Hantera SOC bättre med incidentmått
Kommentar
Information om funktionstillgänglighet i amerikanska myndighetsmoln finns i Microsoft Sentinel-tabellerna i Molnfunktionstillgänglighet för amerikanska myndighetskunder.
Som SOC-chef (Security Operations Center) måste du ha övergripande effektivitetsmått och mått till hands för att mäta teamets prestanda. Du vill se incidentåtgärder över tid med många olika kriterier, till exempel allvarlighetsgrad, MITRE-taktik, tidsåtgång, tidsåtgång för att lösa problem med mera. Microsoft Sentinel gör nu dessa data tillgängliga för dig med den nya securityincidenttabellen och schemat i Log Analytics och den tillhörande arbetsboken för säkerhetsåtgärders effektivitet . Du kommer att kunna visualisera teamets prestanda över tid och använda den här insikten för att förbättra effektiviteten. Du kan också skriva och använda dina egna KQL-frågor mot incidenttabellen för att skapa anpassade arbetsböcker som passar dina specifika granskningsbehov och KPI:er.
Använd tabellen med säkerhetsincidenter
Tabellen SecurityIncident är inbyggd i Microsoft Sentinel. Du hittar den med de andra tabellerna i Samlingen SecurityInsights under Loggar. Du kan köra frågor mot den som vilken annan tabell som helst i Log Analytics.
Varje gång du skapar eller uppdaterar en incident läggs en ny loggpost till i tabellen. På så sätt kan du spåra ändringar som gjorts i incidenter och tillåta ännu mer kraftfulla SOC-mått, men du måste vara medveten om detta när du skapar frågor för den här tabellen eftersom du kan behöva ta bort dubbletter av poster för en incident (beroende på den exakta fråga som du kör).
Om du till exempel vill returnera en lista över alla incidenter sorterade efter deras incidentnummer men bara ville returnera den senaste loggen per incident kan du göra detta med hjälp av KQL-sammanfattningsoperatorn med arg_max() aggregeringsfunktionen:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Fler exempelfrågor
Incidenttillstånd – alla incidenter efter status och allvarlighetsgrad inom en viss tidsram:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Stängningstid efter percentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Sorteringstid efter percentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Arbetsbok för säkerhetsåtgärdseffektivitet
För att komplettera tabellen SecurityIncidents har vi försett dig med en mall för säkerhetsåtgärdseffektivitet som du kan använda för att övervaka soc-åtgärder. Arbetsboken innehåller följande mått:
- Incident som skapats över tid
- Incidenter som skapats genom att stänga klassificering, allvarlighetsgrad, ägare och status
- Genomsnittlig tid att sortera
- Genomsnittlig tid till stängning
- Incidenter som skapats av allvarlighetsgrad, ägare, status, produkt och taktik över tid
- Tid att sortera percentiler
- Tid till stängning av percentiler
- Genomsnittlig tid att sortera per ägare
- Senaste aktiviteter
- Senaste stängningsklassificeringar
Du hittar den här nya arbetsboksmallen genom att välja Arbetsböcker i Microsoft Sentinel-navigeringsmenyn och välja fliken Mallar . Välj Effektivitet för säkerhetsåtgärder i galleriet och klicka på någon av knapparna Visa sparad arbetsbok och Visa mall .
Du kan använda mallen för att skapa egna anpassade arbetsböcker som är anpassade efter dina specifika behov.
SecurityIncidents-schema
Schemats datamodell
| Fält | Datatyp | beskrivning |
|---|---|---|
| AdditionalData | dynamisk | Antal aviseringar, antal bokmärken, antal kommentarer, namn på aviseringsprodukter och taktiker |
| AlertIds | dynamisk | Aviseringar från vilka incidenten skapades |
| BookmarkIds | dynamisk | Bokmärkta entiteter |
| Omdöme | sträng | Klassificering av incidentstängning |
| ClassificationComment | sträng | Kommentar om incidentstängningsklassificering |
| ClassificationReason | sträng | Orsak till incidentstängningsklassificering |
| ClosedTime | datetime | Tidsstämpel (UTC) för när incidenten senast stängdes |
| Kommentarer | dynamisk | Incidentkommentar |
| CreatedTime | datetime | Tidsstämpel (UTC) för när incidenten skapades |
| Beskrivning | sträng | Incidentbeskrivning |
| FirstActivityTime | datetime | Första händelsetiden |
| FirstModifiedTime | datetime | Tidsstämpel (UTC) för när incidenten först ändrades |
| IncidentName | sträng | Internt GUID |
| IncidentNumber | heltal | |
| IncidentUrl | sträng | Länk till incident |
| Etiketter | dynamisk | Taggar |
| LastActivityTime | datetime | Senaste händelsetid |
| LastModifiedTime | datetime | Tidsstämpel (UTC) för när incidenten senast ändrades (ändringen som beskrivs av den aktuella posten) |
| Ändrades av | sträng | Användare eller system som ändrade incidenten |
| Ägare | dynamisk | |
| RelatedAnalyticRuleIds | dynamisk | Regler från vilka incidentens aviseringar utlöstes |
| Allvarlighetsgrad | sträng | Allvarlighetsgrad för incidenten (hög/medel/låg/informationsbaserad) |
| SourceSystem | sträng | Konstant ("Azure") |
| Status | sträng | |
| TenantId | sträng | |
| TimeGenerated | datetime | Tidsstämpel (UTC) för när den aktuella posten skapades (vid ändring av incidenten) |
| Rubrik | sträng | |
| Typ | sträng | Konstant ('SecurityIncident') |
Nästa steg
- För att komma igång med Microsoft Sentinel behöver du en prenumeration på Microsoft Azure. Om du inte har en prenumeration kan du registrera dig för en gratis provversion.
- Lär dig hur du registrerar dina data i Microsoft Sentinel och får insyn i dina data och potentiella hot.