Freigeben über


Bessere Verwaltung von SOC mit Incidentmetriken

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Als Security Operations Center-Manager benötigen Sie Metriken und Measures zur Gesamteffizienz, um die Leistung Ihres Teams messen zu können. Sie müssen Incidentvorgänge im Lauf der Zeit anhand einer Vielzahl verschiedener Kriterien anzeigen, wie z. B. Schweregrad, MITRE-Taktiken, mittlere Zeit bis zur Selektierung und mittlere Lösungszeit. Microsoft Sentinel stellt diese Daten jetzt mit der neuen SecurityIncident-Tabelle und dem entsprechenden Schema in Log Analytics und der zugehörigen Arbeitsmappe Effizienz des Sicherheitsbetriebs zur Verfügung. Sie können die Leistung Ihres Teams im zeitlichen Verlauf visualisieren und diese Einblicke verwenden, um die Effizienz zu verbessern. Sie können auch eigene KQL-Abfragen für die Incidenttabelle schreiben und verwenden, um benutzerdefinierte Arbeitsmappen zu erstellen, die genau Ihren speziellen Überprüfungsanforderungen und KPIs entsprechen.

Verwenden der Tabelle mit Sicherheitsincidents

Die Tabelle SecurityIncident ist in Microsoft Sentinel integriert. Sie finden Sie zusammen mit anderen Tabellen in der Auflistung SecurityInsights unter Protokolle. Sie können diese Tabelle wie jede andere auch in Log Analytics abfragen.

Tabelle mit Sicherheitsincidents

Jedes Mal, wenn Sie einen Incident erstellen oder aktualisieren, wird der Tabelle ein neuer Protokolleintrag hinzugefügt. So können Sie die Änderungen nachverfolgen, die an Incidents vorgenommen werden, und noch leistungsfähigere SOC-Metriken erstellen. Allerdings müssen Sie diesen Aspekt berücksichtigen, wenn Sie Abfragen für diese Tabelle erstellen, da Sie je nach Abfrage möglicherweise doppelte Einträge für einen Incident entfernen müssen.

Ein Beispiel: Wenn Sie eine Liste aller Incidents sortiert nach Incidentnummer benötigen, aber für jeden Incident nur das neueste Protokoll zurückgeben möchten, können Sie dafür den summarize-Operator von KQL mit der Aggregationsfunktion arg_max() verwenden:

SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber

Weitere Beispielabfragen

Incidentstatus: Alle Incidents nach Status und Schweregrad in einem bestimmten Zeitraum:

let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime  between (startTime .. endTime)
| where Status in  ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')

Schließzeit nach Perzentil:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToClosure =  (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50), 
  90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)

Triagezeit nach Perzentil:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToTriage =  (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50), 
  90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99) 

Arbeitsmappe zur Effizienz des Sicherheitsbetriebs

Zur Ergänzung der Tabelle SecurityIncidents haben wir eine sofort einsatzbereite Arbeitsmappenvorlage namens Effizienz des Sicherheitsbetriebs bereitgestellt, die Sie zum Überwachen Ihrer SOC-Vorgänge verwenden können. Die Arbeitsmappe enthält die folgenden Metriken:

  • Erstellte Incidents im Lauf der Zeit
  • Erstellte Incidents nach Abschlussklassifizierung, Schweregrad, Besitzer und Status
  • Mittlere Zeit bis zur Selektierung
  • Mittlere Zeit bis zum Abschluss
  • Erstellte Incidents nach Schweregrad, Besitzer, Status, Produkt und Taktik im zeitlichen Verlauf
  • Perzentile für die Zeit bis zur Selektierung
  • Perzentile für die Zeit bis zum Abschluss
  • Mittlere Zeit bis zur Selektierung pro Besitzer
  • Neueste Aktivitäten
  • Neueste Abschlussklassifizierungen

Sie finden diese neue Arbeitsmappenvorlage, indem Sie im Microsoft Sentinel-Navigationsmenü Arbeitsmappen und dann die Registerkarte Vorlagen auswählen. Wählen Sie Effizienz von Sicherheitsvorgängen aus dem Katalog aus, und klicken Sie auf eine der Schaltflächen Gespeicherte Arbeitsmappe anzeigen und Vorlage anzeigen.

Katalog mit Arbeitsmappen zu Sicherheitsincidents

Vollständige Arbeitsmappe zu Sicherheitsincidents

Sie können die Vorlage verwenden, um eigene, auf Ihre Anforderungen zugeschnittene Arbeitsmappen zu erstellen.

SecurityIncidents-Schema

Das Datenmodell des Schemas

Feld Datentyp BESCHREIBUNG
AdditionalData dynamisch Anzahl von Warnungen, Lesezeichen und Kommentaren sowie Namen und Taktiken von Warnungsprodukten
AlertIds dynamisch Warnungen, aus denen der Incident erstellt wurde
BookmarkIds dynamisch Mit Lesezeichen markierte Entitäten
Klassifizierung Zeichenfolge Abschlussklassifizierung des Incidents
ClassificationComment Zeichenfolge Kommentar zur Abschlussklassifizierung des Incidents
ClassificationReason Zeichenfolge Grund für Abschlussklassifizierung des Incidents
ClosedTime datetime Zeitstempel (UTC) für letzten Abschluss des Incidents
Kommentare dynamisch Kommentare zum Incident
CreatedTime datetime Zeitstempel (UTC) für Erstellung des Incidents
Beschreibung string Beschreibung des Vorfalls
FirstActivityTime datetime Erste Ereigniszeit
FirstModifiedTime datetime Zeitstempel (UTC) für erste Änderung des Incidents
IncidentName Zeichenfolge Interne GUID
IncidentNumber INT
IncidentUrl Zeichenfolge Link zum Incident
Bezeichnungen dynamisch `Tags`
LastActivityTime datetime Letzte Ereigniszeit
LastModifiedTime datetime Zeitstempel (UTC) für letzte Änderung des Incidents
(die durch den aktuellen Datensatz beschriebene Änderung)
ModifiedBy Zeichenfolge Benutzer oder System, der/das den Incident geändert hat
Besitzer dynamisch
RelatedAnalyticRuleIds dynamisch Regeln, durch die Warnungen für den Incident ausgelöst wurden
Severity Zeichenfolge Schweregrad des Incidents (hoch/mittel/niedrig/Information)
SourceSystem Zeichenfolge Konstante ('Azure')
Status Zeichenfolge
TenantId Zeichenfolge
TimeGenerated datetime Zeitstempel (UTC) für Erstellung des aktuellen Datensatzes
(bei Änderung des Incidents)
Titel Zeichenfolge
Type Zeichenfolge Konstante ('SecurityIncident')

Nächste Schritte