Lepší správa SOC s využitím metrik pro incidenty
Poznámka:
Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.
Jako správce služby Security Operations Center (SOC) potřebujete mít celkové metriky efektivity a míry na dosah ruky, abyste mohli posoudit výkon vašeho týmu. Operace incidentů budete chtít zobrazit v průběhu času mnoha různými kritérii, jako je závažnost, taktika MITRE, střední doba pro třídění, střední doba řešení a další. Microsoft Sentinel teď tato data zpřístupní pomocí nové tabulky a schématu SecurityIncident v Log Analytics a doprovodného sešitu efektivity operací zabezpečení. Budete moct vizualizovat výkon týmu v průběhu času a pomocí tohoto přehledu zvýšit efektivitu. Můžete také napsat a použít vlastní dotazy KQL na tabulku incidentů k vytvoření přizpůsobených sešitů, které odpovídají vašim konkrétním potřebám auditování a klíčových ukazatelů výkonu.
Použití tabulky incidentů zabezpečení
Tabulka SecurityIncident je integrovaná do Microsoft Sentinelu. Najdete ji s ostatními tabulkami v kolekci SecurityInsights v části Protokoly. Můžete ji dotazovat stejně jako jakoukoli jinou tabulku v Log Analytics.
Při každém vytvoření nebo aktualizaci incidentu se do tabulky přidá nová položka protokolu. To vám umožní sledovat změny incidentů a umožňuje ještě výkonnější metriky SOC, ale při vytváření dotazů pro tuto tabulku musíte mít na paměti, protože možná budete muset odebrat duplicitní položky incidentu (závisí na přesném dotazu, který spouštíte).
Pokud byste například chtěli vrátit seznam všech incidentů seřazených podle jejich čísla incidentu, ale chtěli byste vrátit jenom nejnovější protokol na incident, můžete to udělat pomocí operátoru arg_max() sumarizace KQL s agregační funkcí:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Další ukázkové dotazy
Stav incidentu – všechny incidenty podle stavu a závažnosti v daném časovém rámci:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Čas uzavření podle percentilu:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Čas třídění podle percentilu:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Sešit efektivity operací zabezpečení
Abychom doplnili tabulku SecurityIncidents, poskytli jsme vám předpojenou šablonu sešitu efektivity operací zabezpečení, kterou můžete použít k monitorování operací SOC. Sešit obsahuje následující metriky:
- Incident vytvořený v průběhu času
- Incidenty vytvořené uzavřením klasifikace, závažností, vlastníkem a stavem
- Střední doba třídění
- Střední doba uzavření
- Incidenty vytvořené závažností, vlastníkem, stavem, produktem a taktikou v průběhu času
- Čas na třídění percentilů
- Čas uzavření percentilů
- Střední doba třídění podle vlastníka
- Nedávné aktivity
- Poslední závěrečné klasifikace
Tuto novou šablonu sešitu najdete tak, že zvolíte Sešity z navigační nabídky Microsoft Sentinelu a vyberete kartu Šablony . V galerii zvolte efektivitu operací zabezpečení a klikněte na jedno z tlačítek Zobrazit uložený sešit a Zobrazit šablonu .
Pomocí šablony můžete vytvořit vlastní sešity přizpůsobené vašim konkrétním potřebám.
Schéma SecurityIncidents
Datový model schématu
| Pole | Datový typ | Popis |
|---|---|---|
| AdditionalData | dynamic | Počet upozornění, počet záložek, počet komentářů, názvy produktů upozornění a taktika |
| Id upozornění | dynamic | Výstrahy, ze kterých byl incident vytvořen |
| BookmarkIds | dynamic | Záložkované entity |
| Klasifikace | string | Klasifikace uzavření incidentu |
| ClassificationComment | string | Komentář ke klasifikaci ukončení incidentu |
| ClassificationReason | string | Důvod klasifikace uzavření incidentu |
| ClosedTime | datetime | Časové razítko (UTC) času posledního uzavření incidentu |
| Komentáře | dynamic | Komentáře k incidentu |
| Čas vytvoření | datetime | Časové razítko (UTC) doby vytvoření incidentu |
| Popis | string | Popis incidentu |
| FirstActivityTime | datetime | Čas první události |
| FirstModifiedTime | datetime | Časové razítko (UTC) data první změny incidentu |
| Název incidentu | string | Interní identifikátor GUID |
| Číslo incidentu | int | |
| IncidentUrl | string | Propojení s incidentem |
| Popisky | dynamic | Značky |
| LastActivityTime | datetime | Čas poslední události |
| LastModifiedTime | datetime | Časové razítko (UTC) času poslední změny incidentu (úprava popsaná aktuálním záznamem) |
| ModifiedBy | string | Uživatel nebo systém, který incident upravil |
| Vlastník | dynamic | |
| RelatedAnalyticRuleIds | dynamic | Pravidla, ze kterých se aktivovaly výstrahy incidentu |
| Závažnost | string | Závažnost incidentu (vysoká/střední/nízká/informační) |
| SourceSystem | string | Konstanta (Azure) |
| Stav | string | |
| Id tenanta | string | |
| TimeGenerated | datetime | Časové razítko (UTC) data vytvoření aktuálního záznamu (při změně incidentu) |
| Nadpis | string | |
| Typ | string | Konstanta ('SecurityIncident') |
Další kroky
- Abyste mohli začít s Microsoft Sentinelem, potřebujete předplatné Microsoft Azure. Pokud nemáte předplatné, můžete si zaregistrovat bezplatnou zkušební verzi.
- Zjistěte, jak připojit data k Microsoft Sentinelu a získat přehled o vašich datech a potenciálních hrozbách.