Mengelola SOC Anda dengan lebih baik dengan metrik insiden

Catatan

Untuk informasi tentang ketersediaan fitur di cloud Pemerintah AS, lihat tabel Azure Sentinel di Ketersediaan fitur cloud untuk pelanggan Pemerintah AS.

Sebagai manajer Pusat Operasi Keamanan (SOC), Anda harus memiliki keseluruhan metrik dan langkah-langkah efisiensi di dalam genggaman Anda untuk mengukur kinerja tim Anda. Anda akan ingin melihat operasi insiden dari waktu ke waktu dengan berbagai kriteria, seperti keparahan, taktik MITRE, rata-rata waktu untuk triage, rata-rata waktu untuk menyelesaikan, dan banyak lagi. Azure Sentinel sekarang membuat data ini tersedia untuk Anda dengan tabel dan skema SecurityIncident baru di Log Analytics dan buku kerja Operasi dan efisiensi keamanan yang menyertainya. Anda akan dapat memvisualisasikan kinerja tim Anda dari waktu ke waktu dan menggunakan wawasan ini untuk meningkatkan efisiensi. Anda juga bisa menulis dan menggunakan kueri KQL Anda sendiri terhadap tabel insiden untuk membuat buku kerja yang dikustomisasi yang sesuai dengan kebutuhan audit dan KPI spesifik Anda.

Menggunakan tabel insiden keamanan

Tabel SecurityIncident disertakan dalam Azure Sentinel. Anda akan menemukannya dengan tabel lain di koleksi SecurityInsights di bawah Log. Anda dapat mengkuerinya seperti tabel lain di Log Analytics.

Tabel insiden keamanan

Setiap kali Anda membuat atau memperbarui insiden, entri log baru akan ditambahkan ke tabel. Ini memungkinkan Anda untuk melacak perubahan yang dilakukan ke insiden, dan memungkinkan metrik SOC yang lebih kuat, tetapi Anda harus memperhatikan hal ini saat membuat kueri untuk tabel ini karena Anda mungkin perlu menghapus entri duplikat untuk insiden (tergantung pada kueri eksak yang Anda jalankan).

Contohnya, jika Anda ingin menampilkan daftar semua insiden yang diurutkan berdasarkan nomor insiden tetapi hanya ingin menampilkan log terbaru per insiden, Anda dapat melakukan ini menggunakan operator ringkasan KQL dengan arg_max() fungsi agregasi:

SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber

Lebih banyak kueri sampel

Status insiden - semua insiden berdasarkan status dan tingkat keparahan dalam jangka waktu tertentu:

let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime  between (startTime .. endTime)
| where Status in  ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')

Rata-rata waktu untuk penutupan:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToClosure =  (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50), 
  90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)

Rata-rata waktu untuk triage:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToTriage =  (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50), 
  90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99) 

Buku kerja efisiensi operasi keamanan

Untuk melengkapi tabel SecurityIncidents, kami telah memberi Anda templat buku kerja efisiensi operasi keamanan yang luar biasa yang bisa Anda gunakan untuk memantau operasi SOC Anda. Buku kerja berisi metrik berikut ini:

  • Insiden yang dibuat dari waktu ke waktu
  • Insiden yang dibuat dengan menutup klasifikasi, keparahan, pemilik, dan status
  • Rata-rata waktu untuk triage
  • Rata-rata waktu untuk penutupan
  • Insiden yang dibuat oleh keparahan, pemilik, status, produk, dan taktik dari waktu ke waktu
  • Waktu untuk persentil triage
  • Waktu untuk persentil penutupan
  • Rata-rata waktu untuk triage per pemilik
  • Aktivitas akhir-akhir ini
  • Klasifikasi penutupan akhir-akhir ini

Anda bisa menemukan templat buku kerja baru ini dengan memilih Buku Kerja dari menu navigasi Azure Sentinel dan memilih tab Templat. Pilih Efisiensi operasi keamanan dari galeri dan klik salah satu tombol Tampilkan buku kerja yang disimpan dan Tampilkan templat.

Galeri buku kerja insiden keamanan

Buku kerja insiden keamanan lengkap

Anda bisa menggunakan templat untuk membuat buku kerja kustom Anda sendiri yang disesuaikan dengan kebutuhan spesifik Anda.

Skema SecurityIncidents

Model data skema

Bidang Jenis data Deskripsi
AdditionalData dinamis Jumlah peringatan, jumlah marka buku, jumlah komentar, nama dan taktik produk peringatan
AlertIds dinamis Peringatan dari mana insiden yang dibuat
BookmarkIds dinamis Entitas yang diberi marka buku
Klasifikasi untai (karakter) Klasifikasi penutupan insiden
ClassificationComment untai (karakter) Komentar klasifikasi penutupan insiden
ClassificationReason untai (karakter) Alasan klasifikasi penutupan insiden
ClosedTime tanggalwaktu Tanda waktu (UTC) saat insiden terakhir ditutup
Komentar dinamis Komentar insiden
CreatedTime tanggalwaktu Tanda waktu (UTC) saat insiden dibuat
Deskripsi untai (karakter) Deskripsi insiden
FirstActivityTime tanggalwaktu Waktu peristiwa pertama
FirstModifiedTime tanggalwaktu Tanda waktu (UTC) saat insiden pertama kali dimodifikasi
IncidentName untai (karakter) GUID internal
IncidentNumber int
IncidentUrl untai (karakter) Tautan ke insiden
Label dinamis Tag
LastActivityTime tanggalwaktu Waktu peristiwa terakhir
LastModifiedTime tanggalwaktu Tanda waktu (UTC) saat insiden terakhir diubah
(modifikasi yang dijelaskan oleh catatan saat ini)
ModifiedBy untai (karakter) Pengguna atau sistem yang mengubah insiden
Pemilik dinamis
RelatedAnalyticRuleIds dinamis Aturan tempat peringatan insiden dipicu
Keparahan untai (karakter) Tingkat keparahan insiden (Tinggi/Sedang/Rendah/Informasi)
SourceSystem untai (karakter) Konstan ('Azure')
Status untai (karakter)
TenantId untai (karakter)
TimeGenerated tanggalwaktu Tanda waktu (UTC) saat catatan saat ini dibuat
(setelah modifikasi insiden)
Judul untai (karakter)
Jenis untai (karakter) Konstan ('SecurityIncident')

Langkah berikutnya