Uw SOC beter beheren met metrische gegevens over incidenten
Notitie
Zie de Microsoft Sentinel-tabellen in Beschikbaarheid van Cloudfuncties voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid.
Als SOC-manager (Security Operations Center) moet u de metrische gegevens en metingen voor de algehele efficiëntie binnen handbereik hebben om de prestaties van uw team te meten. U wilt incidentbewerkingen in de loop van de tijd zien op basis van veel verschillende criteria, zoals ernst, MITRE-tactieken, gemiddelde tijd om te sorteren, gemiddelde tijd om op te lossen en meer. Microsoft Sentinel maakt deze gegevens nu beschikbaar voor u met de nieuwe tabel En schema SecurityIncident in Log Analytics en de bijbehorende werkmap voor efficiëntie van beveiligingsbewerkingen . U kunt de prestaties van uw team in de loop van de tijd visualiseren en dit inzicht gebruiken om de efficiëntie te verbeteren. U kunt ook uw eigen KQL-query's schrijven en gebruiken voor de incidenttabel om aangepaste werkmappen te maken die voldoen aan uw specifieke controlebehoeften en KPI's.
De tabel met beveiligingsincidenten gebruiken
De tabel SecurityIncident is ingebouwd in Microsoft Sentinel. U vindt deze met de andere tabellen in de verzameling SecurityInsights onder Logboeken. U kunt er een query op uitvoeren zoals elke andere tabel in Log Analytics.
Telkens wanneer u een incident maakt of bijwerkt, wordt er een nieuwe logboekvermelding aan de tabel toegevoegd. Hiermee kunt u de wijzigingen in incidenten bijhouden en zijn er nog krachtigere SOC-metrische gegevens mogelijk, maar u moet hier rekening mee houden bij het maken van query's voor deze tabel, omdat u mogelijk dubbele vermeldingen voor een incident moet verwijderen (afhankelijk van de exacte query die u uitvoert).
Als u bijvoorbeeld een lijst met alle incidenten wilt retourneren, gesorteerd op het incidentnummer, maar alleen het meest recente logboek per incident wilt retourneren, kunt u dit doen met behulp van de operator KQL-samenvatting met de arg_max()
aggregatiefunctie:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Meer voorbeeldquery's
Incidentstatus: alle incidenten op status en ernst in een bepaald tijdsbestek:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Sluitingstijd per percentiel:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Tijd sorteren op percentiel:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Werkmap voor efficiëntie van beveiligingsbewerkingen
Als aanvulling op de tabel SecurityIncidents hebben we u een standaardwerkmapsjabloon voor efficiëntie van beveiligingsbewerkingen verstrekt die u kunt gebruiken om uw SOC-bewerkingen te bewaken. De werkmap bevat de volgende metrische gegevens:
- Incident dat in de loop van de tijd is gemaakt
- Incidenten die zijn gemaakt door classificatie, ernst, eigenaar en status te sluiten
- Gemiddelde tijd om te sorteren
- Gemiddelde tijd tot sluiting
- Incidenten die zijn gemaakt door ernst, eigenaar, status, product en tactieken in de loop van de tijd
- Tijd om percentielen te sorteren
- Tijd tot sluiting percentielen
- Gemiddelde tijd om te sorteren per eigenaar
- Recente activiteiten
- Recente slotclassificaties
U kunt deze nieuwe werkmapsjabloon vinden door Werkmappen te kiezen in het navigatiemenu van Microsoft Sentinel en het tabblad Sjablonen te selecteren. Kies Efficiëntie van beveiligingsbewerkingen in de galerie en klik op een van de knoppen Opgeslagen werkmap weergeven en Sjabloon weergeven .
U kunt de sjabloon gebruiken om uw eigen aangepaste werkmappen te maken die zijn afgestemd op uw specifieke behoeften.
SecurityIncidents-schema
Het gegevensmodel van het schema
Veld | Gegevenstype | Beschrijving |
---|---|---|
Additionaldata | dynamisch | Aantal waarschuwingen, aantal bladwijzers, aantal opmerkingen, namen en tactieken van waarschuwingsproducten |
AlertIds | dynamisch | Waarschuwingen op basis waarvan het incident is gemaakt |
BookmarkIds | dynamisch | Entiteiten met bladwijzers |
Classificatie | tekenreeks | Classificatie voor het sluiten van incidenten |
ClassificatieComment | tekenreeks | Opmerking over classificatie voor het sluiten van incidenten |
ClassificationReason | tekenreeks | Classificatiereden voor het sluiten van incidenten |
ClosedTime | datum/tijd | Tijdstempel (UTC) van wanneer het incident voor het laatst is gesloten |
Opmerkingen | dynamisch | Opmerkingen bij incidenten |
CreatedTime | datum/tijd | Tijdstempel (UTC) van wanneer het incident is gemaakt |
Beschrijving | tekenreeks | Beschrijving van het incident |
FirstActivityTime | datum/tijd | Tijdstip van eerste gebeurtenis |
FirstModifiedTime | datum/tijd | Tijdstempel (UTC) van wanneer het incident voor het eerst is gewijzigd |
IncidentName | tekenreeks | Interne GUID |
IncidentNumber | int | |
IncidentUrl | tekenreeks | Koppeling naar incident |
Labels | dynamisch | Tags |
LastActivityTime | datum/tijd | Tijd van laatste gebeurtenis |
LastModifiedTime | datum/tijd | Tijdstempel (UTC) van wanneer het incident voor het laatst is gewijzigd (de wijziging die wordt beschreven door de huidige record) |
ModifiedBy | tekenreeks | Gebruiker of systeem die het incident heeft gewijzigd |
Eigenaar | dynamisch | |
RelatedAnalyticRuleIds | dynamisch | Regels van waaruit de waarschuwingen van het incident zijn geactiveerd |
Ernst | tekenreeks | Ernst van het incident (hoog/gemiddeld/laag/informatierijk) |
SourceSystem | tekenreeks | Constante ('Azure') |
Status | tekenreeks | |
Tenant-ID | tekenreeks | |
TimeGenerated | datum/tijd | Tijdstempel (UTC) van wanneer de huidige record is gemaakt (bij wijziging van het incident) |
Titel | tekenreeks | |
Type | tekenreeks | Constant ('SecurityIncident') |
Volgende stappen
- U hebt een abonnement op Microsoft Azure nodig om aan de slag te gaan met Microsoft Sentinel. Als u geen abonnement hebt, kunt u zich aanmelden voor een gratis proefversie.
- Meer informatie over het onboarden van uw gegevens naar Microsoft Sentinel en inzicht krijgen in uw gegevens en mogelijke bedreigingen.