SOC 最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを解消し、セキュリティ値を提供しないデータに対するインジェスト率を引き締めることができます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するのに役立ちます。
MICROSOFT SENTINEL SOC の最適化には、次の種類の推奨事項が含まれます。
データ値の推奨事項では、organizationのデータ プランの改善など、データの使用を改善する方法が提案されています。
カバレッジ ベースの推奨事項では、 攻撃や財務上の損失につながる可能性があるシナリオに対する脆弱性につながる可能性があるカバレッジ ギャップを防ぐために、コントロールを追加することをお勧めします。 カバレッジに関する推奨事項は次のとおりです。
- 脅威ベースの推奨事項: 攻撃や脆弱性を防ぐためにカバレッジギャップを検出するのに役立つセキュリティ制御を追加することをお勧めします。
- AI MITRE ATT&CK タグ付けの推奨事項 (プレビュー): 人工知能を使用して、MITRE ATT&CK の戦術と手法を使用してセキュリティ検出のタグ付けを提案します。
- リスクベースの推奨事項 (プレビュー): 運用、財務、評判、コンプライアンス、法的リスクなど、ビジネス リスクや財務上の損失につながる可能性があるユース ケースにリンクされているカバレッジ ギャップに対処するためのコントロールを実装することをお勧めします。
同様の組織の推奨事項では、 類似のインジェスト傾向と業界プロファイルを持つ組織で使用されるソースの種類からデータを取り込むことをお勧めします。
この記事では、使用可能な SOC 最適化の推奨事項の種類の詳細なリファレンスを提供します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
データ値の最適化に関する推奨事項
コスト/セキュリティ値の比率を最適化するために、SOC 最適化では、データ コネクタまたはテーブルがほとんど使用されません。 SOC 最適化では、カバレッジに応じて、テーブルのコストを削減するか、その値を向上させる方法が提案されています。 この種類の最適化は、 データ値の最適化とも呼ばれます。
データ値の最適化では、過去 30 日間にデータを取り込んだ課金対象テーブルのみが表示されます。
次の表に、使用可能な種類のデータ値 SOC 最適化の推奨事項を示します。
| オブザベーションの種類 | アクション |
|---|---|
| このテーブルは、過去 30 日間の分析ルールや検出では使用されませんでしたが、ブック、ログ クエリ、ハンティング クエリなど、他のソースによって使用されました。 | 分析ルール テンプレートを有効にする または テーブルが適格な場合は、 テーブルを基本ログ プラン に移動します。 |
| 過去 30 日間、テーブルはまったく使用されませんでした。 | 分析ルール テンプレートを有効にする または データ インジェストを停止し、テーブルを削除するか、テーブルを長期的な保持期間に移動します。 |
| テーブルは、Azure Monitor によってのみ使用されました。 | セキュリティ値を持つテーブルに関連する分析ルール テンプレートを有効にする または セキュリティ以外の Log Analytics ワークスペースに移動します。 |
テーブルが UEBA または脅威インテリジェンス マッチング分析ルール用に選択されている場合、SOC 最適化ではインジェストの変更は推奨されません。
未使用の列 (プレビュー)
SOC 最適化では、テーブル内の未使用の列も表示されます。 次の表に、SOC 最適化の推奨事項に使用できる列の種類を示します。
| オブザベーションの種類 | アクション |
|---|---|
| SignInLogs テーブルまたは AADNonInteractiveUserSignInLogs テーブルの ConditionalAccessPolicies 列は使用されていません。 | 列のデータ インジェストを停止します。 |
重要
インジェスト プランに変更を加える場合は、インジェスト プランの制限が明確であり、影響を受けるテーブルがコンプライアンスやその他の同様の理由で取り込まれていないことを常に確認することをお勧めします。
カバレッジベースの最適化に関する推奨事項
カバレッジベースの最適化に関する推奨事項は、特定の脅威に対するカバレッジ ギャップを解消したり、ビジネス リスクや財務上の損失につながる可能性のあるシナリオに対してカバレッジ ギャップを埋めるのに役立ちます。
脅威ベースの最適化に関する推奨事項
