Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Utilize recomendações de otimização do SOC para o ajudar a colmatar lacunas de cobertura contra ameaças específicas e a apertar as taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações do SOC ajudam-no a otimizar a sua área de trabalho Microsoft Sentinel, sem que as suas equipas soc despendam tempo em análises e pesquisas manuais.
Microsoft Sentinel otimizações do SOC incluem os seguintes tipos de recomendações:
As recomendações de valor de dados sugerem formas de melhorar a sua utilização de dados, como um plano de dados melhor para a sua organização.
As recomendações baseadas na cobertura sugerem a adição de controlos para evitar lacunas de cobertura que podem levar a vulnerabilidades a ataques ou cenários que possam levar a perdas financeiras. As recomendações de cobertura incluem:
- Recomendações baseadas em ameaças: recomenda a adição de controlos de segurança que o ajudam a detetar lacunas de cobertura para evitar ataques e vulnerabilidades.
- AI MITRE ATT&recomendações de identificação CK (Pré-visualização): utiliza inteligência artificial para sugerir a identificação de deteções de segurança com MITRE ATT&táticas e técnicas CK.
- Recomendações baseadas em riscos (Pré-visualização): recomenda a implementação de controlos para resolver lacunas de cobertura associadas a casos de utilização que possam resultar em riscos comerciais ou perdas financeiras, incluindo riscos operacionais, financeiros, reputacionais, de conformidade e legais.
Recomendações de organizações semelhantes sugerem a ingestão de dados dos tipos de origens utilizados por organizações que têm tendências de ingestão semelhantes e perfis do setor para os seus.
Este artigo fornece uma referência detalhada dos tipos de recomendações de otimização do SOC disponíveis.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Recomendações de otimização do valor de dados
Para otimizar a relação custo/valor de segurança, a otimização do SOC não utiliza conectores de dados ou tabelas. A otimização do SOC sugere formas de reduzir o custo de uma tabela ou melhorar o respetivo valor, consoante a sua cobertura. Este tipo de otimização também é denominado otimização de valor de dados.
As otimizações do valor de dados só analisam as tabelas faturáveis que ingeriram dados nos últimos 30 dias.
A tabela seguinte lista os tipos disponíveis de recomendações de otimização do SOC do valor de dados:
| Tipo de observação | Ação |
|---|---|
| A tabela não foi utilizada por regras de análise ou deteções nos últimos 30 dias, mas foi utilizada por outras origens, como livros, consultas de registo, consultas de investigação. | Ativar modelos de regras de análise OU Mova a tabela para um plano de registos básico se a tabela for elegível. |
| A tabela não foi utilizada nos últimos 30 dias. | Ativar modelos de regras de análise OU Pare a ingestão de dados e remova a tabela ou mova a tabela para retenção de longo prazo. |
| A tabela só foi utilizada pelo Azure Monitor. | Ativar quaisquer modelos de regras de análise relevantes para tabelas com valor de segurança OU Mover para uma área de trabalho do Log Analytics não relacionada com segurança. |
Se uma tabela for escolhida para UEBA ou uma regra de análise de correspondência de informações sobre ameaças, a otimização do SOC não recomenda alterações na ingestão.
Colunas não utilizadas (Pré-visualização)
A otimização do SOC também apresenta colunas não utilizadas nas tabelas. A tabela seguinte lista os tipos disponíveis de colunas disponíveis para recomendações de otimização do SOC:
| Tipo de observação | Ação |
|---|---|
| A coluna ConditionalAccessPolicies na tabela SignInLogs ou na tabela AADNonInteractiveUserSignInLogs não está a ser utilizada. | Parar a ingestão de dados para a coluna. |
Importante
Ao fazer alterações aos planos de ingestão, recomendamos que garanta sempre que os limites dos seus planos de ingestão são claros e que as tabelas afetadas não são ingeridas por motivos de conformidade ou outros motivos semelhantes.
Recomendações de otimização baseadas na cobertura
As recomendações de otimização baseadas na cobertura ajudam a colmatar lacunas de cobertura contra ameaças específicas ou cenários que podem levar a riscos empresariais e perdas financeiras.
Recomendações de otimização baseada em ameaças
Para otimizar o valor dos dados, a otimização do SOC recomenda a adição de controlos de segurança ao seu ambiente sob a forma de deteções e origens de dados adicionais, através de uma abordagem baseada em ameaças. Este tipo de otimização também é conhecido como otimização de cobertura e baseia-se na pesquisa de segurança da Microsoft.
