A SOC hatékonyabb kezelése incidensmetrikákkal
Megjegyzés
Az USA kormányzati felhőiben elérhető funkciókról további információt a Microsoft Sentinel-táblák a Felhőfunkciók rendelkezésre állása az USA kormányzati ügyfelei számára című témakörben talál.
Biztonsági üzemeltetési központ (SOC) kezelőjeként átfogó hatékonysági mérőszámokkal és mértékekkel kell rendelkeznie a csapat teljesítményének felméréséhez. Az incidensműveleteket számos különböző feltétel alapján szeretné megtekinteni, például a súlyosság, a MITRE-taktikák, az osztályozás átlagos ideje, a feloldandó átlagos idő stb. alapján. A Microsoft Sentinel mostantól elérhetővé teszi ezeket az adatokat a Log Analytics új SecurityIncident táblájával és sémájával, valamint a biztonsági műveletek hatékonyságával kapcsolatos munkafüzettel. Idővel képes lesz megjeleníteni a csapat teljesítményét, és ezzel a megállapítással javíthatja a hatékonyságot. Saját KQL-lekérdezéseket is írhat és használhat az incidenstáblán az adott naplózási igényeknek és KPI-knek megfelelő testreszabott munkafüzetek létrehozásához.
A biztonsági incidensek táblázatának használata
A SecurityIncident tábla be van építve a Microsoft Sentinelbe. Ezt a SecurityInsights gyűjtemény Naplók területén található többi táblával együtt találja meg. A Log Analyticsben bármely más táblához hasonlóan lekérdezheti.
Minden alkalommal, amikor incidenst hoz létre vagy frissít, a rendszer új naplóbejegyzést ad hozzá a táblához. Ez lehetővé teszi az incidensek módosításainak nyomon követését, és még hatékonyabb SOC-metrikákat tesz lehetővé, de ezt figyelembe kell vennie a tábla lekérdezéseinek létrehozásakor, mivel előfordulhat, hogy el kell távolítania egy incidens ismétlődő bejegyzéseit (a futtatott lekérdezéstől függően).
Ha például az összes incidens listáját az incidensszámuk szerint szeretné visszaadni, de csak a legutóbbi naplót szeretné visszaadni incidensenként, ezt a KQL summarize operátorral teheti meg az aggregációsarg_max() függvénnyel:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
További mintalekérdezések
Incidens állapota – az összes incidens állapot és súlyosság szerint egy adott időkeretben:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Lezárási idő percentilis szerint:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Idő osztályozása percentilis szerint:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Biztonsági műveletek hatékonysági munkafüzete
A SecurityIncidents tábla kiegészítéseként egy beépített biztonsági műveletek hatékonyságára szolgáló munkafüzetsablont biztosítunk, amellyel figyelheti az SOC-műveleteket. A munkafüzet a következő metrikákat tartalmazza:
- Az idő múlásával létrehozott incidens
- Besorolás, súlyosság, tulajdonos és állapot lezárása által létrehozott incidensek
- Középidő az osztályozáshoz
- A lezárás átlagos ideje
- Súlyosság, tulajdonos, állapot, termék és taktikák által idővel létrehozott incidensek
- Percentilisek osztályozásának ideje
- A percentilisek bezárásának ideje
- Átlagos idő a tulajdonosonkénti osztályozáshoz
- Legutóbbi tevékenységek
- Legutóbbi záró besorolások
Ezt az új munkafüzetsablont a Microsoft Sentinel navigációs menüjének Munkafüzetek elemére, majd a Sablonok fülre kattintva találhatja meg. Válassza a biztonsági műveletek hatékonyságát a katalógusban, és kattintson a Mentett munkafüzet megtekintése és a Sablon megtekintése gomb egyikére.
A sablonnal saját, az igényeinek megfelelő egyéni munkafüzeteket hozhat létre.
SecurityIncidents séma
A séma adatmodellje
| Mező | Adattípus | Leírás |
|---|---|---|
| AdditionalData | dinamikus | Riasztások száma, könyvjelzők száma, megjegyzések száma, riasztási termékek nevei és taktikái |
| Riasztásazonosítók | dinamikus | Riasztások, amelyekből az incidens létre lett hozva |
| Könyvjelzőazonosítók | dinamikus | Könyvjelzőként megjelölt entitások |
| Besorolás | sztring | Incidensek lezárásának besorolása |
| ClassificationComment | sztring | Incidens záró besorolási megjegyzése |
| ClassificationReason | sztring | Incidensek lezárásának besorolási oka |
| Zárt idő | dátum/idő | Az incidens utolsó lezárásának időbélyege (UTC) |
| Megjegyzések | dinamikus | Incidens megjegyzései |
| CreatedTime | dátum/idő | Az incidens létrehozásának időbélyege (UTC) |
| Leírás | sztring | Esemény leírása |
| FirstActivityTime | dátum/idő | Első esemény időpontja |
| FirstModifiedTime | dátum/idő | Az incidens első módosításának időbélyege (UTC) |
| IncidentName | sztring | Belső GUID |
| IncidentNumber | int | |
| IncidentUrl | sztring | Incidensre mutató hivatkozás |
| Címkék | dinamikus | Címkék |
| LastActivityTime | dátum/idő | Utolsó esemény időpontja |
| LastModifiedTime | dátum/idő | Az incidens utolsó módosításának időbélyege (UTC) (az aktuális rekord által leírt módosítás) |
| ModifiedBy | sztring | Az incidenst módosító felhasználó vagy rendszer |
| Tulajdonos | dinamikus | |
| RelatedAnalyticRuleIds | dinamikus | Szabályok, amelyekből az incidens riasztásai aktiválódtak |
| Súlyosság | sztring | Az incidens súlyossága (magas/közepes/alacsony/tájékoztató) |
| SourceSystem | sztring | Állandó ('Azure') |
| Állapot | sztring | |
| TenantId | sztring | |
| TimeGenerated | dátum/idő | Az aktuális rekord létrehozásának időbélyege (UTC) (az incidens módosításakor) |
| Cím | sztring | |
| Típus | sztring | Állandó ('SecurityIncident') |
Következő lépések
- A Microsoft Sentinel használatának megkezdéséhez szüksége lesz egy Microsoft Azure-előfizetésre. Ha nem rendelkezik előfizetéssel, regisztrálhat egy ingyenes próbaverzióra.
- Megtudhatja, hogyan regisztrálhatja adatait a Microsoft Sentinelbe, és hogyan ismerheti meg az adatait és a potenciális fenyegetéseket.