La optimización de SOC tiene como objetivo ayudar a los equipos de SOC a mejorar la eficiencia de la seguridad proporcionando recomendaciones personalizadas para cerrar las posibles brechas, reducir la ingestión de datos innecesarios y adaptarse a las amenazas cambiantes, maximizando el valor de Microsoft Sentinel y minimizando la necesidad de realizar esfuerzos manuales.
A medida que evoluciona el panorama de las amenazas, la optimización del SOC continúa innovando y ofreciendo nuevas formas de mejorar los controles de seguridad. La fase inicial de esta función ofrece información detallada sobre los patrones de uso de los datos y las deficiencias de cobertura frente a amenazas específicas.
Recientemente, la optimización del SOC ha incorporado recomendaciones basadas en organizaciones similares, sugiriendo estrategias de ingestión de datos alineadas con organizaciones que comparten tendencias y perfiles industriales similares. Aprovechando este impulso, nos complace anunciar una nueva capacidad dentro de la optimización SOC: Unified Coverage Management Across SIEM and XDR, que ofrece a los equipos de seguridad una experiencia unificada de gestión de la cobertura en SIEM y XDR.
Planteamiento del problema
¿Qué retos aborda esta función y qué ventajas aporta? Tradicionalmente, SIEM y XDR operan de forma conjunta, pero carecen de una estrecha integración, lo que dificulta a los equipos de seguridad la evaluación de la protección global de su organización a través de varias herramientas. La identificación de lagunas en la protección y la determinación de las medidas necesarias suelen requerir análisis e investigaciones manuales en sistemas aislados que llevan mucho tiempo, lo que deja a los analistas con poco tiempo para centrarse en tareas de gran valor.
«Históricamente repasábamos los casos de uso manualmente y escribíamos los datos en una pizarra para ver qué tipo de laguna podíamos encontrar con el uso de los datos actuales y los disponibles. Con la incorporación de SOC Optimization, podemos identificar fácilmente los casos de uso comunes y ver exactamente dónde tenemos una brecha. Intentamos que todos los entornos sean iguales, pero las organizaciones difieren entre sí. Esta función nos permite demostrar las deficiencias de los datos de forma más eficaz y sacarlas a relucir en las reuniones.»
Tom Rolvers, consultor de seguridad – Yellow Arrow
La solución
Para hacer frente a estos retos, Microsoft aprovecha la plataforma unificada de operaciones de seguridad para ofrecer una experiencia de gestión de la protección completa e integrada en Microsoft Sentinel y Defender XDR. Las organizaciones que utilicen esta experiencia unificada obtendrán recomendaciones para escenarios y contenidos tanto de SIEM como de XDR, junto con puntuaciones de protección que resaltan las áreas que requieren una atención adicional, ayudando a los usuarios a priorizar sus acciones. Estos escenarios se integran en MITRE ATT&CK Blade, mejorando la precisión y la documentación de la experiencia de gestión de la cobertura mediante la presentación de datos e impactos para escenarios de amenazas específicos centrados en tácticas, técnicas y subtécnicas dentro del portal unificado (Microsoft Sentinel en el portal Defender).
Casos prácticos
Veamos ahora esta función en acción con cuatro casos de uso de ejemplo:
- Como usuario de SIEM y XDR de Microsoft, obtengo visibilidad de mi puntuación de protección, lo que me permite priorizar y abordar las áreas que necesitan mejoras.
- Navegue hasta la optimización del SOC en el portal unificado. Dado que esta función de gestión unificada de la protección es para clientes con SIEM y XDR de Microsoft, sólo estará disponible en el portal unificado. El banner de visión general de la cobertura basada en amenazas resalta el nivel de cobertura, ayudándole a priorizar los escenarios de amenazas.
- Además, indica el número de detecciones de productos SIEM + XDR de Microsoft (como Microsoft Sentinel, Microsoft Defender for Endpoint, Microsoft Defender for Identity, etc.) y cuántos de ellos están activos en su entorno para el escenario específico.
