Tipos de recomendações de otimização SOC

2025-07-16
Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Use as recomendações de otimização de SOC para ajudá-lo a fechar lacunas de cobertura contra ameaças específicas e aumentar suas taxas de ingestão em relação a dados que não fornecem valor de segurança. As otimizações SOC ajudam a otimizar o seu espaço de trabalho do Microsoft Sentinel, sem que as suas equipas SOC gastem tempo em análises e investigações manuais.

As otimizações SOC do Microsoft Sentinel incluem os seguintes tipos de recomendações:

As recomendações de valor de dados sugerem maneiras de melhorar o uso de dados, como um melhor plano de dados para sua organização.
As recomendações baseadas na cobertura sugerem a adição de controles para evitar lacunas de cobertura que podem levar à vulnerabilidade a ataques ou cenários que podem levar a perdas financeiras. As recomendações de cobertura incluem:
- Threat-based recommendations: Recommends adding security controls that help you detect coverage gaps to prevent attacks and vulnerabilities.
- AI MITRE ATT&CK tagging recommendations (Preview): Usa inteligência artificial para sugerir a marcação de deteções de segurança com táticas e técnicas MITRE ATT&CK.
- Recomendações baseadas no risco (Pré-visualização): recomenda a implementação de controlos para colmatar lacunas de cobertura associadas a casos de utilização que possam resultar em riscos empresariais ou perdas financeiras, incluindo riscos operacionais, financeiros, de reputação, de conformidade e legais.
Recomendações de organizações semelhantes sugerem a ingestão de dados dos tipos de fontes usadas por organizações que têm tendências de ingestão e perfis de setor semelhantes aos seus.

Este artigo fornece uma referência detalhada dos tipos de recomendações de otimização SOC disponíveis.

Important

O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.

Recomendações de otimização do valor dos dados

Para otimizar sua relação custo/valor de segurança, as superfícies de otimização SOC dificilmente usavam conectores de dados ou tabelas. A otimização SOC sugere maneiras de reduzir o custo de uma tabela ou melhorar seu valor, dependendo da sua cobertura. Esse tipo de otimização também é chamado de otimização de valor de dados.

As otimizações de valor de dados examinam apenas tabelas faturáveis que ingeriram dados nos últimos 30 dias.

A tabela a seguir lista os tipos disponíveis de recomendações de otimização SOC de valor de dados:

Tipo de observação	Action
A tabela não foi usada por regras de análise ou deteções nos últimos 30 dias, mas foi usada por outras fontes, como pastas de trabalho, consultas de log, consultas de caça.	Ativar modelos de regras de análise OR Mova a tabela para um plano de logs básicos se a tabela for elegível.
A tabela não foi usada nos últimos 30 dias.	Ativar modelos de regras de análise OR Pare a ingestão de dados e remova a tabela ou mova a tabela para retenção de longo prazo.
A tabela foi usada apenas pelo Azure Monitor.	Ative todos os modelos de regras de análise relevantes para tabelas com valor de segurança OR Mover para um espaço de trabalho do Log Analytics que não seja de segurança.

If a table is chosen for UEBA or a threat intelligence matching analytics rule, SOC optimization doesn't recommend any changes in ingestion.

Colunas não utilizadas (Pré-visualização)

A otimização SOC também exibe colunas não utilizadas em suas tabelas. A tabela a seguir lista os tipos disponíveis de colunas disponíveis para recomendações de otimização SOC:

Tipo de observação	Action
The ConditionalAccessPolicies column in the SignInLogs table or the AADNonInteractiveUserSignInLogs table isn't in use.	Pare a ingestão de dados para a coluna.

Important

Ao fazer alterações nos planos de ingestão, recomendamos sempre garantir que os limites dos seus planos de ingestão sejam claros e que as tabelas afetadas não sejam ingeridas por conformidade ou outros motivos semelhantes.

Recomendações de otimização baseadas em cobertura

As recomendações de otimização baseadas em cobertura ajudam a fechar lacunas de cobertura contra ameaças específicas ou cenários que podem levar a riscos de negócios e perdas financeiras.

Recomendações de otimização baseadas em ameaças

Para otimizar o valor dos dados, a otimização SOC recomenda adicionar controles de segurança ao seu ambiente na forma de deteções e fontes de dados extras, usando uma abordagem baseada em ameaças. This optimization type is also known as coverage optimization, and is based on Microsoft's security research.

A otimização SOC fornece recomendações baseadas em ameaças, analisando seus logs ingeridos e regras de análise ativadas e, em seguida, comparando-os com os logs e deteções necessários para lidar com tipos específicos de ataques.

