Olay ölçümleriyle SOC’nizi daha iyi yönetme
Not
ABD Kamu bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. MICROSOFT Sentinel tablolarında ABD Kamu müşterileri için Bulut özellik kullanılabilirliği.
Güvenlik operasyonları merkezi (SOC) yöneticisi olarak, ekibinizin performansını ölçmek için genel verimlilik ölçümlerinin ve ölçülerinin parmaklarınızın ucunda olması gerekir. Olay işlemlerini zaman içinde önem derecesi, MITRE taktikleri, önceliklendirme süresi, ortalama çözüm süresi ve daha fazlası gibi birçok farklı ölçüte göre görmek isteyeceksiniz. Microsoft Sentinel artık bu verileri Log Analytics'teki yeni SecurityIncident tablosu ve şeması ve beraberindeki Güvenlik işlemleri verimliliği çalışma kitabıyla kullanımınıza sunuyor. Ekibinizin zaman içindeki performansını görselleştirebilir ve verimliliği artırmak için bu içgörüleri kullanabilirsiniz. Ayrıca olay tablosuna kendi KQL sorgularınızı yazabilir ve kullanarak belirli denetim gereksinimlerinize ve KPI'lerinize uygun özelleştirilmiş çalışma kitapları oluşturabilirsiniz.
Güvenlik olayları tablosunu kullanma
SecurityIncident tablosu Microsoft Sentinel'de yerleşik olarak bulunur. Günlükler altında SecurityInsights koleksiyonundaki diğer tablolarla birlikte bulabilirsiniz. Log Analytics'teki diğer tüm tablolarda olduğu gibi sorgulayabilirsiniz.
Bir olayı her oluşturduğunuzda veya güncelleştirdiğinizde, tabloya yeni bir günlük girdisi eklenir. Bu, olaylarda yapılan değişiklikleri izlemenize ve daha da güçlü SOC ölçümlerine olanak tanır, ancak bu tablo için sorgu oluştururken dikkatli olmanız gerekir çünkü bir olay için yinelenen girişleri kaldırmanız gerekebilir (çalıştırdığınız sorguya bağlı olarak).
Örneğin, olay numarasına göre sıralanmış tüm olayların listesini döndürmek ancak olay başına yalnızca en son günlüğü döndürmek istiyorsanız, bunu arg_max() toplama işleviyle KQL özetle işlecini kullanarak yapabilirsiniz:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Diğer örnek sorgular
Olay durumu - belirli bir zaman dilimindeki durum ve önem derecelerine göre tüm olaylar:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Yüzdebirlik kapanış süresi:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Yüzdebirlik değere göre önceliklendirme süresi:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Güvenlik işlemleri verimliliği çalışma kitabı
SecurityIncidents tablosunu tamamlamak için, SOC işlemlerinizi izlemek için kullanabileceğiniz kullanıma açık bir güvenlik işlemleri verimlilik çalışma kitabı şablonu sağladık. Çalışma kitabı aşağıdaki ölçümleri içerir:
- Zaman içinde oluşturulan olay
- Sınıflandırma, önem derecesi, sahip ve durum kapatılarak oluşturulan olaylar
- Önceliklendirme için ortalama süre
- Ortalama kapatma süresi
- Zaman içinde önem derecesi, sahip, durum, ürün ve taktikler tarafından oluşturulan olaylar
- Önceliklendirme yüzdebirlik dilimleri
- Yüzdebirlik dilimleri kapatma süresi
- Sahip başına önceliklendirme süresi
- Son etkinlikler
- Son kapanış sınıflandırmaları
Bu yeni çalışma kitabı şablonunu, Microsoft Sentinel gezinti menüsünden Çalışma Kitapları'nı seçip Şablonlar sekmesini seçerek bulabilirsiniz. Galeriden Güvenlik işlemleri verimliliği'ni seçin ve Kaydedilen çalışma kitabını görüntüle ve Şablonu görüntüle düğmelerinden birine tıklayın.
Şablonu kullanarak özel ihtiyaçlarınıza göre uyarlanmış kendi özel çalışma kitaplarınızı oluşturabilirsiniz.
SecurityIncidents şeması
Şemanın veri modeli
| Alan | Veri türü | Açıklama |
|---|---|---|
| AdditionalData | dynamic | Uyarı sayısı, yer işaretleri sayısı, açıklama sayısı, uyarı ürünleri adları ve taktikleri |
| AlertId'ler | dynamic | Olayın oluşturulduğu uyarılar |
| BookmarkId'ler | dynamic | Yer işaretli varlıklar |
| Sınıflandırma | Dize | Olay kapatma sınıflandırması |
| ClassificationComment | Dize | Olay kapanış sınıflandırması açıklaması |
| ClassificationReason | Dize | Olay kapatma sınıflandırma nedeni |
| ClosedTime | datetime | Olayın son kapatıldığı zaman damgası (UTC) |
| Açıklamalar | dynamic | Olay açıklamaları |
| CreatedTime | datetime | Olayın oluşturulduğu zaman damgası (UTC) |
| Açıklama | Dize | Olay açıklaması |
| FirstActivityTime | datetime | İlk olay zamanı |
| FirstModifiedTime | datetime | Olayın ilk değiştirildiği zaman damgası (UTC) |
| IncidentName | Dize | İç GUID |
| IncidentNumber | int | |
| IncidentUrl | Dize | Olaya bağlantı |
| Etiketler | dynamic | Etiketler |
| LastActivityTime | datetime | Son olay zamanı |
| LastModifiedTime | datetime | Olayın en son değiştirildiği zaman damgası (UTC) (geçerli kayıt tarafından açıklanan değişiklik) |
| ModifiedBy | Dize | Olayı değiştiren kullanıcı veya sistem |
| Sahip | dynamic | |
| RelatedAnalyticRuleIds | dynamic | Olay uyarılarının tetiklendiği kurallar |
| Önem Derecesi | Dize | Olayın önem derecesi (Yüksek/Orta/Düşük/Bilgilendiren) |
| SourceSystem | Dize | Sabit ('Azure') |
| Statü | Dize | |
| Kiracı Kimliği | Dize | |
| TimeGenerated | datetime | Geçerli kaydın oluşturulduğu zaman damgası (UTC) (olayın değiştirilmesi üzerine) |
| Başlık | Dize | |
| Tür | Dize | Sabit ('SecurityIncident') |
Sonraki adımlar
- Microsoft Sentinel'i kullanmaya başlamak için Microsoft Azure aboneliğiniz olmalıdır. Bir aboneliğiniz yoksa ücretsiz deneme sürümü için kaydolabilirsiniz.
- Verilerinizi Microsoft Sentinel'e eklemeyi ve verilerinize ve olası tehditlere ilişkin görünürlük elde etmeyi öğrenin.