A SOC hatékonyabb kezelése incidensmetrikákkal
Feljegyzés
Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.
A Security Operations Center (SOC) kezelőjeként átfogó hatékonysági metrikákkal és mértékekkel kell rendelkeznie a csapat teljesítményének méréséhez. Az incidensműveleteket számos különböző feltétel, például a súlyosság, a MITRE-taktikák, a középidő és a triázs, a feloldandó középidő és egyebek alapján szeretné megtekinteni. A Microsoft Sentinel mostantól elérhetővé teszi ezeket az adatokat a Log Analytics új SecurityIncident táblájával és sémájával, valamint a biztonsági műveletek hatékonysági munkafüzetével. Idővel megjelenítheti a csapat teljesítményét, és ezzel a megállapításokkal javíthatja a hatékonyságot. Saját KQL-lekérdezéseket is írhat és használhat az incidenstáblán az adott naplózási igényeknek és KPI-knek megfelelő testreszabott munkafüzetek létrehozásához.
A biztonsági incidensek tábla használata
A SecurityIncident tábla a Microsoft Sentinelbe van beépítve. A SecurityInsights gyűjtemény Naplók területén található többi táblával együtt találja meg. A Log Analyticsben bármely más táblához hasonlóan lekérdezheti.
Minden alkalommal, amikor incidenst hoz létre vagy frissít, egy új naplóbejegyzés lesz hozzáadva a táblához. Ez lehetővé teszi az incidensek módosításainak nyomon követését, és még hatékonyabb SOC-metrikákat tesz lehetővé, de ezt figyelembe kell vennie a tábla lekérdezéseinek létrehozásakor, mivel előfordulhat, hogy el kell távolítania egy incidens ismétlődő bejegyzéseit (a futtatott lekérdezéstől függően).
Ha például az incidensszámuk szerint rendezett összes incidens listáját szeretné visszaadni, de csak a legutóbbi naplót szeretné incidensenként visszaadni, ezt a KQL summarize operátorral teheti meg a arg_max() összesítési függvénnyel:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
További minta lekérdezések
Incidensállapot – az összes incidens állapota és súlyossága szerint egy adott időkeretben:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Lezárási idő percentilis szerint:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Osztályozási idő percentilis szerint:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Biztonsági műveletek hatékonysági munkafüzete
A SecurityIncidents tábla kiegészítéseként egy beépített biztonsági műveleti hatékonysági munkafüzetsablont biztosítunk, amellyel monitorozhatja az SOC-műveleteket. A munkafüzet a következő metrikákat tartalmazza:
- Az idő múlásával létrehozott incidens
- A záró besorolás, súlyosság, tulajdonos és állapot által létrehozott incidensek
- Középidő a triázshoz
- Középidő a lezáráshoz
- Súlyosság, tulajdonos, állapot, termék és taktika által idővel létrehozott incidensek
- A percentilisek osztályozásának ideje
- A percentilisek bezárásának ideje
- Átlagos idő a tulajdonosonkénti osztályozáshoz
- Legutóbbi tevékenységek
- Legutóbbi záró besorolások
Ezt az új munkafüzetsablont a Microsoft Sentinel navigációs menüjének Munkafüzetek elemére kattintva, a Sablonok fülre kattintva találhatja meg. Válassza a gyűjtemény biztonsági műveleteinek hatékonyságát, majd kattintson a Mentett munkafüzet megtekintése és a Sablon megtekintése gomb egyikére.
A sablonnal létrehozhat saját egyéni munkafüzeteket, amelyek az Ön igényeihez igazodnak.
SecurityIncidents séma
A séma adatmodellje
| Mező | Adattípus | Leírás |
|---|---|---|
| AdditionalData | dinamikus | Riasztások száma, könyvjelzők száma, megjegyzések száma, riasztási termékek neve és taktikája |
| Riasztásazonosítók | dinamikus | Riasztások, amelyekből az incidens létrejött |
| Könyvjelzőazonosítók | dinamikus | Könyvjelzőként megjelölt entitások |
| Osztályozás | húr | Incidens záró besorolása |
| ClassificationComment | húr | Incidens záró besorolási megjegyzése |
| ClassificationReason | húr | Incidens záró besorolásának oka |
| ClosedTime | dátum/idő | Az incidens utolsó lezárásának időbélyege (UTC) |
| Megjegyzések | dinamikus | Incidens megjegyzései |
| CreatedTime | dátum/idő | Az incidens létrehozásának időbélyege (UTC) |
| Leírás | húr | Incidens leírása |
| FirstActivityTime | dátum/idő | Első esemény időpontja |
| FirstModifiedTime | dátum/idő | Az incidens első módosításának időbélyege (UTC) |
| Incidensnév | húr | Belső GUID |
| IncidentNumber | egész | |
| IncidentUrl | húr | Incidensre mutató hivatkozás |
| Címkék | dinamikus | Címkék |
| LastActivityTime | dátum/idő | Utolsó esemény időpontja |
| LastModifiedTime | dátum/idő | Az incidens utolsó módosításának időbélyege (UTC) (az aktuális rekord által leírt módosítás) |
| ModifiedBy | húr | Az incidenst módosító felhasználó vagy rendszer |
| Tulajdonos | dinamikus | |
| RelatedAnalyticRuleIds | dinamikus | Szabályok, amelyekből az incidens riasztásai aktiválódtak |
| Súlyosság | húr | Az incidens súlyossága (magas/közepes/alacsony/tájékoztató) |
| SourceSystem | húr | Állandó ('Azure') |
| Állapot | húr | |
| TenantId | húr | |
| TimeGenerated | dátum/idő | Az aktuális rekord létrehozásának időbélyege (UTC) (az incidens módosításakor) |
| Cím | húr | |
| Típus | húr | Állandó ('SecurityIncident') |
Következő lépések
- A Microsoft Sentinel használatának megkezdéséhez a Microsoft Azure-előfizetésre van szüksége. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Megtudhatja, hogyan hozhatja be az adatokat a Microsoft Sentinelbe, és hogyan ismerheti meg az adatokat és a lehetséges fenyegetéseket.