SOC 최적화 권장 사항을 사용하면 특정 위협에 대한 적용 범위 간격을 줄이고 보안 가치를 제공하지 않는 데이터에 대한 수집 속도를 강화할 수 있습니다. SOC 최적화는 SOC 팀이 수동 분석 및 연구에 시간을 소비하지 않고도 Microsoft Sentinel 작업 영역을 최적화하는 데 도움이 됩니다.
Microsoft Sentinel SOC 최적화에는 다음과 같은 유형의 권장 사항이 포함됩니다.
데이터 값 권장 사항은 조직의 더 나은 데이터 계획과 같이 데이터 사용을 개선하는 방법을 제안합니다.
적용 범위 기반 권장 사항은 공격 또는 재정적 손실로 이어질 수 있는 시나리오에 취약성을 초래할 수 있는 적용 범위 격차를 방지하기 위한 컨트롤을 추가하는 것이 좋습니다. 적용 범위 권장 사항은 다음과 같습니다.
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- AI MITRE ATT&CK 태그 지정 권장 사항(미리 보기): 인공 지능을 사용하여 MITRE ATT&CK 전술 및 기술을 사용하여 보안 검색 태그 지정을 제안합니다.
- 위험 기반 권장 사항(미리 보기): 운영, 재무, 평판, 규정 준수 및 법적 위험을 포함하여 비즈니스 위험 또는 재정적 손실을 초래할 수 있는 사용 사례와 연결된 적용 범위 격차를 해결하기 위해 제어를 구현하는 것이 좋습니다.
유사한 조직 권장 사항은 수집 추세 및 업계 프로필이 유사한 조직에서 사용하는 원본 유형에서 데이터를 수집하는 것이 좋습니다.
이 문서에서는 사용 가능한 SOC 최적화 권장 사항 유형에 대한 자세한 참조를 제공합니다.
Important
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
데이터 값 최적화 권장 사항
비용/보안 가치 비율을 최적화하기 위해, SOC 최적화는 거의 사용되지 않는 데이터 커넥터나 테이블을 식별합니다. SOC 최적화는 범위에 따라 테이블의 비용을 줄이거나 해당 값을 개선하는 방법을 제안합니다. 이러한 유형의 최적화를 데이터 값 최적화라고도 합니다.
데이터 값 최적화는 지난 30일 동안 데이터를 수집한 청구 가능한 테이블만 살펴봅니다.
다음 표에서는 사용 가능한 유형의 데이터 값 SOC 최적화 권장 사항을 나열합니다.
| 관찰 유형 | Action |
|---|---|
| 이 테이블은 지난 30일 동안 분석 규칙 또는 검색에서 사용되지 않았지만 통합 문서, 로그 쿼리, 헌팅 쿼리와 같은 다른 원본에서 사용되었습니다. | 분석 규칙 템플릿 켜기 OR 테이블이 적합한 경우 테이블을 기본 로그 계획 으로 이동합니다. |
| 이 테이블은 지난 30일 동안 전혀 사용되지 않았습니다. | 분석 규칙 템플릿 켜기 OR 데이터 수집을 중지하고 테이블을 제거하거나 테이블을 장기 보존으로 이동합니다. |
| 이 테이블은 Azure Monitor에서만 사용되었습니다. | 보안 값이 있는 테이블에 대한 관련 분석 규칙 템플릿 켜기 OR 비보안 Log Analytics 작업 영역으로 이동합니다. |
If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.
사용되지 않는 열(미리 보기)
SOC 최적화는 테이블에서 사용되지 않는 열도 표시합니다. 다음 표에는 SOC 최적화 권장 사항에 사용할 수 있는 사용 가능한 열 유형이 나와 있습니다.
| 관찰 유형 | Action |
|---|---|
| The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use. | 열에 대한 데이터 수집을 중지합니다. |
Important
수집 계획을 변경할 때는 항상 수집 계획의 제한이 명확하고 영향을 받는 테이블이 규정 준수 또는 기타 유사한 이유로 수집되지 않도록 하는 것이 좋습니다.
적용 범위 기반 최적화 권장 사항
적용 범위 기반 최적화 권장 사항은 특정 위협 또는 비즈니스 위험 및 재무 손실로 이어질 수 있는 시나리오에 대한 적용 범위 격차를 해소하는 데 도움이 됩니다.
위협 기반 최적화 권장 사항
데이터 값을 최적화하기 위해 SOC 최적화는 위협 기반 접근 방식을 사용하여 추가 검색 및 데이터 원본의 형태로 환경에 보안 컨트롤을 추가하는 것이 좋습니다. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.
SOC 최적화는 수집된 로그 및 사용 가능한 분석 규칙을 분석한 다음 특정 유형의 공격을 해결하는 데 필요한 로그 및 검색과 비교하여 위협 기반 권장 사항을 제공합니다.
위협 기반 최적화는 미리 정의된 검색과 사용자 정의 검색을 모두 고려합니다.
