Gestire meglio il Centro operazioni di sicurezza con le metriche degli eventi imprevisti
Nota
Per informazioni sulla disponibilità delle funzionalità nei cloud statunitensi per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti us government.
Come responsabile del Centro operazioni di sicurezza (SOC), è necessario avere metriche e misure di efficienza complessive a portata di mano per misurare le prestazioni del team. Si vuole visualizzare le operazioni impreviste nel tempo in base a molti criteri diversi, ad esempio gravità, tattiche MITRE, tempo medio di valutazione, tempo medio per risolvere e altro ancora. Microsoft Sentinel rende ora disponibili questi dati con la nuova tabella SecurityIncident e lo schema in Log Analytics e la cartella di lavoro relativa all'efficienza delle operazioni di sicurezza . È possibile visualizzare le prestazioni del team nel tempo e usare queste informazioni dettagliate per migliorare l'efficienza. È anche possibile scrivere e usare le proprie query KQL sulla tabella degli eventi imprevisti per creare cartelle di lavoro personalizzate che soddisfano le esigenze di controllo e gli indicatori KPI specifici.
Usare la tabella degli eventi imprevisti di sicurezza
La tabella SecurityIncident è incorporata in Microsoft Sentinel. Sarà disponibile con le altre tabelle dell'insieme SecurityInsights in Log. È possibile eseguire query come qualsiasi altra tabella in Log Analytics.
Ogni volta che si crea o aggiorna un evento imprevisto, alla tabella verrà aggiunta una nuova voce di log. Ciò consente di tenere traccia delle modifiche apportate agli eventi imprevisti e consente di ottenere metriche SOC ancora più potenti, ma è necessario tenere presente che quando si costruiscono query per questa tabella, in quanto potrebbe essere necessario rimuovere voci duplicate per un evento imprevisto (dipendente dalla query esatta in esecuzione).
Ad esempio, se si vuole restituire un elenco di tutti gli eventi imprevisti ordinati in base al numero di eventi imprevisti, ma si vuole restituire solo il log più recente per evento imprevisto, è possibile eseguire questa operazione usando l'operatore di riepilogo KQL con la arg_max()funzione di aggregazione:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Altre query di esempio
Stato degli eventi imprevisti: tutti gli eventi imprevisti in base allo stato e alla gravità in un determinato intervallo di tempo:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Tempo di chiusura per percentile:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Tempo di valutazione per percentile:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Cartella di lavoro sull'efficienza delle operazioni di sicurezza
Per integrare la tabella SecurityIncidents , è stato fornito un modello di cartella di lavoro per l'efficienza delle operazioni di sicurezza predefinite che è possibile usare per monitorare le operazioni SOC. La cartella di lavoro contiene le metriche seguenti:
- Evento imprevisto creato nel tempo
- Eventi imprevisti creati dalla classificazione di chiusura, gravità, proprietario e stato
- Tempo medio di valutazione
- Tempo medio di chiusura
- Eventi imprevisti creati da gravità, proprietario, stato, prodotto e tattiche nel tempo
- Time to triage percentiles
- Tempo di chiusura percentile
- Tempo medio di valutazione per proprietario
- Attività recenti
- Classificazioni di chiusura recenti
È possibile trovare questo nuovo modello di cartella di lavoro scegliendo Cartelle di lavoro dal menu di spostamento di Microsoft Sentinel e selezionando la scheda Modelli . Scegliere Efficienza delle operazioni di sicurezza dalla raccolta e fare clic su uno dei pulsanti Visualizza cartella di lavoro salvata e Visualizza modello .
È possibile usare il modello per creare cartelle di lavoro personalizzate personalizzate personalizzate in base alle proprie esigenze specifiche.
Schema SecurityIncidents
Modello di dati dello schema
| Campo | Tipo di dati | Descrizione |
|---|---|---|
| Altri dati | dinamico | Conteggio avvisi, conteggio segnalibri, conteggio commenti, nomi di prodotti di avviso e tattiche |
| AlertIds | dinamico | Avvisi da cui è stato creato un evento imprevisto |
| BookmarkIds | dinamico | Entità segnalibre |
| Classificazione | string | Classificazione di chiusura degli eventi imprevisti |
| ClassificationComment | string | Commento di chiusura degli eventi imprevisti |
| ClassificazioneReason | string | Motivo della classificazione di chiusura degli eventi imprevisti |
| ClosedTime | Datetime | Timestamp (UTC) di quando l'evento imprevisto è stato chiuso |
| Commenti | dinamico | Commenti imprevisti |
| CreateTime | Datetime | Timestamp (UTC) di quando è stato creato l'evento imprevisto |
| Descrizione | string | Descrizione evento imprevisto |
| FirstActivityTime | Datetime | Prima ora dell'evento |
| FirstModifiedTime | Datetime | Timestamp (UTC) di quando l'evento imprevisto è stato modificato per la prima volta |
| IncidentName | string | GUID interno |
| IncidentNumber | INT | |
| IncidentUrl | string | Collegamento all'evento imprevisto |
| Etichette | dinamico | Tag |
| LastActivityTime | Datetime | Ora dell'ultimo evento |
| LastModifiedTime | Datetime | Timestamp (UTC) dell'ultima modifica dell'evento imprevisto (modifica descritta dal record corrente) |
| ModifiedBy | string | Utente o sistema che ha modificato l'evento imprevisto |
| Proprietario | dinamico | |
| RelatedAnalyticRuleIds | dinamico | Regole da cui sono stati attivati gli avvisi dell'evento imprevisto |
| Gravità | string | Gravità dell'evento imprevisto (alto/medio/basso/informativo) |
| SourceSystem | string | Costante ('Azure') |
| Status | string | |
| TenantId | string | |
| TimeGenerated | Datetime | Timestamp (UTC) di quando è stato creato il record corrente (al momento della modifica dell'evento imprevisto) |
| Titolo | string | |
| Tipo | string | Costante ('SecurityIncident') |
Passaggi successivi
- Per iniziare a usare Microsoft Sentinel, è necessaria una sottoscrizione a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per una versione di valutazione gratuita.
- Informazioni su come eseguire l'onboarding dei dati in Microsoft Sentinel e ottenere visibilità sui dati e sulle potenziali minacce.