Posted inCloud Security Defend Against Threats Modern Security Operations Threat Protection with XDR

SOC 优化:跨 SIEM 和 XDR 的统一覆盖管理

Posted inCloud Security, Defend Against Threats, Modern Security Operations, Threat Protection with XDR

SOC 优化旨在通过提供量身定制的建议来缩小覆盖范围差距、减少不必要的数据摄取并适应不断变化的威胁,从而最大限度地提高 Microsoft Sentinel 的价值,同时最大限度地减少手动工作的需求,从而帮助 SOC 团队提高安全效率。

随着威胁形势的发展,SOC 优化不断创新,提供增强安全控制的新方法。此功能的初始阶段可让您深入了解数据使用模式和针对特定威胁的覆盖范围差距。最近,SOC 优化引入了基于类似组织的建议,建议与具有相似趋势和行业概况的组织一致的数据摄取策略。基于这一势头,我们很高兴地宣布 SOC 优化中的一项新功能:跨 SIEM 和 XDR 的统一覆盖管理,使安全团队能够获得跨 SIEM 和 XDR 的统一覆盖管理体验。

问题陈述

此功能解决了哪些挑战,它提供了哪些好处?传统上,SIEM 和 XDR 彼此并行运行,但缺乏紧密集成,这使得安全团队难以评估其组织在各种工具中的整体安全覆盖范围。识别覆盖差距并确定必要的行动通常需要跨孤立的系统进行耗时的手动分析和研究,这使得分析师专注于高价值任务的时间有限。

解决方案

为了应对这些挑战,我们利用统一的安全运营平台,在 Microsoft Sentinel 和 Defender XDR 中提供完整且集成的覆盖率管理体验。使用这种统一体验的组织将获得有关 SIEM 和 XDR 方案和内容的建议,以及突出显示需要额外关注的领域的覆盖率分数,从而帮助用户确定其操作的优先级。这些方案已集成到 MITRE ATT&CK Blade 中,通过提供特定威胁方案的数据和影响,这些方案侧重于统一门户(Defender 门户中的 Microsoft Sentinel)中的策略、技术和子技术,从而提高覆盖率管理体验的准确性和文档记录。

  • 导航到统一门户中的 SOC 优化。由于此统一覆盖范围管理功能适用于使用 Microsoft SIEM 和 XDR 的客户,因此它仅在统一门户中可用。基于威胁的覆盖范围的概述横幅突出显示了覆盖范围级别,帮助您确定威胁场景的优先级。

  • 此外,它还概述了 Microsoft SIEM + XDR 产品(例如 Microsoft Sentinel、Microsoft Defender for Endpoint、Microsoft Defender for Identity 等)的检测数量,以及针对特定方案,其中有多少在您的环境中处于活动状态。

单击“查看所有威胁场景”将显示每个威胁场景的覆盖级别的摘要表

作为 Microsoft 的 SIEM 和 XDR 产品的用户,我希望在这两个平台上获得全面的可见性和统一的覆盖范围管理体验

让我们深入了解其中一个场景的覆盖率详细信息,例如 AiTM (Adversary in the Middle)。您有两个导航选项:点击“查看所有威胁场景”下的场景名称

或在优化卡中选择“查看详细信息”。

您将看到更新的详细信息窗格,如下所示。突出显示的区域表示与以前版本相比的新增强功能

新添加的见解之一是按产品划分的覆盖率状态的蜘蛛图

单击“查看完整威胁场景”以全面了解环境中 AiTM 的覆盖状态。这包括威胁措施、相关的 MITRE 策略和技术、产品状态和建议的用户定义检测。它还提供了指向内容中心的链接以启用它们

 作为 Microsoft 的 SIEM 和 XDR 的用户,我可以根据提供的建议添加或修改规则和产品,从而增强安全覆盖范围

继续我们在第二个使用案例中离开的页面,您可以探索建议的措施,以评估您的组织当前如何管理此安全威胁,并确定使用 SIEM + XDR 产品、用户定义的检测和其他建议操作来扩大覆盖范围的方法

单击特定产品将打开一个详细的侧窗格,其中包含该产品在此威胁场景上下文中的安全覆盖范围信息和建议,例如内置检测和自动响应操作。

您不仅可以在“查看完整威胁场景 – >用户定义的检测”下找到指向内容中心的链接,还可以在下面的详细信息窗格中找到(从优化卡中)。单击“Go to Content hub”(转到内容中心)按钮将显示相关内容,允许您在熟悉的内容中心视图中执行安装,而无需离开 SOC 优化页面。

作为 Microsoft SIEM 和 XDR 的用户,我可以在 MITRE Blade 中了解基于威胁的场景,从而提供更详细、解释更清晰的覆盖范围管理体验

    • 在此新版本中,我们已将基于威胁的场景与 MITRE 刀片集成,从而提供与 MITRE 框架一致的详细覆盖范围管理体验。在 MITRE 边栏选项卡中,有三个入口点可用于查看基于威胁的方案的覆盖范围详细信息,确保无论是直接访问还是从 SOC 优化页面导航,都能获得无缝体验。
    •  首先,让我们通过直接访问 MITRE 边栏选项卡来了解详细信息。单击左侧菜单窗格中 Microsoft Sentinel 下的“MITRE ATT&CK”,切换到按威胁场景查看 MITRE,然后从下拉列表中选择您的场景。选择特定技术将打开详细信息窗格。

在详细信息窗格中,您将找到与特定技术关联的覆盖率详细信息,包括突出显示的活动规则与可用检测总数的比率

第二个入口点是通过 coverage details 窗格。MITRE 刀片视图将自动使用您来自的特定威胁场景进行预筛选

立即开始使用 SOC 优化。我们希望此详细演练能帮助您更好地了解此功能的优势并提高您的安全覆盖范围。

Post Views: 3,124

了解 365vCloud's Journey to the Cloud 的更多信息

订阅后即可通过电子邮件收到最新文章。

Tags: