Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Belirli tehditlere karşı kapsam boşluklarını kapatmanıza ve güvenlik değeri sağlamayan verilere karşı alım oranlarınızı artırmanıza yardımcı olması için SOC iyileştirme önerilerini kullanın. SOC iyileştirmeleri, SOC ekiplerinizin el ile analiz ve araştırmaya zaman ayırmadan Microsoft Sentinel çalışma alanınızı iyileştirmenize yardımcı olur.
Microsoft Sentinel SOC iyileştirmeleri aşağıdaki öneri türlerini içerir:
Veri değeri önerileri , kuruluşunuz için daha iyi bir veri planı gibi veri kullanımınızı geliştirmenin yollarını önerir.
Kapsam tabanlı öneriler , saldırılara veya finansal kayba yol açabilecek senaryolara yol açabilecek kapsam boşluklarını önlemek için denetimler eklenmesini önerir. Kapsam önerileri şunlardır:
- Tehdit tabanlı öneriler: Saldırıları ve güvenlik açıklarını önlemek için kapsam boşluklarını algılamanıza yardımcı olacak güvenlik denetimleri eklemenizi önerir.
- AI MITRE ATT&CK etiketleme önerileri (Önizleme): MITRE ATT&CK taktikleri ve teknikleri ile etiketleme güvenlik algılamaları önermek için yapay zeka kullanır.
- Risk tabanlı öneriler (Önizleme): operasyonel, finansal, saygınlık, uyumluluk ve yasal riskler dahil olmak üzere iş risklerine veya finansal kayıplara neden olabilecek kullanım örneklerine bağlı kapsam boşluklarını gidermek için denetimler uygulanmasını önerir.
Benzer kuruluşlara yönelik öneriler , sizinkine benzer alım eğilimlerine ve sektör profillerine sahip kuruluşlar tarafından kullanılan kaynak türlerinden veri alımı önermektedir.
Bu makalede, kullanılabilir SOC iyileştirme önerileri türlerine ilişkin ayrıntılı bir başvuru sağlanmaktadır.
Önemli
31 Mart 2027'nin ardından Microsoft Sentinel artık Azure portal desteklenmeyecektir ve yalnızca Microsoft Defender portalında kullanılabilir. Azure portal Microsoft Sentinel kullanan tüm müşteriler Defender portalına yönlendirilir ve yalnızca Defender portalında Microsoft Sentinel kullanır.
Azure portal hala Microsoft Sentinel kullanıyorsanız, sorunsuz bir geçiş sağlamak ve Microsoft Defender tarafından sunulan birleşik güvenlik işlemleri deneyiminden tam olarak yararlanmak için Defender portalına geçişinizi planlamaya başlamanızı öneririz.
Veri değeri iyileştirme önerileri
Maliyet/güvenlik değeri oranınızı iyileştirmek için SOC iyileştirmesi neredeyse hiç kullanılmayan veri bağlayıcılarını veya tablolarını ortaya çıkarmaz. SOC iyileştirmesi, kapsamınıza bağlı olarak bir tablonun maliyetini azaltmanın veya değerini geliştirmenin yollarını önerir. Bu iyileştirme türüne veri değeri iyileştirmesi de denir.
Veri değeri iyileştirmeleri yalnızca son 30 gün içindeki verileri alan faturalanabilir tablolara bakar.
Aşağıdaki tabloda, kullanılabilir veri değeri SOC iyileştirme önerileri türleri listelenmiştir:
| Gözlem türü | Eylem |
|---|---|
| Tablo son 30 gün içinde analiz kuralları veya algılamaları tarafından kullanılmamış ancak çalışma kitapları, günlük sorguları, avcılık sorguları gibi diğer kaynaklar tarafından kullanılmıştır. | Analiz kuralı şablonlarını açma VEYA Tablo uygunsa tabloyu temel günlükler planına taşıyın. |
| Tablo son 30 gün içinde hiç kullanılmadı. | Analiz kuralı şablonlarını açma VEYA Veri alımını durdurun ve tabloyu kaldırın veya tabloyu uzun süreli saklamaya taşıyın. |
| Tablo yalnızca Azure İzleyici tarafından kullanıldı. | Güvenlik değeri olan tablolar için ilgili analiz kuralı şablonlarını açma VEYA Güvenlikle ilgili olmayan bir Log Analytics çalışma alanına gitme. |
UEBA veya tehdit bilgileri eşleştirme analiz kuralı için bir tablo seçilirse, SOC iyileştirmesi veri alımında herhangi bir değişiklik önermez.
