Uw SOC beter beheren met metrische gegevens over incidenten
Notitie
Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.
Als SOC-manager (Security Operations Center) moet u algemene metrische gegevens en metingen voor efficiëntie binnen handbereik hebben om de prestaties van uw team te meten. U wilt incidentbewerkingen na verloop van tijd zien op veel verschillende criteria, zoals ernst, MITRE-tactieken, gemiddelde tijd om te sorteren, gemiddelde tijd om op te lossen en meer. Microsoft Sentinel maakt deze gegevens nu beschikbaar voor u met de nieuwe SecurityIncident-tabel en -schema in Log Analytics en de bijbehorende werkmap voor de efficiëntie van beveiligingsbewerkingen. U kunt de prestaties van uw team in de loop van de tijd visualiseren en dit inzicht gebruiken om de efficiëntie te verbeteren. U kunt ook uw eigen KQL-query's schrijven en gebruiken voor de incidenttabel om aangepaste werkmappen te maken die aansluiten bij uw specifieke controlebehoeften en KPI's.
De tabel beveiligingsincidenten gebruiken
De tabel SecurityIncident is ingebouwd in Microsoft Sentinel. U vindt deze met de andere tabellen in de verzameling SecurityInsights onder Logboeken. U kunt er query's op uitvoeren zoals elke andere tabel in Log Analytics.
Telkens wanneer u een incident maakt of bijwerkt, wordt er een nieuwe logboekvermelding toegevoegd aan de tabel. Hiermee kunt u de wijzigingen in incidenten bijhouden en nog krachtigere SOC-metrische gegevens mogelijk maken, maar u moet rekening houden met dit bij het samenstellen van query's voor deze tabel, omdat u mogelijk dubbele vermeldingen voor een incident moet verwijderen (afhankelijk van de exacte query die u uitvoert).
Als u bijvoorbeeld een lijst met alle incidenten wilt retourneren, gesorteerd op het incidentnummer, maar alleen het meest recente logboek per incident wilt retourneren, kunt u dit doen met behulp van de KQL-samenvattingsoperator met de arg_max() aggregatiefunctie:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Meer voorbeeldquery's
Incidentstatus: alle incidenten op status en ernst in een bepaald tijdsbestek:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Sluitingstijd per percentiel:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Tijd sorteren op percentiel:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Efficiëntiewerkmap voor beveiligingsbewerkingen
Ter aanvulling op de tabel SecurityIncidents hebt u een out-of-the-box werkmapsjabloon voor de efficiëntie van beveiligingsbewerkingen geleverd die u kunt gebruiken om uw SOC-bewerkingen te bewaken. De werkmap bevat de volgende metrische gegevens:
- Incident gemaakt in de loop van de tijd
- Incidenten gemaakt door classificatie, ernst, eigenaar en status te sluiten
- Gemiddelde tijd om te triage
- Gemiddelde tijd om te sluiten
- Incidenten die zijn gemaakt op basis van ernst, eigenaar, status, product en tactiek in de loop van de tijd
- Tijd om percentielen te triage
- Tijd om percentielen te sluiten
- Gemiddelde tijd om te triage per eigenaar
- Recente activiteiten
- Recente slotclassificaties
U vindt deze nieuwe werkmapsjabloon door Werkmappen te kiezen in het navigatiemenu van Microsoft Sentinel en het tabblad Sjablonen te selecteren. Kies Efficiëntie van beveiligingsbewerkingen in de galerie en klik op een van de knoppen Opgeslagen werkmap Weergeven en Sjabloon weergeven.
U kunt de sjabloon gebruiken om uw eigen aangepaste werkmappen te maken die zijn afgestemd op uw specifieke behoeften.
SecurityIncidents-schema
Het gegevensmodel van het schema
| Veld | Gegevenstype | Beschrijving |
|---|---|---|
| AdditionalData | dynamisch | Aantal waarschuwingen, aantal bladwijzers, aantal opmerkingen, namen en tactieken van waarschuwingsproducten |
| AlertIds | dynamisch | Waarschuwingen van waaruit een incident is gemaakt |
| BookmarkIds | dynamisch | Entiteiten met bladwijzers |
| Classificatie | tekenreeks | Classificatie voor sluiten van incidenten |
| Classificatiecomment | tekenreeks | Opmerking bij het sluiten van classificatie voor incidenten |
| ClassificationReason | tekenreeks | Reden voor het sluiten van incidenten |
| ClosedTime | datetime | Tijdstempel (UTC) van het moment waarop het incident voor het laatst werd gesloten |
| Opmerkingen | dynamisch | Opmerkingen bij incidenten |
| CreatedTime | datetime | Tijdstempel (UTC) van het moment waarop het incident is gemaakt |
| Beschrijving | tekenreeks | Beschrijving van incident |
| FirstActivityTime | datetime | Eerste gebeurtenistijd |
| FirstModifiedTime | datetime | Tijdstempel (UTC) van toen het incident voor het eerst werd gewijzigd |
| IncidentName | tekenreeks | Interne GUID |
| IncidentNumber | int | |
| IncidentUrl | tekenreeks | Koppeling naar incident |
| Labels | dynamisch | Tags |
| LastActivityTime | datetime | Laatste gebeurtenistijd |
| LastModifiedTime | datetime | Tijdstempel (UTC) van het moment waarop het incident voor het laatst is gewijzigd (de wijziging die wordt beschreven door de huidige record) |
| ModifiedBy | tekenreeks | Gebruiker of systeem dat het incident heeft gewijzigd |
| Eigenaar | dynamisch | |
| RelatedAnalyticRuleIds | dynamisch | Regels waaruit de waarschuwingen van het incident zijn geactiveerd |
| Ernst | tekenreeks | Ernst van het incident (hoog/gemiddeld/laag/informatielijk) |
| SourceSystem | tekenreeks | Constante ('Azure') |
| -Status | tekenreeks | |
| Tenant-ID | tekenreeks | |
| TimeGenerated | datetime | Tijdstempel (UTC) van het moment waarop de huidige record is gemaakt (bij wijziging van het incident) |
| Titel | tekenreeks | |
| Type | tekenreeks | Constante ('SecurityIncident') |
Volgende stappen
- Als u aan de slag wilt met Microsoft Sentinel, hebt u een abonnement op Microsoft Azure nodig. Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
- Leer hoe u uw gegevens onboardt naar Microsoft Sentinel en inzicht krijgt in uw gegevens en mogelijke bedreigingen.