你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
安全运营中心 (SOC) 团队寻找改进流程和结果的方法,并确保你拥有解决风险所需的数据,而无需额外的引入成本。 SOC 团队希望确保你拥有所有必要的数据来应对风险, 而无需支付超过 所需数据的费用。 同时,SOC 团队还必须随着威胁和业务优先级的变化而调整安全控制措施,以便快速高效地实现投资回报最大化。
SOC 优化是可操作的建议,可以提出优化安全控制的方法,随着时间的推移,从Microsoft安全服务获得更多价值。 建议有助于在不影响 SOC 需求或覆盖范围的情况下降低成本,并有助于根据需要添加安全控制和数据。 这些优化是针对你的环境并根据当前覆盖范围和威胁环境定制的。
使用 SOC 优化建议可帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据提高引入率。 SOC 优化可帮助你优化Microsoft Sentinel工作区,而无需让 SOC 团队花费时间进行手动分析和研究。
重要
2027 年 3 月 31 日之后,Azure 门户将不再支持Microsoft Sentinel,并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户,并且仅在 Defender 门户中使用Microsoft Sentinel。
如果仍在Azure 门户中使用Microsoft Sentinel,建议开始规划到 Defender 门户的转换,以确保平稳过渡,并充分利用 Microsoft Defender 提供的统一安全操作体验。
观看以下视频,了解Microsoft Defender门户中 SOC 优化的概述和演示。 如果只需要演示,请跳到分钟 8:14。
先决条件
SOC 优化使用标准Microsoft Sentinel角色和权限。 有关详细信息,请参阅 Microsoft Sentinel 中的角色和权限。
若要在 Defender 门户中使用 SOC 优化,请将Microsoft Sentinel加入 Defender 门户。 有关详细信息,请参阅将Microsoft Sentinel连接到Microsoft Defender门户。
访问 SOC 优化页
使用以下选项卡之一,具体取决于是在Azure 门户还是 Defender 门户中工作。 将工作区载入到 Defender 门户时,SOC 优化包括跨Microsoft安全服务的覆盖范围。
在 Defender 门户中,选择“ SOC 优化”。
了解 SOC 优化概述指标
“ 概述 ”选项卡顶部显示的优化指标可让你大致了解数据的使用效率,并且会在实施建议时随时间而变化。
“ 概述 ”选项卡顶部支持的指标包括:
| 标题 | 说明 |
|---|---|
| 最近的优化值 | 显示基于最近实施的建议获得的值 |
| 引入的数据 | 显示过去 90 天内在工作区中引入的总数据。 |
| 基于威胁的覆盖范围优化 | 根据工作区中找到的分析规则数与Microsoft研究团队建议的规则数进行比较,显示以下覆盖率指标之一: - 高:超过 75% 的建议规则已激活 - 中等:30%-74% 的建议规则已激活 - 低:0%-29% 的建议规则已激活。 选择“ 查看所有威胁方案 ”,查看相关威胁和基于风险的方案、活动检测和建议的检测以及覆盖范围级别的完整列表。 然后,在单独的威胁方案详细信息页上选择要向下钻取有关建议的更多详细信息。 |
| 优化状态 | 显示当前处于活动状态、已完成和已消除的建议优化数。 |
查看和管理优化建议
在 Defender 门户中,SOC 优化建议列在“SOC 优化”选项卡上的“优化”区域中。
SOC 优化建议每 24 小时计算一次。 每个优化卡包括状态、标题、创建日期、高级说明以及应用工作区。
筛选器优化
根据优化类型筛选优化,或使用侧边的搜索框搜索特定的优化标题。 优化类型包括:
-
覆盖范围 :包括一些建议,可帮助你缩小针对特定威胁的覆盖范围差距,并针对不提供安全价值的数据提高引入率。 覆盖范围建议包括:
- 基于威胁的建议 ,用于添加安全控制,以帮助缩小各种类型的攻击的覆盖差距。
- 基于 MITRE ATT&CK 框架,AI MITRE ATT& 用于添加标记建议的 CK 建议,以帮助缩小各种类型的攻击的覆盖差距。
- 基于风险的建议 ,用于添加安全控制,以帮助缩小各种类型的业务风险的覆盖差距。
- 数据值:包括建议如何改进数据使用情况,以最大化引入数据的安全价值,或为组织建议更好的数据计划。
查看优化详细信息并采取措施
根据所使用的门户,选择以下选项卡之一:
