Mengelola SOC Anda dengan lebih baik dengan metrik insiden
Catatan
Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Microsoft Azure Sentinel di ketersediaan fitur Cloud untuk pelanggan Pemerintah AS.
Sebagai manajer Pusat Operasi Keamanan (SOC), Anda harus memiliki keseluruhan metrik dan langkah-langkah efisiensi di dalam genggaman Anda untuk mengukur kinerja tim Anda. Anda akan ingin melihat operasi insiden dari waktu ke waktu dengan berbagai kriteria, seperti keparahan, taktik MITRE, rata-rata waktu untuk triage, rata-rata waktu untuk menyelesaikan, dan banyak lagi. Microsoft Sentinel sekarang membuat data ini tersedia untuk Anda dengan tabel dan skema SecurityIncident baru di Log Analytics dan buku kerja Operasi dan efisiensi keamanan yang menyertainya. Anda akan dapat memvisualisasikan kinerja tim Anda dari waktu ke waktu dan menggunakan wawasan ini untuk meningkatkan efisiensi. Anda juga bisa menulis dan menggunakan kueri KQL Anda sendiri terhadap tabel insiden untuk membuat buku kerja yang dikustomisasi yang sesuai dengan kebutuhan audit dan KPI spesifik Anda.
Menggunakan tabel insiden keamanan
Tabel SecurityIncident disertakan dalam Microsoft Sentinel. Anda akan menemukannya dengan tabel lain di koleksi SecurityInsights di bawah Log. Anda dapat mengkuerinya seperti tabel lain di Log Analytics.
Setiap kali Anda membuat atau memperbarui insiden, entri log baru akan ditambahkan ke tabel. Ini memungkinkan Anda untuk melacak perubahan yang dilakukan ke insiden, dan memungkinkan metrik SOC yang lebih kuat, tetapi Anda harus memperhatikan hal ini saat membuat kueri untuk tabel ini karena Anda mungkin perlu menghapus entri duplikat untuk insiden (tergantung pada kueri eksak yang Anda jalankan).
Misalnya, jika Anda ingin mengembalikan daftar semua insiden yang diurutkan menurut nomor insidennya tetapi hanya ingin mengembalikan log terbaru per insiden, Anda dapat melakukannya menggunakan operator ringkasan KQL dengan arg_max()fungsi agregasi:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Lebih banyak kueri sampel
Status insiden - semua insiden berdasarkan status dan tingkat keparahan dalam jangka waktu tertentu:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Waktu penutupan berdasarkan persentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Waktu triase berdasarkan persentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Buku kerja efisiensi operasi keamanan
Untuk melengkapi tabel SecurityIncidents , kami telah memberi Anda templat buku kerja efisiensi operasi keamanan siap pakai yang bisa Anda gunakan untuk memantau operasi SOC Anda. Buku kerja berisi metrik berikut ini:
- Insiden yang dibuat dari waktu ke waktu
- Insiden yang dibuat dengan menutup klasifikasi, keparahan, pemilik, dan status
- Rata-rata waktu untuk triage
- Rata-rata waktu untuk penutupan
- Insiden yang dibuat oleh keparahan, pemilik, status, produk, dan taktik dari waktu ke waktu
- Waktu untuk persentil triage
- Waktu untuk persentil penutupan
- Rata-rata waktu untuk triage per pemilik
- Aktivitas akhir-akhir ini
- Klasifikasi penutupan akhir-akhir ini
Anda bisa menemukan templat buku kerja baru ini dengan memilih Buku Kerja dari menu navigasi Microsoft Sentinel dan memilih tab Templat. Pilih Efisiensi operasi keamanan dari galeri dan klik salah satu tombol Tampilkan buku kerja yang disimpan dan Tampilkan templat.
Anda bisa menggunakan templat untuk membuat buku kerja kustom Anda sendiri yang disesuaikan dengan kebutuhan spesifik Anda.
Skema SecurityIncidents
Model data skema
| Bidang | Jenis data | Deskripsi |
|---|---|---|
| AdditionalData | dinamis | Jumlah peringatan, jumlah marka buku, jumlah komentar, nama dan taktik produk peringatan |
| AlertIds | dinamis | Peringatan dari mana insiden yang dibuat |
| BookmarkIds | dinamis | Entitas yang diberi marka buku |
| Klasifikasi | untai (karakter) | Klasifikasi penutupan insiden |
| ClassificationComment | untai (karakter) | Komentar klasifikasi penutupan insiden |
| ClassificationReason | untai (karakter) | Alasan klasifikasi penutupan insiden |
| ClosedTime | tanggalwaktu | Tanda waktu (UTC) saat insiden terakhir ditutup |
| Komentar | dinamis | Komentar insiden |
| CreatedTime | tanggalwaktu | Tanda waktu (UTC) saat insiden dibuat |
| Deskripsi | untai (karakter) | Deskripsi insiden |
| FirstActivityTime | tanggalwaktu | Waktu peristiwa pertama |
| FirstModifiedTime | tanggalwaktu | Tanda waktu (UTC) saat insiden pertama kali dimodifikasi |
| IncidentName | untai (karakter) | GUID internal |
| IncidentNumber | int | |
| IncidentUrl | untai (karakter) | Tautan ke insiden |
| Label | dinamis | Tag |
| LastActivityTime | tanggalwaktu | Waktu peristiwa terakhir |
| LastModifiedTime | tanggalwaktu | Tanda waktu (UTC) saat insiden terakhir diubah (modifikasi yang dijelaskan oleh catatan saat ini) |
| ModifiedBy | untai (karakter) | Pengguna atau sistem yang mengubah insiden |
| Pemilik | dinamis | |
| RelatedAnalyticRuleIds | dinamis | Aturan tempat peringatan insiden dipicu |
| Keparahan | untai (karakter) | Tingkat keparahan insiden (Tinggi/Sedang/Rendah/Informasi) |
| SourceSystem | untai (karakter) | Konstan ('Azure') |
| Status | untai (karakter) | |
| TenantId | untai (karakter) | |
| TimeGenerated | tanggalwaktu | Tanda waktu (UTC) saat catatan saat ini dibuat (setelah modifikasi insiden) |
| Judul | untai (karakter) | |
| Jenis | untai (karakter) | Konstan ('SecurityIncident') |
Langkah berikutnya
- Untuk memulai dengan Microsoft Sentinel, Anda memerlukan langganan Microsoft Azure. Jika belum berlangganan, Anda dapat mendaftar untuk mendapatkan coba gratis.
- Pelajari cara melakukan onboarding data Anda ke Microsoft Sentinel dan mendapatkan visibilitas ke dalam data Anda dan ke potensi ancaman.