データ値を最適化するために、SOC 最適化では、脅威ベースのアプローチを使用して、追加の検出とデータ ソースの形式で環境にセキュリティ制御を追加することをお勧めします。 この最適化の種類は カバレッジの最適化とも呼ばれ、Microsoft のセキュリティ調査に基づいています。
SOC 最適化では、取り込まれたログと有効な分析ルールを分析し、特定の種類の攻撃に対処するために必要なログと検出と比較することで、脅威ベースの推奨事項が提供されます。
脅威ベースの最適化では、定義済み検出とユーザー定義検出の両方が考慮されます。
次の表に、使用可能な種類の脅威ベースの SOC 最適化の推奨事項を示します。
| オブザベーションの種類 | アクション |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | 脅威に基づいて分析ルール テンプレートを有効にする: 分析ルール テンプレートを使用してルールを作成し、環境に合わせて名前、説明、クエリ ロジックを調整します。 詳細については、「Microsoft Sentinelでの脅威検出」を参照してください。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
AI MITRE ATT&CK タグ付けの推奨事項 (プレビュー)
AI MITRE ATT&CK タグ付け機能は、人工知能を使用してセキュリティ検出に自動的にタグを付ける機能です。 AI モデルは顧客のワークスペースで実行され、関連する MITRE ATT&CK 戦術と手法を使用してタグ付けされていない検出に関するタグ付けの推奨事項を作成します。
お客様は、これらの推奨事項を適用して、セキュリティ カバレッジが完全かつ正確であることを確認できます。 これにより、完全かつ正確なセキュリティ カバレッジが確保され、脅威の検出と対応機能が強化されます。
AI MITRE ATT&CK タグ付けの推奨事項を適用するには、次の 3 つの方法があります。
- 推奨事項を特定の分析ルールに適用します。
- ワークスペース内のすべての分析ルールに推奨事項を適用します。
- どの分析規則にも推奨事項を適用しないでください。
リスクベースの最適化に関する推奨事項 (プレビュー)
リスクベースの最適化では、運用、財務、評判、コンプライアンス、法的リスクなど、一連のビジネス リスクが関連付けられた実際のセキュリティ シナリオが考慮されます。 推奨事項は、セキュリティに対するMicrosoft Sentinelリスクベースのアプローチに基づいています。
リスクベースの推奨事項を提供するために、SOC 最適化は取り込まれたログと分析ルールを調べ、ビジネス リスクを引き起こす可能性のある特定の種類の攻撃を保護、検出、対応するために必要なログと検出と比較します。 リスクベースの推奨事項の最適化では、定義済み検出とユーザー定義検出の両方が考慮されます。
次の表に、使用可能な種類のリスクベースの SOC 最適化に関する推奨事項を示します。
| オブザベーションの種類 | アクション |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | ビジネス リスクに基づいて分析ルール テンプレートを有効にする: 分析ルール テンプレートを使用してルールを作成し、環境に合わせて名前、説明、クエリ ロジックを調整します。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
類似する組織の推奨事項
SOC 最適化では、高度な機械学習を使用して、ワークスペースに存在しないテーブルを特定しますが、同様のインジェスト傾向と業界プロファイルを持つ組織によって使用されます。 他の組織がこれらのテーブルを使用する方法を示し、関連するデータ ソースと関連するルールを推奨して、セキュリティ カバレッジを向上させます。
| オブザベーションの種類 | アクション |
|---|---|
| 類似した顧客によって取り込まれたログ ソースが見つからない | 推奨されるデータ ソースを接続します。 この推奨事項には以下は含まれません。
|
考慮事項
ワークスペースは、機械学習モデルが他の組織との重要な類似点を識別し、持っているが検出していないテーブルを検出した場合にのみ、同様のorganization推奨事項を受け取ります。 初期またはオンボード 段階の SOC は、成熟度の高い SOC よりもこれらの推奨事項を受け取る可能性が高くなります。 すべてのワークスペースに類似した組織の推奨事項が表示されるわけではありません。
機械学習モデルは、顧客ログの内容にアクセスしたり分析したり、いつでも取り込んだりすることはありません。 顧客データ、コンテンツ、または個人データ (EUII) は分析に公開されません。 推奨事項は、組織識別情報 (OII) とシステム メタデータのみに依存する機械学習モデルに基づいています。