Kullanılmayan sütunlar (Önizleme)
SOC iyileştirmesi tablolarınızdaki kullanılmayan sütunları da ortaya çıkartır. Aşağıdaki tabloda SOC iyileştirme önerileri için kullanılabilir sütun türleri listelenmiştir:
| Gözlem türü | Eylem |
|---|---|
| SignInLogs tablosundaki veya AADNonInteractiveUserSignInLogs tablosundaki ConditionalAccessPolicies sütunu kullanımda değil. | Sütun için veri alımını durdurun. |
Önemli
Alım planlarında değişiklik yaparken, her zaman alım planlarınızın sınırlarının açık olduğundan ve etkilenen tabloların uyumluluk veya diğer benzer nedenlerle alınmamasını sağlamanızı öneririz.
Kapsam tabanlı iyileştirme önerileri
Kapsam tabanlı iyileştirme önerileri, belirli tehditlere veya iş risklerine ve finansal kayblara yol açabilecek senaryolara karşı kapsam boşluklarını kapatmanıza yardımcı olur.
Tehdit tabanlı iyileştirme önerileri
SoC iyileştirmesi, veri değerini iyileştirmek için tehdit tabanlı bir yaklaşım kullanarak ortamınıza ek algılamalar ve veri kaynakları biçiminde güvenlik denetimleri eklenmesini önerir. Bu iyileştirme türü kapsam iyileştirme olarak da bilinir ve Microsoft'un güvenlik araştırmasını temel alır.
SOC iyileştirmesi, alınan günlüklerinizi ve etkin analiz kurallarınızı analiz ederek, ardından bunları belirli saldırı türlerini ele almak için gereken günlüklerle ve algılamalarla karşılaştırarak tehdit tabanlı öneriler sağlar.
Tehdit tabanlı iyileştirmeler hem önceden tanımlanmış hem de kullanıcı tanımlı algılamaları dikkate alır.
Aşağıdaki tabloda tehdit tabanlı SOC iyileştirme önerilerinin kullanılabilir türleri listelenmiştir:
| Gözlem türü | Eylem |
|---|---|
| Veri kaynakları vardır, ancak algılamalar eksiktir. | Tehdit temelinde analiz kuralı şablonlarını açın: Analiz kuralı şablonu kullanarak kural oluşturun ve adı, açıklamayı ve sorgu mantığını ortamınıza uyacak şekilde ayarlayın. Daha fazla bilgi için bkz. Microsoft Sentinel'de tehdit algılama. |
| Şablonlar açıktır, ancak veri kaynakları eksiktir. | Yeni veri kaynaklarını bağlama. |
| Mevcut algılama veya veri kaynağı yok. | Algılamaları ve veri kaynaklarını bağlayın veya bir çözüm yükleyin. |
AI MITRE ATT&CK etiketleme önerileri (Önizleme)
AI MITRE ATT&CK Etiketleme özelliği, güvenlik algılamalarını otomatik olarak etiketlemek için yapay zeka kullanır. Yapay zeka modeli müşterinin çalışma alanında çalıştırılarak ilgili MITRE ATT&CK taktiği ve teknikleriyle etiketlenmemiş algılamalar için etiketleme önerileri oluşturur.
Müşteriler, güvenlik kapsamının kapsamlı ve hassas olduğundan emin olmak için bu önerileri uygulayabilir. Bu, tehdit algılama ve yanıt özelliklerini geliştirerek eksiksiz ve doğru güvenlik kapsamı sağlar.