As otimizações baseadas em ameaças consideram deteções predefinidas e definidas pelo usuário.

A tabela a seguir lista os tipos disponíveis de recomendações de otimização de SOC baseadas em ameaças:

Tipo de observação	Action
Existem fontes de dados, mas faltam deteções.	Ativar modelos de regra de análise com base na ameaça: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para se adequar ao seu ambiente. Para obter mais informações, consulte Deteção de ameaças no Microsoft Sentinel.
Os modelos estão ativados, mas faltam fontes de dados.	Conecte novas fontes de dados.
Não existem deteções ou fontes de dados existentes.	Conecte deteções e fontes de dados ou instale uma solução.

Recomendações de marcação AI MITRE ATT&CK (Preview)

O recurso de marcação AI MITRE ATT usa inteligência artificial para marcar automaticamente as deteções de segurança. O modelo de IA é executado no espaço de trabalho do cliente para criar recomendações de marcação para deteções não marcadas com táticas e técnicas MITRE ATT&CK relevantes.

Os clientes podem aplicar essas recomendações para garantir que sua cobertura de segurança seja completa e precisa. Isso garante uma cobertura de segurança completa e precisa, aprimorando as capacidades de deteção e resposta a ameaças.

Estas são 3 maneiras de aplicar as recomendações de marcação AI MITRE ATT&CK:

Aplique a recomendação a uma regra de análise específica.
Aplique a recomendação a todas as regras de análise no espaço de trabalho.
Não aplique a recomendação a nenhuma regra de análise.

Recomendações de otimização baseadas no risco (Pré-visualização)

As otimizações baseadas em risco consideram cenários de segurança do mundo real com um conjunto de riscos de negócios associados, incluindo riscos operacionais, financeiros, de reputação, de conformidade e legais. As recomendações baseiam-se na abordagem de segurança baseada no risco do Microsoft Sentinel.

Para fornecer recomendações baseadas em risco, a otimização SOC analisa seus logs e regras de análise ingeridos e os compara com os logs e deteções necessários para proteger, detetar e responder a tipos específicos de ataques que podem causar riscos aos negócios. As otimizações de recomendações baseadas em risco consideram deteções predefinidas e definidas pelo usuário.

A tabela a seguir lista os tipos disponíveis de recomendações de otimização de SOC baseadas em risco:

Tipo de observação	Action
Existem fontes de dados, mas faltam deteções.	Ativar modelos de regras de análise com base nos riscos de negócios: crie uma regra usando um modelo de regra de análise e ajuste o nome, a descrição e a lógica de consulta para se adequar ao seu ambiente.
Os modelos estão ativados, mas faltam fontes de dados.	Conecte novas fontes de dados.
Não existem deteções ou fontes de dados existentes.	Conecte deteções e fontes de dados ou instale uma solução.

Recomendações de organizações semelhantes

A otimização SOC usa aprendizado de máquina avançado para identificar tabelas que estão faltando em seu espaço de trabalho, mas são usadas por organizações com tendências de ingestão e perfis de setor semelhantes. Ele mostra como outras organizações usam essas tabelas e recomenda as fontes de dados relevantes, juntamente com as regras relacionadas, para melhorar sua cobertura de segurança.

Tipo de observação	Action
Fontes de log ingeridas por clientes semelhantes estão ausentes	Conecte as fontes de dados sugeridas. Esta recomendação não inclui: Custom connectors Custom tables Tabelas ingeridas por menos de 10 espaços de trabalho Tabelas que contêm várias fontes de log, como as `Syslog` tabelas ou `CommonSecurityLog`

Considerations

Um espaço de trabalho só recebe recomendações de organização semelhantes se o modelo de aprendizado de máquina identificar semelhanças significativas com outras organizações e descobrir tabelas que elas têm, mas você não tem. As SOC em fase inicial ou de integração têm maior probabilidade de receber estas recomendações do que as SOC com um nível de maturidade mais elevado. Nem todos os espaços de trabalho recebem recomendações semelhantes de organizações.
Os modelos de aprendizado de máquina nunca acessam ou analisam o conteúdo dos logs do cliente ou os ingerem em nenhum momento. Nenhum dado do cliente, conteúdo ou dados pessoais (EUII) é exposto à análise. As recomendações são baseadas em modelos de aprendizado de máquina que dependem exclusivamente de Informações Identificáveis Organizacionais (OII) e metadados do sistema.

Next step

Otimização de SOC de acesso

Comentários

Esta página foi útil?