透過事件計量更好的管理 SOC
注意
如需美國政府雲端中功能可用性的相關資訊,請參閱美國政府客戶的雲端功能可用性中的 Microsoft Sentinel 資料表。
身為安全性作業中心 (SOC) 管理員,您必須掌握整體效率計量和量值,以測量小組的效能。 您會想要各種不同準則在一段時間內的事件作業,例如嚴重性、MITRE 策略、平均分級時間、平均解決時間等等。 Microsoft Sentinel 現在可讓您在 Log Analytics 中使用新的 SecurityIncident 資料表和結構描述,以及隨附的安全性作業效率活頁簿來查看此資料。 您可以將一段時間內的小組效能以視覺效果呈現,並使用此分析資料來提升效率。 您也可以針對事件資料表撰寫及使用您自己的 KQL 查詢,以建立符合您特定稽核需求和 KPI 的自訂活頁簿。
使用安全性事件資料表
SecurityIncident 資料表內建於 Microsoft Sentinel。 其他資料表位於 [記錄] 下方的 SecurityInsights 集合中。 查詢方式與 Log Analytics 中的其他資料表一樣。
每次建立或更新事件時,都會將新的記錄項目新增至資料表。 這可讓您追蹤事件變更,並允許更強大的 SOC 計量,但在建構此資料表的查詢時,您可能需要留意,因為您可能需要移除事件的重複項目 (視您執行的確切查詢而定)。
例如,如果您想要傳回依事件編號排序的所有事件清單,但只想傳回每個事件的最新記錄,則可以使用 KQL summarize 運算子搭配arg_max()彙總函數來執行查詢:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
其他範例查詢
事件狀態 - 指定時間範圍內依狀態和嚴重性排序的所有事件:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
依百分位數的關閉時間:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
依百分位數分級時間:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
安全性作業效率活頁簿
為了補充 SecurityIncidents 資料表,我們為您提供了現用的安全性作業效率活頁簿範本,可用來監視 SOC 作業。 此活頁簿包含下列計量:
- 一段時間內建立的事件
- 依關閉分類、嚴重性、擁有者和狀態建立的事件
- 平均分級時間
- 平均關閉時間
- 在一段時間內依嚴重性、擁有者、狀態、產品及策略建立的事件
- 分級時間百分比
- 關閉時間百分比
- 每個擁有者的平均分級時間
- 最近活動
- 最近的關閉分類
您可以從 Microsoft Sentinel 導覽功能表選擇 [活頁簿],然後選取 [範本] 索引標籤,以找到這個新的活頁簿範本。從資源庫選擇 [安全性作業效率],然後按一下其中一個 [檢視儲存的活頁簿] 和 [檢視範本] 按鈕。
您可以使用範本來建立專為您的特定需求量身打造的自訂活頁簿。
SecurityIncidents 結構描述
結構描述的資料模型
| 欄位 | 資料類型 | 描述 |
|---|---|---|
| AdditionalData | dynamic | 警示計數、書籤計數、註解計數、警示產品名稱和策略 |
| AlertIds | dynamic | 建立事件的警示 |
| BookmarkIds | dynamic | 加上書籤的實體 |
| 分類 | 字串 | 事件關閉分類 |
| ClassificationComment | 字串 | 事件關閉分類註解 |
| ClassificationReason | 字串 | 事件關閉分類原因 |
| ClosedTime | Datetime | 上次關閉事件的時間戳記 (UTC) |
| 註解 | dynamic | 事件註解 |
| CreatedTime | Datetime | 建立事件的時間戳記 (UTC) |
| 說明 | 字串 | 事件描述 |
| FirstActivityTime | Datetime | 第一個事件時間 |
| FirstModifiedTime | Datetime | 第一次修改事件的時間戳記 (UTC) |
| IncidentName | 字串 | 內部 GUID |
| IncidentNumber | int | |
| IncidentUrl | 字串 | 事件連結 |
| 標籤 | dynamic | 標籤 |
| LastActivityTime | Datetime | 前次事件時間 |
| LastModifiedTime | Datetime | 前次修改事件的時間戳記 (UTC) (目前記錄所描述的修改) |
| ModifiedBy | 字串 | 修改事件的使用者或系統 |
| 負責人 | dynamic | |
| RelatedAnalyticRuleIds | dynamic | 觸發事件警示的規則 |
| 嚴重性 | 字串 | 事件嚴重性 (高/中/低/資訊) |
| SourceSystem | 字串 | 常數 ('Azure') |
| 狀態 | 字串 | |
| TenantId | string | |
| TimeGenerated | Datetime | 建立目前記錄的時間戳記 (UTC) (修改事件時) |
| 標題 | 字串 | |
| 型別 | 字串 | 常數 ('SecurityIncident') |
下一步
- 若要開始使用 Microsoft Sentinel,您需要 Microsoft Azure 訂用帳戶。 如果您沒有訂用帳戶,可以註冊免費試用。
- 了解如何將資料上線到 Microsoft Sentinel,並掌握您的資料和潛在威脅。