで使用されている場合、最適化の推奨事項は無関係になりました。 このような場合は、[ 概要 ] タブにバナーが表示され、前回の訪問以降に自動的に完了した最適化の数が表示されます。 |
| 進行中としてマークします / アクティブとしてマークする | 最適化を進行中またはアクティブとしてマークして、他のチーム メンバーにアクティブに作業していることを通知します。 organizationに必要に応じて、これら 2 つの状態を柔軟に、一貫して使用します。 |
| Dismiss | 推奨されるアクションを実行する予定がなく、一覧に表示する必要がなくなった場合は、最適化を無視します。 |
| フィードバックの提供 | Microsoft チームと推奨されるアクションに関するご意見をお聞かせください。 フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、「 Microsoft のプライバシーに関する声明」を参照してください。 |
完了した最適化と無視された最適化を表示する
特定の最適化を [完了] または [無視] としてマークした場合、または最適化が自動的に完了した場合は、それぞれ [ 完了] タブと [ 非表示 ] タブに一覧表示されます。
ここから、オプション メニューを選択するか、[ 詳細の表示 ] を選択して、次のいずれかのアクションを実行します。
最適化を再アクティブ化し、[ 概要 ] タブに戻します。再アクティブ化された最適化は再計算され、最も更新された値とアクションが提供されます。 これらの詳細の再計算には最大 1 時間かかる場合があるため、詳細と推奨されるアクションをもう一度確認する前に待ちます。
再アクティブ化された最適化は、詳細を再計算した後に関連性がなくなった場合に、直接 [ 完了] タブに移動する場合もあります。
Microsoft チームにさらにフィードバックを提供します。 フィードバックを共有するときは、機密データを共有しないように注意してください。 詳細については、「 Microsoft のプライバシーに関する声明」を参照してください。
SOC 最適化の使用フロー
このセクションでは、Defender または Azure portalからの SOC 最適化を使用するためのサンプル フローを示します。
[SOC 最適化] ページで、まずダッシュボードについて理解します。
- 全体的な最適化状態の上位メトリックを確認します。
- データ値と脅威ベースのカバレッジに関する最適化の推奨事項を確認します。
最適化の推奨事項を使用して、使用率が低いテーブルを特定し、検出に使用されていないことを示します。 [ 詳細の表示] を選択して、未使用のデータのサイズとコストを確認します。 次のいずれかのアクションを検討してください。
保護を強化するためにテーブルを使用する分析規則を追加します。 このオプションを使用するには、[ コンテンツ ハブに移動 ] を選択して、選択したテーブルを使用する特定の既定の分析ルール テンプレートを表示および構成します。 コンテンツ ハブでは、関連するルールに直接移動するため、関連するルールを検索する必要はありません。
新しい分析ルールで追加のログ ソースが必要な場合は、それらを取り込んで脅威の範囲を改善することを検討してください。
詳細については、「Microsoft Sentinelすぐに使えるコンテンツを検出して管理する」および「すぐに使用する脅威を検出する」を参照してください。
コスト削減のためにコミットメント レベルを変更します。 詳細については、「Microsoft Sentinelのコストを削減する」を参照してください。
最適化の推奨事項を使用して、特定の脅威に対するカバレッジを向上させます。 たとえば、人間が操作するランサムウェアの最適化の場合:
[ 詳細の表示] を選択して、現在のカバレッジと推奨される改善点を確認します。
[ すべての MITRE ATT&CK 手法の改善を表示 する] を選択して、関連する戦術と手法をドリルダウンして分析し、カバレッジ ギャップを理解するのに役立ちます。
[ コンテンツ ハブに移動] を 選択すると、この最適化のためにフィルター処理されたすべての推奨セキュリティ コンテンツが表示されます。
新しいルールを構成するか、変更を加えた後、推奨事項を完了としてマークするか、システムを自動的に更新します。