A otimização do SOC fornece recomendações baseadas em ameaças ao analisar os registos ingeridos e as regras de análise ativadas e, em seguida, compará-los com os registos e deteções necessários para lidar com tipos específicos de ataques.
As otimizações baseadas em ameaças consideram deteções predefinidas e definidas pelo utilizador.
A tabela seguinte lista os tipos disponíveis de recomendações de otimização do SOC baseadas em ameaças:
| Tipo de observação | Ação |
|---|---|
| Existem origens de dados, mas as deteções estão em falta. | Ative os modelos de regras de análise com base na ameaça: crie uma regra com um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta de acordo com o seu ambiente. Para obter mais informações, veja Deteção de ameaças no Microsoft Sentinel. |
| Os modelos estão ativados, mas as origens de dados estão em falta. | Ligar novas origens de dados. |
| Não existem deteções ou origens de dados. | Ligue deteções e origens de dados ou instale uma solução. |
AI MITRE ATT&recomendações de identificação CK (Pré-visualização)
A funcionalidade AI MITRE ATT&CK Tagging utiliza inteligência artificial para etiquetar automaticamente deteções de segurança. O modelo de IA é executado na área de trabalho do cliente para criar recomendações de identificação para deteções não marcadas com técnicas e táticas CK relevantes do MITRE ATT&.
Os clientes podem aplicar estas recomendações para garantir que a cobertura de segurança é completa e precisa. Isto garante uma cobertura de segurança completa e precisa, melhorando as capacidades de deteção e resposta de ameaças.
Estas são três formas de aplicar a IA MITRE ATT&recomendações de identificação CK:
- Aplicar a recomendação a uma regra de análise específica.
- Aplique a recomendação a todas as regras de análise na área de trabalho.
- Não aplique a recomendação a nenhuma regra de análise.
Recomendações de otimização baseadas em riscos (Pré-visualização)
As otimizações baseadas em riscos consideram cenários de segurança do mundo real com um conjunto de riscos empresariais associados, incluindo riscos Operacionais, Financeiros, Reputacionais, De conformidade e Legais. As recomendações baseiam-se na Microsoft Sentinel abordagem baseada no risco à segurança.
Para fornecer recomendações baseadas em riscos, a otimização do SOC analisa os registos ingeridos e as regras de análise e compara-os com os registos e deteções necessários para proteger, detetar e responder a tipos específicos de ataques que podem causar riscos empresariais. As otimizações de recomendações baseadas em riscos consideram deteções predefinidas e definidas pelo utilizador.
A tabela seguinte lista os tipos disponíveis de recomendações de otimização do SOC baseadas em risco:
| Tipo de observação | Ação |
|---|---|
| Existem origens de dados, mas as deteções estão em falta. | Ativar modelos de regras de análise com base nos riscos empresariais: crie uma regra com um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta de acordo com o seu ambiente. |
| Os modelos estão ativados, mas as origens de dados estão em falta. | Ligar novas origens de dados. |
| Não existem deteções ou origens de dados. | Ligue deteções e origens de dados ou instale uma solução. |
Recomendações de organizações semelhantes
A otimização do SOC utiliza machine learning avançado para identificar tabelas em falta na área de trabalho, mas são utilizadas por organizações com tendências de ingestão semelhantes e perfis da indústria. Mostra como outras organizações utilizam estas tabelas e recomenda as origens de dados relevantes, juntamente com as regras relacionadas, para melhorar a cobertura de segurança.
| Tipo de observação | Ação |
|---|---|
| As origens de registos ingeridas por clientes semelhantes estão em falta | Ligue as origens de dados sugeridas. Esta recomendação não inclui:
|
Considerações
Uma área de trabalho só recebe recomendações de organização semelhantes se o modelo de machine learning identificar semelhanças significativas com outras organizações e descobrir as tabelas que têm, mas não o faz. Os SOCs nas fases iniciais ou de integração são mais propensos a receber estas recomendações do que os SOCs com um nível de maturidade mais elevado. Nem todas as áreas de trabalho recebem recomendações de organizações semelhantes.
Os modelos de machine learning nunca acedem ou analisam o conteúdo dos registos dos clientes ou ingerem-nos a qualquer momento. Não existem dados, conteúdos ou dados pessoais (EUII) do cliente expostos à análise. As recomendações baseiam-se em modelos de machine learning que dependem exclusivamente das Informações Identificativas Organizacionais (OII) e dos metadados do sistema.
Conteúdo relacionado
- Utilizar otimizações SOC através de programação (Pré-visualização)
- Blogue: Otimização do SOC: desbloquear a potência da gestão de segurança condicionada por precisão