SOC の最適化の推奨事項を使用すると、特定の脅威に対するカバレッジ ギャップを埋め、セキュリティ値を提供しないデータに対するインジェスト率を強化できます。 SOC の最適化は、SOC チームが手動の分析と調査に時間を費やすことなく、Microsoft Sentinel ワークスペースを最適化するために役立ちます。
Microsoft Sentinel SOC の最適化には、次の種類の推奨事項が含まれます。
データ値の推奨事項は 、組織のデータ計画の改善など、データの使用を改善する方法を提案します。
カバレッジ ベースの推奨事項では、 財務上の損失につながる可能性のある攻撃やシナリオの脆弱性につながる可能性があるカバレッジ ギャップを防ぐためのコントロールを追加することが推奨されます。 カバレッジの推奨事項は次のとおりです。
- 脅威ベースの推奨事項: 攻撃や脆弱性を防ぐためにカバレッジギャップを検出するのに役立つセキュリティコントロールを追加することをお勧めします。
- AI MITRE ATT&CK のタグ付けの推奨事項 (プレビュー):人工知能を使用して、MITRE ATT&CK の戦術と手法を使用してセキュリティ検出のタグ付けを提案します。
- リスクベースの推奨事項 (プレビュー): 運用、財務、評判、コンプライアンス、法的リスクなど、ビジネス リスクや財務上の損失につながる可能性があるユース ケースにリンクされたカバレッジギャップに対処するためのコントロールを実装することをお勧めします。
同様の組織の推奨事項では、 インジェスト傾向や業界プロファイルが似ている組織で使用されるソースの種類からデータを取り込むことをお勧めします。
この記事では、使用可能な SOC 最適化の推奨事項の種類の詳細なリファレンスを提供します。
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2027 年 3 月 31 日以降、Microsoft Sentinel は Azure portal でサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portal で Microsoft Sentinel を使用しているすべてのお客様は 、Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel を使用します。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
データ値の最適化に関する推奨事項
コスト/セキュリティ値の比率を最適化するために、SOC 最適化では、データ コネクタまたはテーブルをほとんど使用しません。 SOC の最適化は、対象範囲に応じて、テーブルのコストを削減するか、その値を向上させる方法を提案します。 この種類の最適化は、 データ値の最適化とも呼ばれます。
データ値の最適化では、過去 30 日間にデータを取り込んだ課金対象テーブルのみが表示されます。
次の表に、使用可能な種類のデータ値 SOC 最適化の推奨事項を示します。
| 観察の種類 | Action |
|---|---|
| このテーブルは、過去 30 日間の分析ルールや検出では使用されませんでしたが、ブック、ログ クエリ、ハンティング クエリなどの他のソースによって使用されました。 | 分析ルール テンプレートを有効にする OR テーブルが対象の場合は、 テーブルを基本的なログ プラン に移動します。 |
| このテーブルは、過去 30 日間まったく使用されませんでした。 | 分析ルール テンプレートを有効にする OR データ インジェストを停止し、テーブルを削除するか、テーブルを長期的なリテンション期間に移動します。 |
| このテーブルは、Azure Monitor によってのみ使用されました。 | セキュリティ値を持つテーブルに関連する分析ルール テンプレートを有効にする OR セキュリティ以外の Log Analytics ワークスペースに移動します。 |
UEBA または脅威インテリジェンス照合分析ルールにテーブルを選択した場合、SOC 最適化ではインジェストの変更は推奨されません。
未使用の列 (プレビュー)
SOC 最適化では、テーブル内の未使用の列も表示されます。 次の表に、SOC 最適化の推奨事項に使用できる列の種類を示します。
| 観察の種類 | Action |
|---|---|
| SignInLogs テーブルまたは AADNonInteractiveUserSignInLogs テーブルの ConditionalAccessPolicies 列が使用されていません。 | 列のデータ インジェストを停止します。 |
Important
インジェスト 計画に変更を加える場合は、常にインジェスト 計画の制限が明確であり、影響を受けるテーブルがコンプライアンスやその他の同様の理由で取り込まれないことを確認することをお勧めします。
カバレッジベースの最適化に関する推奨事項
カバレッジベースの最適化に関する推奨事項は、特定の脅威や、ビジネス リスクや財務上の損失につながる可能性があるシナリオに対するカバレッジギャップを埋めるのに役立ちます。
