إدارة SOC بشكل أفضل باستخدام مقاييس الحوادث
ملاحظة
يسمى Azure Sentinel الآن Microsoft Sentinel، وسنقوم بتحديث هذه الصفحات في الأسابيع القادمة. تعرف على المزيد حول التحسينات الأمنية الأخيرة لـ Microsoft.
ملاحظة
للحصول على معلومات حول توفر الميزات في السحابات الحكومية الأمريكية، راجع جداول Microsoft Sentinel في توفر ميزة السحابة لعملاء الحكومة الأمريكية.
بصفتك مديرا لمركز العمليات الأمنية (SOC) ، يجب أن يكون لديك مقاييس ومقاييس كفاءة شاملة في متناول يدك لقياس أداء فريقك. ستحتاج إلى رؤية عمليات الحوادث بمرور الوقت وفقا للعديد من المعايير المختلفة ، مثل الشدة ، وتكتيكات MITRE ، ومتوسط وقت الفرز ، ومتوسط الوقت لحلها ، والمزيد. يتيح لك Microsoft Sentinel الآن هذه البيانات من خلال جدول ومخطط SecurityIncident الجديدين في Log Analytics ومصنف كفاءة عمليات الأمان المصاحب له. ستتمكن من تصور أداء فريقك بمرور الوقت واستخدام هذه الرؤية لتحسين الكفاءة. يمكنك أيضا كتابة استعلامات KQL الخاصة بك واستخدامها مقابل جدول الحوادث لإنشاء مصنفات مخصصة تناسب احتياجات التدقيق ومؤشرات الأداء الرئيسية الخاصة بك.
استخدام جدول الحوادث الأمنية
تم تضمين جدول SecurityIncident في Microsoft Sentinel. ستجده مع الجداول الأخرى في مجموعة SecurityInsights ضمن السجلات. يمكنك الاستعلام عنه مثل أي جدول آخر في Log Analytics.
في كل مرة تقوم فيها بإنشاء حادث أو تحديثه، ستتم إضافة إدخال سجل جديد إلى الجدول. يتيح لك ذلك تتبع التغييرات التي تم إجراؤها على الحوادث ، ويسمح بمقاييس SOC أكثر قوة ، ولكن عليك أن تضع في اعتبارك ذلك عند إنشاء استعلامات لهذا الجدول حيث قد تحتاج إلى إزالة الإدخالات المكررة لحادث (اعتمادا على الاستعلام الدقيق الذي تقوم بتشغيله).
على سبيل المثال، إذا كنت ترغب في إرجاع قائمة بجميع الحوادث التي تم فرزها حسب رقم الحادث الخاص بها ولكنك أردت فقط إرجاع أحدث سجل لكل حادثة، فيمكنك القيام بذلك باستخدام عامل تشغيل ملخص KQL مع arg_max()وظيفة التجميع:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
المزيد من نماذج الاستعلامات
حالة الحادث - جميع الحوادث حسب الحالة والشدة في إطار زمني معين:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
متوسط الوقت اللازم للإغلاق:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
متوسط الوقت اللازم للفرز:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
مصنف كفاءة عمليات الأمان
لاستكمال جدول SecurityIncidents ، قدمنا لك قالب مصنف كفاءة عمليات الأمان الجاهز الذي يمكنك استخدامه لمراقبة عمليات SOC الخاصة بك. يحتوي المصنف على المقاييس التالية:
- الحادث الذي تم إنشاؤه بمرور الوقت
- الحوادث الناتجة عن إغلاق التصنيف والشدة والمالك والحالة
- متوسط الوقت اللازم للفرز
- متوسط الوقت اللازم للإغلاق
- الحوادث الناتجة عن الشدة والمالك والحالة والمنتج والتكتيكات بمرور الوقت
- الوقت اللازم لفرز النسب المئوية
- الوقت اللازم لإغلاق النسب المئوية
- متوسط الوقت اللازم للفرز لكل مالك
- ثالثا - الأنشطة الأخيرة
- التصنيفات الختامية الأخيرة
يمكنك العثور على قالب المصنف الجديد هذا عن طريق اختيار المصنفات من قائمة التنقل في Microsoft Sentinel وتحديد علامة التبويب قوالب . اختر كفاءة عمليات الأمان من المعرض وانقر فوق أحد الزرين عرض المصنف المحفوظوعرض القالب .
يمكنك استخدام القالب لإنشاء مصنفات مخصصة خاصة بك مصممة خصيصا لتلبية احتياجاتك الخاصة.
الأمانمخطط الحوادث
نموذج بيانات المخطط
| الحقل | نوع البيانات | الوصف |
|---|---|---|
| بيانات إضافية | ديناميكي | عدد التنبيهات، وعدد الإشارات المرجعية، وعدد التعليقات، وأسماء منتجات التنبيه وتكتيكاتها |
| AlertIds | ديناميكي | التنبيهات التي تم إنشاء الحادث منها |
| الإشارات المرجعيةالمعرفات | ديناميكي | الكيانات ذات الإشارات المرجعية |
| التصنيف | سلسلة | تصنيف إغلاق الحوادث |
| تصنيفتعليق | سلسلة | تعليق تصنيف إغلاق الحادث |
| التصنيفالسبب | سلسلة | سبب إغلاق تصنيف الحادث |
| مغلق | datetime | الطابع الزمني (UTC) لآخر مرة تم فيها إغلاق الحادث |
| التعليقات | ديناميكي | تعليقات الحادث |
| وقت الإنشاء | datetime | الطابع الزمني (UTC) لوقت إنشاء الحادث |
| الوصف | سلسلة | وصف الحادث |
| أولاوقت النشاط | datetime | وقت الحدث الأول |
| أولاالوقت المعدل | datetime | الطابع الزمني (UTC) لتاريخ تعديل الحادث لأول مرة |
| اسم الحادث | سلسلة | المعرف الفريد العمومي الداخلي |
| رقم الحادث | int | |
| عنوان URL للحادث | سلسلة | رابط الحادث |
| التسميات | ديناميكي | علامات |
| لاست اكتيف تايم | datetime | آخر وقت للحدث |
| آخر تعديل الوقت | datetime | الطابع الزمني (UTC) لآخر تعديل للحادث (التعديل الموصوف في السجل الحالي) |
| المعدلةبواسطة | سلسلة | المستخدم أو النظام الذي عدل الحادث |
| مالك | ديناميكي | |
| ذات الصلةالتحليليةRuleIds | ديناميكي | القواعد التي تم من خلالها تشغيل تنبيهات الحادث |
| الخطورة | سلسلة | شدة الحادث (مرتفع / متوسط / منخفض / إعلامي) |
| نظام المصدر | سلسلة | ثابت ('Azure') |
| الحالة | سلسلة | |
| معرف المستأجر | سلسلة | |
| وقت الإنشاء | datetime | الطابع الزمني (UTC) لوقت إنشاء السجل الحالي (عند تعديل الحادث) |
| العنوان | سلسلة | |
| النوع | سلسلة | ثابت ("الحادث الأمني") |
الخطوات التالية
- لبدء استخدام Microsoft Sentinel، تحتاج إلى اشتراك في Microsoft Azure. إذا لم يكن لديك اشتراك، فيمكنك تسجيل الاشتراكمجانًا.
- تعرف على كيفية إعداد بياناتك إلى Microsoft Sentinel والحصول على رؤية واضحة لبياناتك والتهديدات المحتملة.