在每个优化卡中,选择“查看详细信息”,查看导致建议的观察结果的完整说明,以及实施该建议时在环境中看到的值。
对于基于威胁的覆盖范围优化:
- 在蜘蛛图之间切换,根据环境中活动的用户定义的和现用的检测,了解不同策略和技术的覆盖范围。
- 选择“在 MITRE ATT&CK 中查看威胁方案”,跳转到“Microsoft Sentinel”中的“MITRE ATT&CK”页,该页面已针对威胁方案进行了预筛选。 有关详细信息,请参阅 [了解 MITRE ATT&CK® 框架的安全覆盖范围]。
向下滚动到详细信息窗格底部,获取指向可执行建议操作的链接。 例如:
如果优化包括添加分析规则的建议,请选择“ 转到内容中心”。
如果优化包括将表移动到基本日志的建议,请选择“ 更改计划”。
对于基于威胁的覆盖范围优化,请选择“ 查看完整威胁方案 ”,查看相关威胁、活动检测和建议检测以及覆盖范围级别的完整列表。 从那里,你可以直接跳转到 内容中心 以激活任何建议的检测,或转到 MITRE ATT&CK 页面,以查看 所选方案的完整 MITRE ATT&CK 覆盖范围。 例如:
如果在未安装解决方案的情况下从内容中心安装分析规则模板,则解决方案中只会显示已安装的模板。
安装完整解决方案以查看所选解决方案中的所有可用内容项。 有关详细信息,请参阅发现和管理Microsoft Sentinel现装内容。
管理优化
默认情况下,优化状态为 “活动”。 随着团队通过会审和实施建议来更改其状态。
选择选项菜单或选择 “查看详细信息 ”以执行以下操作之一:
| 操作 | 说明 |
|---|---|
| Complete | 完成每个建议的操作后,完成优化。 如果检测到环境中的更改使建议不相关,则会自动完成优化并移动到“ 已完成 ”选项卡。 例如,你可能具有与以前未使用的表相关的优化。 如果表现在用于新的分析规则,则优化建议现在无关紧要。 在这种情况下,“ 概述 ”选项卡中会显示一个横幅,其中包含自上次访问以来自动完成的优化次数。 |
| 标记为正在进行 / 中标记为活动 | 将优化标记为正在进行或处于活动状态,以通知其他团队成员你正在积极处理它。 根据组织需要灵活但一致地使用这两种状态。 |
| Dismiss | 如果你不打算采取建议的操作,并且不想再在列表中看到它,则关闭优化。 |
| 提供反馈 | 我们邀请你与Microsoft团队分享你对建议操作的看法! 共享反馈时,请注意不要共享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。 |
查看已完成和已消除的优化
如果将特定优化标记为 “已完成” 或“ 已消除”,或者自动完成某个优化,则会分别在“ 已完成 ”和“ 已消除 ”选项卡上列出该优化。
在此处,选择选项菜单或选择 “查看完整详细信息 ”以执行以下操作之一:
重新激活优化,将其发送回“ 概述 ”选项卡。重新计算重新激活的优化以提供最新的值和操作。 重新计算这些详细信息最多可能需要一个小时,因此请等待,然后再再次检查详细信息和建议的操作。
如果重新计算详细信息后发现它们不再相关,则重新激活的优化也可能直接移动到“ 已完成 ”选项卡。
向Microsoft团队提供进一步的反馈。 共享反馈时,请注意不要共享任何机密数据。 有关详细信息,请参阅 Microsoft 隐私声明。
SOC 优化使用流
本部分提供使用 SOC 优化的示例流,包括 Defender 或 Azure 门户:
在 SOC 优化页上,首先了解仪表板:
- 观察总体优化状态的顶级指标。
- 查看针对数据价值和基于威胁的覆盖范围的优化建议。
使用优化建议来识别使用率较低的表,指示它们未用于检测。 选择“ 查看完整详细信息 ”,查看未使用数据的大小和成本。 请考虑以下操作之一:
添加分析规则以使用该表增强保护。 若要使用此选项,请选择“ 转到内容中心 ”以查看和配置使用所选表的特定现用分析规则模板。 在内容中心,无需搜索相关规则,因为会直接转到相关规则。
如果新的分析规则需要额外的日志源,请考虑引入它们以提高威胁覆盖范围。
有关详细信息,请参阅发现和管理Microsoft Sentinel现用内容和检测现装的威胁。
更改承诺层以节省成本。 有关详细信息,请参阅降低Microsoft Sentinel的成本。
使用优化建议来改进针对特定威胁的覆盖范围。 例如,对于人工操作的勒索软件优化:
选择“ 查看完整详细信息 ”以查看当前覆盖范围和建议的改进。
选择“ 查看所有 MITRE ATT&CK 技术改进 ”,向下钻取和分析相关策略和技术,帮助你了解覆盖差距。
选择“ 转到内容中心 ”,查看所有建议的安全内容,专门针对此优化进行筛选。
配置新规则或更改后,将建议标记为已完成,或让系统自动更新。