Lepší správa SOC s využitím metrik pro incidenty

Článek
07/03/2024

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Jako správce služby Security Operations Center (SOC) potřebujete mít celkové metriky efektivity a míry na dosah ruky, abyste mohli posoudit výkon vašeho týmu. Operace incidentů budete chtít zobrazit v průběhu času mnoha různými kritérii, jako je závažnost, taktika MITRE, střední doba pro třídění, střední doba řešení a další. Microsoft Sentinel teď tato data zpřístupní pomocí nové tabulky a schématu SecurityIncident v Log Analytics a doprovodného sešitu efektivity operací zabezpečení. Budete moct vizualizovat výkon týmu v průběhu času a pomocí tohoto přehledu zvýšit efektivitu. Můžete také napsat a použít vlastní dotazy KQL na tabulku incidentů k vytvoření přizpůsobených sešitů, které odpovídají vašim konkrétním potřebám auditování a klíčových ukazatelů výkonu.

Použití tabulky incidentů zabezpečení

Tabulka SecurityIncident je integrovaná do Microsoft Sentinelu. Najdete ji s ostatními tabulkami v kolekci SecurityInsights v části Protokoly. Můžete ji dotazovat stejně jako jakoukoli jinou tabulku v Log Analytics.

Tabulka incidentů zabezpečení

Při každém vytvoření nebo aktualizaci incidentu se do tabulky přidá nová položka protokolu. To vám umožní sledovat změny incidentů a umožňuje ještě výkonnější metriky SOC, ale při vytváření dotazů pro tuto tabulku musíte mít na paměti, protože možná budete muset odebrat duplicitní položky incidentu (závisí na přesném dotazu, který spouštíte).

Pokud byste například chtěli vrátit seznam všech incidentů seřazených podle jejich čísla incidentu, ale chtěli byste vrátit jenom nejnovější protokol na incident, můžete to udělat pomocí operátoru arg_max() sumarizace KQL s agregační funkcí:

SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber

Další ukázkové dotazy

Stav incidentu – všechny incidenty podle stavu a závažnosti v daném časovém rámci:

let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime  between (startTime .. endTime)
| where Status in  ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')

Čas uzavření podle percentilu:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToClosure =  (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50), 
  90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)

Čas třídění podle percentilu:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToTriage =  (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50), 
  90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)

Sešit efektivity operací zabezpečení

Abychom doplnili tabulku SecurityIncidents, poskytli jsme vám předpojenou šablonu sešitu efektivity operací zabezpečení, kterou můžete použít k monitorování operací SOC. Sešit obsahuje následující metriky:

Incident vytvořený v průběhu času
Incidenty vytvořené uzavřením klasifikace, závažností, vlastníkem a stavem
Střední doba třídění
Střední doba uzavření
Incidenty vytvořené závažností, vlastníkem, stavem, produktem a taktikou v průběhu času
Čas na třídění percentilů
Čas uzavření percentilů
Střední doba třídění podle vlastníka
Nedávné aktivity
Poslední závěrečné klasifikace

Tuto novou šablonu sešitu najdete tak, že zvolíte Sešity z navigační nabídky Microsoft Sentinelu a vyberete kartu Šablony . V galerii zvolte efektivitu operací zabezpečení a klikněte na jedno z tlačítek Zobrazit uložený sešit a Zobrazit šablonu .

Galerie sešitů incidentů zabezpečení

Sešit incidentů zabezpečení je dokončený.

Pomocí šablony můžete vytvořit vlastní sešity přizpůsobené vašim konkrétním potřebám.

Schéma SecurityIncidents

Datový model schématu

Pole	Datový typ	Popis
AdditionalData	dynamic	Počet upozornění, počet záložek, počet komentářů, názvy produktů upozornění a taktika
Id upozornění	dynamic	Výstrahy, ze kterých byl incident vytvořen
BookmarkIds	dynamic	Záložkované entity
Klasifikace	string	Klasifikace uzavření incidentu
ClassificationComment	string	Komentář ke klasifikaci ukončení incidentu
ClassificationReason	string	Důvod klasifikace uzavření incidentu
ClosedTime	datetime	Časové razítko (UTC) času posledního uzavření incidentu
Komentáře	dynamic	Komentáře k incidentu
Čas vytvoření	datetime	Časové razítko (UTC) doby vytvoření incidentu
Popis	string	Popis incidentu
FirstActivityTime	datetime	Čas první události
FirstModifiedTime	datetime	Časové razítko (UTC) data první změny incidentu
Název incidentu	string	Interní identifikátor GUID
Číslo incidentu	int
IncidentUrl	string	Propojení s incidentem
Popisky	dynamic	Značky
LastActivityTime	datetime	Čas poslední události
LastModifiedTime	datetime	Časové razítko (UTC) času poslední změny incidentu (úprava popsaná aktuálním záznamem)
ModifiedBy	string	Uživatel nebo systém, který incident upravil
Vlastník	dynamic
RelatedAnalyticRuleIds	dynamic	Pravidla, ze kterých se aktivovaly výstrahy incidentu
Závažnost	string	Závažnost incidentu (vysoká/střední/nízká/informační)
SourceSystem	string	Konstanta (Azure)
Stav	string
Id tenanta	string
TimeGenerated	datetime	Časové razítko (UTC) data vytvoření aktuálního záznamu (při změně incidentu)
Nadpis	string
Typ	string	Konstanta ('SecurityIncident')

Další kroky

Abyste mohli začít s Microsoft Sentinelem, potřebujete předplatné Microsoft Azure. Pokud nemáte předplatné, můžete si zaregistrovat bezplatnou zkušební verzi.
Zjistěte, jak připojit data k Microsoft Sentinelu a získat přehled o vašich datech a potenciálních hrozbách.

Sdílet prostřednictvím