- Al hacer clic en «Ver todos los escenarios de amenazas» se mostrará una tabla resumen del nivel de protección para cada escenario de amenaza.
- Como usuario de los productos SIEM y XDR de Microsoft, me gustaría obtener una visibilidad completa y una experiencia de gestión de la protección unificada en ambas plataformas.
- Profundicemos en los detalles de la protección de uno de los escenarios, por ejemplo, AiTM (Adversary in the Middle). Tiene dos opciones de navegación: haciendo clic en el nombre del escenario en «Ver todos los escenarios de amenazas» o seleccionando «Ver detalles» en la tarjeta de optimización.
- Verá el panel de detalles actualizado como se indica a continuación. Las áreas resaltadas indican las nuevas mejoras en comparación con la versión anterior.
- Una de las novedades es el diagrama de araña que muestra el estado de la protección por producto.
- Haga clic en «Ver escenario de amenaza completo» para obtener una visibilidad completa del estado de la protección para AiTM en el entorno. Esto incluye las medidas de amenaza, las tácticas y técnicas de MITRE asociadas, el estado del producto y las detecciones definidas por el usuario recomendadas. También proporciona enlaces al centro de contenido para activarlas.
- Como usuario de SIEM y XDR de Microsoft, puede mejorar la protección añadiendo o modificando reglas y productos basándose en las recomendaciones proporcionadas.
- Continuando desde la página donde lo dejamos en el segundo caso de uso, puede explorar las medidas recomendadas para evaluar cómo está gestionando actualmente su organización esta amenaza para la seguridad e identificar formas de mejorar su protección con productos SIEM + XDR, detecciones definidas por el usuario y otras acciones recomendadas.
- Al hacer clic en un producto específico se abrirá un panel lateral detallado con información sobre la protección y recomendaciones para ese producto en el contexto de este escenario de amenaza, como detecciones integradas y acciones de respuesta automatizadas.
- Encontrará enlaces al Content Hub no sólo en ‘Ver escenario de amenazas completo -> detecciones definidas por el usuario’, sino también en el panel de detalles inferior (desde la ficha de optimización). Al hacer clic en el botón «Ir al Content hub» se presentará el contenido pertinente, lo que le permitirá realizar la instalación en la vista del content hub con la que está familiarizado, sin salir de la página de optimización del SOC.
- Como usuario de SIEM y XDR de Microsoft, tengo visibilidad de los escenarios basados en amenazas en MITRE Blade, lo que ofrece una experiencia de gestión de la protección más detallada y bien explicada.
- Con esta nueva versión, se han integrado los escenarios basados en amenazas con MITRE Blade, ofreciendo una experiencia de gestión de la cobertura detallada y alineada con el marco de MITRE. Hay tres puntos de entrada para ver los detalles de la protección de sus escenarios basados en amenazas en el blade MITRE, lo que garantiza una experiencia fluida tanto si accede directamente como si navega desde la página de optimización del SOC.
- En primer lugar, exploremos los detalles accediendo directamente a la hoja de MITRE. Haga clic en «MITRE ATT&CK» en Microsoft Sentinel en el panel izquierdo del menú, cambie para ver MITRE por escenarios de amenazas y seleccione su escenario en la lista desplegable. Al seleccionar una técnica específica se abrirá el panel de detalles.
- En el panel de detalles, encontrará los detalles de protección asociados a la técnica específica, incluida la proporción resaltada de reglas activas con respecto al total de detecciones disponibles.
- El segundo punto de entrada es a través del panel de detalles de protección. La vista de la hoja de MITRE se prefiltrará automáticamente con el escenario de amenaza específico del que procede.
- El tercer punto de entrada es desde la página «Ver escenario de amenaza completo». Al igual que en el segundo punto de entrada, la vista de la hoja de MITRE se prefiltrará automáticamente con el escenario de amenaza específico.