AI MITRE ATT&CK etiketleme önerilerini uygulamanın 3 yolu şunlardır:
- Öneriyi belirli bir analiz kuralına uygulayın.
- Öneriyi çalışma alanı içindeki tüm analiz kurallarına uygulayın.
- Öneriyi herhangi bir analiz kuralına uygulamayın.
Risk tabanlı iyileştirme önerileri (Önizleme)
Risk tabanlı iyileştirmeler, operasyonel, Finansal, Saygınlık, Uyumluluk ve Yasal riskler dahil olmak üzere bunlarla ilişkili bir dizi iş riskine sahip gerçek dünya güvenlik senaryolarını dikkate alır. Öneriler, güvenlik için risk tabanlı Microsoft Sentinel yaklaşımı temel alır.
Risk tabanlı öneriler sağlamak için SOC iyileştirmesi, alınan günlüklerinize ve analiz kurallarınıza bakar ve bunları iş risklerine neden olabilecek belirli saldırı türlerini korumak, algılamak ve yanıtlamak için gereken günlüklerle ve algılamalarla karşılaştırır. Risk tabanlı öneriler iyileştirmeleri hem önceden tanımlanmış hem de kullanıcı tanımlı algılamaları dikkate alır.
Aşağıdaki tabloda, kullanılabilir risk tabanlı SOC iyileştirme önerileri türleri listelenmiştir:
| Gözlem türü | Eylem |
|---|---|
| Veri kaynakları vardır, ancak algılamalar eksiktir. | İş risklerine göre analiz kuralı şablonlarını açın: Analiz kuralı şablonu kullanarak kural oluşturun ve adı, açıklamayı ve sorgu mantığını ortamınıza uyacak şekilde ayarlayın. |
| Şablonlar açıktır, ancak veri kaynakları eksiktir. | Yeni veri kaynaklarını bağlama. |
| Mevcut algılama veya veri kaynağı yok. | Algılamaları ve veri kaynaklarını bağlayın veya bir çözüm yükleyin. |
Benzer kuruluşlara yönelik öneriler
SOC iyileştirmesi, çalışma alanınızda eksik olan ancak benzer alım eğilimlerine ve sektör profillerine sahip kuruluşlar tarafından kullanılan tabloları tanımlamak için gelişmiş makine öğrenmesi kullanır. Diğer kuruluşların bu tabloları nasıl kullandığını gösterir ve güvenlik kapsamınızı geliştirmek için ilgili kurallarla birlikte ilgili veri kaynaklarını önerir.
| Gözlem türü | Eylem |
|---|---|
| Benzer müşteriler tarafından alınan günlük kaynakları eksik | Önerilen veri kaynaklarını bağlayın. Bu öneri şunları içermez:
|
Husus -lar
Çalışma alanı, yalnızca makine öğrenmesi modeli diğer kuruluşlarla önemli benzerlikler tanımladıysa ve sahip oldukları ama sizin olmayan tabloları keşfettiğinde benzer kuruluş önerileri alır. Erken veya ekleme aşamalarındaki SOC'lerin bu önerileri alma olasılığı, olgunluk düzeyi daha yüksek olan SSC'lerden daha yüksektir. Tüm çalışma alanları benzer kuruluş önerileri alamaz.
Makine öğrenmesi modelleri hiçbir zaman müşteri günlüklerinin içeriğine erişmez, bunları analiz etmez veya herhangi bir noktada almaz. Analize hiçbir müşteri verileri, içerik veya kişisel veri (EUII) gösterilmez. Öneriler, yalnızca Kurumsal Olarak Tanımlanabilir Bilgileri (OII) ve sistem meta verilerini kullanan makine öğrenmesi modellerini temel alır.
İlgili içerik
- SOC iyileştirmelerini program aracılığıyla kullanma (Önizleme)
- Blog: SOC iyileştirmesi: Duyarlık odaklı güvenlik yönetiminin gücünün kilidini açma