다음 표에서는 사용 가능한 유형의 위협 기반 SOC 최적화 권장 사항을 나열합니다.
| 관찰 유형 | Action |
|---|---|
| 데이터 원본이 있지만 검색이 없습니다. | 위협에 따라 분석 규칙 템플릿 켜기: 분석 규칙 템플릿을 사용하여 규칙을 만들고 사용자 환경에 맞게 이름, 설명 및 쿼리 논리를 조정합니다. 자세한 내용은 Microsoft Sentinel의 위협 탐지를 참조하세요. |
| 템플릿이 켜져 있지만 데이터 원본이 없습니다. | 새 데이터 원본을 연결합니다. |
| 기존 검색 또는 데이터 원본이 없습니다. | 검색 및 데이터 원본을 연결하거나 솔루션을 설치합니다. |
AI MITRE ATT&CK 태그 지정 권장 사항(미리 보기)
AI MITRE ATT&CK 태그 지정 기능은 인공 지능을 사용하여 보안 검색에 자동으로 태그를 지정합니다. AI 모델은 고객의 작업 영역에서 실행되어 관련 MITRE ATT&CK 전술 및 기술을 사용하여 태그가 지정되지 않은 검색에 대한 태그 지정 권장 사항을 만듭니다.
고객은 이러한 권장 사항을 적용하여 보안 적용 범위가 철저하고 정확한지 확인할 수 있습니다. 이렇게 하면 완전하고 정확한 보안 범위를 보장하여 위협 탐지 및 대응 기능을 향상합니다.
AI MITRE ATT&CK 태그 지정 권장 사항을 적용하는 세 가지 방법은 다음과 같습니다.
- 특정 분석 규칙에 권장 사항을 적용합니다.
- 작업 영역의 모든 분석 규칙에 권장 사항을 적용합니다.
- 권장 사항을 분석 규칙에 적용하지 마세요.
위험 기반 최적화 권장 사항(미리 보기)
위험 기반 최적화는 운영, 재무, 평판, 규정 준수 및 법적 위험을 포함하여 관련된 일련의 비즈니스 위험이 있는 실제 보안 시나리오를 고려합니다. 권장 사항은 보안에 대한 Microsoft Sentinel 위험 기반 접근 방식을 기반으로 합니다.
위험 기반 권장 사항을 제공하기 위해 SOC 최적화는 수집된 로그 및 분석 규칙을 살펴보고 비즈니스 위험을 유발할 수 있는 특정 유형의 공격을 보호, 검색 및 대응하는 데 필요한 로그 및 검색과 비교합니다. 위험 기반 권장 사항 최적화는 미리 정의된 검색과 사용자 정의 검색을 모두 고려합니다.
다음 표에서는 사용 가능한 유형의 위험 기반 SOC 최적화 권장 사항을 나열합니다.
| 관찰 유형 | Action |
|---|---|
| 데이터 원본이 있지만 검색이 없습니다. | 비즈니스 위험에 따라 분석 규칙 템플릿 켜기: 분석 규칙 템플릿을 사용하여 규칙을 만들고 사용자 환경에 맞게 이름, 설명 및 쿼리 논리를 조정합니다. |
| 템플릿이 켜져 있지만 데이터 원본이 없습니다. | 새 데이터 원본을 연결합니다. |
| 기존 검색 또는 데이터 원본이 없습니다. | 검색 및 데이터 원본을 연결하거나 솔루션을 설치합니다. |
유사한 조직 권장 사항
SOC 최적화는 고급 기계 학습을 사용하여 작업 영역에서 누락되었지만 유사한 수집 추세 및 업계 프로필을 가진 조직에서 사용되는 테이블을 식별합니다. 다른 조직에서 이러한 테이블을 사용하는 방법을 보여 줍니다. 관련 규칙과 함께 관련 데이터 원본을 권장하여 보안 범위를 개선합니다.
| 관찰 유형 | Action |
|---|---|
| 유사한 고객이 수집한 로그 원본이 없습니다. | 제안된 데이터 원본을 연결합니다. 이 권장 사항은 다음을 포함하지 않습니다.
|
Considerations
작업 영역은 기계 학습 모델이 다른 조직과 상당한 유사성을 식별하고 있지만 그렇지 않은 테이블을 검색하는 경우에만 유사한 조직 권장 사항을 받습니다. 초기 또는 온보딩 단계의 SOC는 성숙도가 높은 SOC보다 이러한 권장 사항을 받을 가능성이 더 높습니다. 모든 작업 영역에서 유사한 조직 권장 사항을 얻는 것은 아닙니다.
기계 학습 모델은 고객 로그의 콘텐츠에 액세스하거나 분석하거나 언제든지 수집하지 않습니다. 고객 데이터, 콘텐츠 또는 EUII(개인 데이터)가 분석에 노출되지 않습니다. 권장 사항은 OII(조직 식별 정보) 및 시스템 메타데이터에만 의존하는 기계 학습 모델을 기반으로 합니다.