إدارة أفضل لـ SOC باستخدام مقاييس الأحداث
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
بصفتك مدير مركز عمليات الأمان (SOC)، تحتاج إلى مقاييس وقياسات الكفاءة الإجمالية في متناول يدك لقياس أداء فريقك. سترغب في رؤية عمليات الأحداث بمرور الوقت من خلال العديد من المعايير المختلفة، مثل الخطورة، وتكتيكات MITER، ووقت الفرز، ووقت الحل، والمزيد. يوفر Microsoft Sentinel الآن هذه البيانات لك من خلال جدول ومخطط SecurityIncident الجديد في Log Analytics ومصنف كفاءة عمليات الأمان المصاحب. ستتمكن من تصور أداء فريقك بمرور الوقت وتستخدم نتيجة التحليلات هذه لتحسين الكفاءة. يمكنك أيضًا كتابة واستخدام استعلامات KQL الخاصة بك مقابل جدول الأحداث لإنشاء مصنفات مخصصة تناسب احتياجات التدقيق الخاصة بك ومؤشرات الأداء الرئيسية.
استخدم جدول الأحداث الأمنية
تم تضمين جدول SecurityIncident في Microsoft Sentinel. ستجده مع الجداول الأخرى في مجموعة SecurityInsights ضمن Logs. يمكنك الاستعلام عنها مثل أي جدول آخر في Log Analytics.
في كل مرة تقوم فيها بإنشاء حدث أو تقوم بتحديثه، ستتم إضافة إدخال سجل جديد إلى الجدول. يسمح لك هذا بتتبع التغييرات التي تم إجراؤها على الأحداث، ويسمح بمقاييس مركز عمليات الأمان أكثر قوة، ولكن عليك أن تضع في اعتبارك هذا عند إنشاء استعلامات لهذا الجدول حيث قد تحتاج إلى إزالة الإدخالات المكررة لحدث ما (يعتمد على الاستعلام الدقيق الذي تقوم بتشغيله).
على سبيل المثال، إذا أردت إرجاع قائمة بجميع الحوادث التي تم فرزها حسب رقم الحادث الخاص بها ولكنك أردت فقط إرجاع أحدث سجل لكل حادث، يمكنك القيام بذلك باستخدام عامل تشغيل تلخيص KQL مع دالة arg_max() التجميع:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
المزيد من نماذج الاستعلامات
حالة الحدث - جميع الأحداث حسب الحالة والخطورة في إطار زمني معين:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
وقت الإغلاق بنسبة مئوية:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
فرز الوقت حسب القيمة المئوية:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
مصنف كفاءة العمليات الأمنية
لاستكمال جدول SecurityIncidents ، قدمنا لك قالب مصنف كفاءة عمليات الأمان الجاهزة التي يمكنك استخدامها لمراقبة عمليات SOC الخاصة بك. يحتوي المصنف على المقاييس التالية:
- حدث تم إنشاؤه بمرور الوقت
- الحوادث التي تم إنشاؤها عن طريق تصنيف الإغلاق والخطورة والمالك والحالة
- متوسط وقت الفرز
- متوسط وقت الإغلاق
- الحوادث التي تم إنشاؤها بواسطة الخطورة والمالك والحالة والمنتج والتكتيكات بمرور الوقت
- الوقت لفرز النسب المئوية
- الوقت لإغلاق النسب المئوية
- متوسط وقت الفرز لكل مالك
- الأنشطة الأخيرة
- تصنيفات الإغلاق الأخيرة
يمكنك العثور على قالب المصنف الجديد هذا عن طريق اختيار Workbooks من قائمة التنقل الخاصة بـ Microsoft Sentinel وتحديد علامة التبويب Templates. اختر Security operations efficiency من المعرض وانقر فوق أزرار View saved workbookوView template.
يمكنك استخدام القالب لإنشاء مصنفاتك المخصصة المصممة خصيصًا لاحتياجاتك الخاصة.
مخطط الأحداث الأمنية
نموذج بيانات المخطط
| الحقل | نوع البيانات | الوصف |
|---|---|---|
| بيانات إضافية | ديناميكي | عدد التنبيهات وعدد الإشارات المرجعية وعدد التعليقات وأسماء منتجات التنبيه والتكتيكات |
| AlertIds | ديناميكي | التنبيهات التي تم إنشاء الحدث من خلالها |
| BookmarkIds | ديناميكي | كيانات ذات إشارة مرجعية |
| تصنيف | سلسلة | تصنيف إغلاق الحدث |
| ClassificationComment | سلسلة | تعليق تصنيف إغلاق الحدث |
| ClassificationReason | سلسلة | سبب تصنيف إغلاق الحدث |
| ClosedTime | datetime | الطابع الزمني (UTC) لآخر مرة تم فيها إغلاق الحدث |
| التعليقات | ديناميكي | تعليقات على الحدث |
| CreatedTime | datetime | الطابع الزمني (UTC) لوقت إنشاء الحدث |
| الوصف | سلسلة | وصف الحدث |
| FirstActivityTime | datetime | وقت الحدث الأول |
| FirstModifiedTime | datetime | الطابع الزمني (UTC) لوقت تعديل الحدث لأول مرة |
| IncidentName | سلسلة | واجهة مستخدم رسومية داخلية |
| IncidentNumber | العدد الصحيح | |
| IncidentUrl | سلسلة | الارتباط التشعبي للحدث |
| التسميات | ديناميكي | علامات |
| LastActivityTime | datetime | وقت آخر حدث |
| LastModifiedTime | datetime | الطابع الزمني (UTC) لوقت آخر تعديل للحادث (التعديل الموضح في السجل الحالي) |
| ModifiedBy | سلسلة | المستخدم أو النظام الذي قام بتعديل الحدث |
| المالك | ديناميكي | |
| RelatedAnalyticRuleIds | ديناميكي | القواعد التي تم من خلالها تشغيل تنبيهات الحدث |
| الخطورة | سلسلة | خطورة الحدث (عالية/ متوسطة/ منخفضة/ إعلامية) |
| نظام المصدر | سلسلة | ثابت ('Azure') |
| الحالة | سلسلة | |
| TenantId | سلسلة | |
| TimeGenerated | datetime | الطابع الزمني (UTC) لوقت إنشاء السجل الحالي (عند تعديل الحدث) |
| المسمى الوظيفي | سلسلة | |
| النوع | سلسلة | ثابت ('SecurityIncident') |
الخطوات التالية
- للبدء باستخدام Microsoft Azure Sentinel تحتاج إلى اشتراك في Microsoft Azure. إذا لم يكن لديك اشتراك، فيمكنك التسجيل مجاناً.
- تعرف على كيفية إضافة بياناتك في Microsoft Sentinel، وإمكانية رؤية بياناتك والتهديدات المحتملة.