脅威ベースの最適化に関する推奨事項
SOC の最適化では、データ値を最適化するために、脅威ベースのアプローチを使用して、追加の検出とデータ ソースの形式で環境にセキュリティ制御を追加することをお勧めします。 この最適化の種類は カバレッジの最適化とも呼ばれ、Microsoft のセキュリティ調査に基づいています。
SOC の最適化では、取り込まれたログと有効な分析ルールを分析し、特定の種類の攻撃に対処するために必要なログと検出と比較することで、脅威ベースの推奨事項が提供されます。
脅威ベースの最適化では、定義済みの検出とユーザー定義の検出の両方が考慮されます。
次の表に、使用可能な種類の脅威ベースの SOC 最適化に関する推奨事項を示します。
| 観察の種類 | Action |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | 脅威に基づいて分析ルール テンプレートを有効にする: 分析ルール テンプレートを使用してルールを作成し、環境に合わせて名前、説明、クエリ ロジックを調整します。 詳細については、「 Microsoft Sentinel での脅威の検出」を参照してください。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
AI MITRE ATT&CK のタグ付けの推奨事項 (プレビュー)
AI MITRE ATT&CK タグ付け機能は、人工知能を使用してセキュリティ検出に自動的にタグ付けします。 AI モデルは、顧客のワークスペースで実行され、関連する MITRE ATT&CK 戦術と手法を使用してタグ付けされていない検出に対するタグ付けの推奨事項を作成します。
お客様は、これらの推奨事項を適用して、セキュリティ カバレッジが完全かつ正確であることを確認できます。 これにより、完全で正確なセキュリティ カバレッジが確保され、脅威の検出と対応の機能が強化されます。
AI MITRE ATT&CK タグ付けの推奨事項を適用する 3 つの方法を次に示します。
- 推奨事項を特定の分析ルールに適用します。
- ワークスペース内のすべての分析ルールに推奨事項を適用します。
- どの分析ルールにも推奨事項を適用しないでください。
リスクベースの最適化に関する推奨事項 (プレビュー)
リスクベースの最適化では、運用、財務、評判、コンプライアンス、法的リスクなど、一連のビジネス リスクが関連付けられた実際のセキュリティ シナリオが考慮されます。 推奨事項は、セキュリティに対する Microsoft Sentinel のリスクベースのアプローチに基づいています。
リスクベースの推奨事項を提供するために、SOC の最適化では、取り込まれたログと分析ルールを調べ、ビジネス リスクを引き起こす可能性のある特定の種類の攻撃を保護、検出、対応するために必要なログと検出と比較します。 リスクベースの推奨事項の最適化では、定義済み検出とユーザー定義検出の両方が考慮されます。
次の表に、リスクベースの SOC 最適化に関する推奨事項の種類を示します。
| 観察の種類 | Action |
|---|---|
| データ ソースはありますが、検出が見つかりません。 | ビジネス リスクに基づいて分析ルール テンプレートを有効にする: 分析ルール テンプレートを使用してルールを作成し、環境に合わせて名前、説明、クエリ ロジックを調整します。 |
| テンプレートは有効になっていますが、データ ソースがありません。 | 新しいデータ ソースを接続します。 |
| 既存の検出やデータ ソースはありません。 | 検出とデータ ソースを接続するか、ソリューションをインストールします。 |
同様の組織の推奨事項
SOC の最適化では、高度な機械学習を使用して、ワークスペースに不足しているテーブルを特定しますが、同様のインジェスト傾向と業界プロファイルを持つ組織によって使用されます。 他の組織がこれらのテーブルを使用する方法を示し、関連するデータ ソースと関連するルールを推奨して、セキュリティ カバレッジを向上させます。
| 観察の種類 | Action |
|---|---|
| 類似した顧客によって取り込まれたログ ソースが見つからない | 推奨されるデータ ソースを接続します。 この推奨事項には以下は含まれません。
|
Considerations
ワークスペースは、機械学習モデルが他の組織との重要な類似点を識別し、他の組織が持っているテーブルを検出したが、そうでない場合にのみ、同様の組織の推奨事項を受け取ります。 初期段階またはオンボード段階の SOC は、成熟度が高い SOC よりも、これらの推奨事項を受け取る可能性が高くなります。 すべてのワークスペースに類似した組織の推奨事項が表示されるわけではありません。
機械学習モデルは、顧客のログの内容にアクセスしたり分析したり、いつでも取り込んだりすることはありません。 顧客データ、コンテンツ、または個人データ (EUII) が分析に公開されることはありません。 推奨事項は、組織を特定できる情報 (OII) とシステム メタデータのみに依存する機械学習モデルに基づいています。