Улучшенное управление SOC с помощью метрик инцидентов
Примечание.
Сведения о доступности функций в облаках для государственных организаций США см. в таблицах Microsoft Sentinel в статье Доступность функций для клиентов облаков для государственных организаций США.
Менеджер центра информационной безопасности (SOC) должен быстро получать общие метрики и показатели эффективности, чтобы оценивать производительность команды. Менеджеру необходимо просматривать операции с инцидентами с течением времени, используя множество различных критериев, таких как серьезность, тактика MITRE, среднее время рассмотрения, среднее время устранения и т. д. Microsoft Sentinel теперь предоставляет доступ к этим данным в новой таблице и схеме SecurityIncident в Log Analytics, а также в сопутствующей книге Эффективность операций безопасности. Вы сможете визуализировать производительность команды с течением времени и использовать эту аналитику для повышения эффективности. Вы также можете создавать собственные запросы KQL к таблице инцидентов, которые используются для создания настраиваемых книг, соответствующих конкретным потребностям аудита и ключевым показателям эффективности.
Использование таблицы инцидентов безопасности
Таблица SecurityIncident встроена в Microsoft Sentinel. Она хранится вместе с другими таблицами в коллекции SecurityInsights в разделе Журналы. Эту таблицу можно опрашивать так же, как и любую другую таблицу в Log Analytics.
При создании или обновлении инцидента в таблицу каждый раз добавляется новая запись журнала. Это позволяет отслеживать изменения в инцидентах и получать еще больше метрик SOC, но при формировании запросов для этой таблицы следует помнить, что может потребоваться удалить повторяющиеся записи для инцидента (в зависимости от конкретного выполняемого запроса).
Например, если вы хотите вернуть список всех инцидентов, отсортированных по их номеру инцидента, но только хотел вернуть последний журнал для каждого инцидента, это можно сделать с помощью оператора суммирования KQL с функцией агрегирования arg_max():
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Другие образцы запросов
Состояние инцидента — все инциденты по состоянию и серьезности в заданный промежуток времени:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Время закрытия по процентиле:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Время триажа по процентиле:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Книга эффективности операций безопасности
Чтобы дополнить таблицу SecurityIncidents , мы предоставили вам встроенный шаблон книги по обеспечению эффективности операций безопасности, который можно использовать для мониторинга операций SOC. Эта книга содержит следующие метрики:
- Созданные инциденты за определенный период
- Созданные инциденты, сгруппированные по классификации завершения, серьезности, владельцу и состоянию
- Среднее время рассмотрения
- Среднее время завершения
- Созданные инциденты, сгруппированные по серьезности, владельцу, состоянию, продукту и тактике, за определенный период времени
- Время рассмотрения, процентили
- Время завершения, процентили
- Среднее время рассмотрения для каждого владельца
- Недавние действия
- Недавние классификации завершения
Чтобы перейти к этому новому шаблону книги, выберите пункт Книги в меню навигации Microsoft Sentinel, а затем щелкните вкладку Шаблоны. Выберите Эффективность операций безопасности в коллекции и нажмите одну из кнопок: Просмотр сохраненной книги или Просмотр шаблона.
Этот шаблон можно использовать для создания собственных настраиваемых книг, соответствующих вашим потребностям.
Схема SecurityIncidents
Модель данных схемы
| Поле | Тип данных | Description |
|---|---|---|
| AdditionalData | по строкам | Число оповещений, число закладок, число комментариев, имена и тактика продуктов оповещений |
| AlertIds | по строкам | Оповещения, на основе которых был создан инцидент |
| BookmarkIds | по строкам | Помеченные сущности |
| Категория | строка | Классификация закрытие инцидента |
| ClassificationComment | строка | Комментарий для классификации закрытия инцидента |
| ClassificationReason | строка | Причина для классификации закрытия инцидента |
| ClosedTime | datetime | Метка времени последнего закрытия инцидента (в формате UTC) |
| Комментарии | по строкам | Комментарии к инцидентам |
| CreatedTime | datetime | Метка времени создания инцидента (в формате UTC) |
| Description | строка | Описание инцидента |
| FirstActivityTime | datetime | Время первого события |
| FirstModifiedTime | datetime | Метка времени первого изменения инцидента (в формате UTC) |
| IncidentName | строка | Внутренний идентификатор GUID |
| IncidentNumber | INT | |
| IncidentUrl | строка | Ссылка на инцидент |
| Метки | по строкам | Теги |
| LastActivityTime | datetime | Время последнего события |
| LastModifiedTime | datetime | Метка времени (UTC) последнего изменения инцидента (изменение, описываемое текущей записью) |
| ModifiedBy | строка | Пользователь или система, которые изменили инцидент |
| Ответственное лицо | по строкам | |
| RelatedAnalyticRuleIds | по строкам | Правила, на основе которых были активированы оповещения об инциденте |
| Уровень серьезности | строка | Серьезность инцидента (высокая, средняя, низкая, информационная) |
| SourceSystem | строка | Константа ('Azure') |
| Состояние | строка | |
| TenantId | строка | |
| TimeGenerated | datetime | Метка времени (UTC) при создании текущей записи (при изменении инцидента) |
| Заголовок | string | |
| Тип | строка | Константа ('SecurityIncident') |
Следующие шаги
- Чтобы начать работу с Microsoft Sentinel, вам нужна подписка на Microsoft Azure. Если у вас нет подписки, вы можете зарегистрироваться для получения бесплатной пробной версии.
- Узнайте, как подключить ваши данные к Microsoft Sentinel, чтобы отслеживать их и потенциальные угрозы.