Olay ölçümleriyle SOC’nizi daha iyi yönetme

Not

ABD Kamu bulutlarında özellik kullanılabilirliği hakkında bilgi için, ABD Kamu müşterileri Azure Sentinel bulut özelliği kullanılabilirliği'nin tablolarına bakın.

Güvenlik İşlemleri Merkezi (SOC) yöneticisi olarak, takımınızı performansını ölçmek için genel verimlilik ölçümlerine ve ölçülerine sahip olmak sizin elinizin altındadır. Önem derecesi, MITRE taktikleri, ortalama değerlendirme süresi, çözüm için ortalama süre ve daha fazlası gibi birçok farklı ölçüte göre zaman içinde olay operasyonlarını görmek istersiniz. Azure Sentinel, Log Analytics'te yeni SecurityIncident tablosu ve şeması ve eşlik eden Güvenlik işlemleri verimlilik çalışma kitabıyla bu verileri size sunar. Zaman içinde takımınızı performansını görselleştirebilir ve verimliliği artırmak için bu içgörüleri kullanabilirsiniz. Ayrıca olay tablosuna yönelik kendi KQL sorgularınızı yazabilir ve kullanarak kendi denetim gereksinimlerinize ve KIP'lere uygun özelleştirilmiş çalışma kitapları oluşturabilirsiniz.

Güvenlik olayları tablosu kullanma

SecurityIncident tablosu, Azure Sentinel. Bunu, Günlükler altındaki SecurityInsights koleksiyonunda diğer tablolarla birlikte bulabilirsiniz. Log Analytics'te diğer tablolarda olduğu gibi sorgularsınız.

Güvenlik olayları tablosu

Bir olayı her güncelleştirmeyi veya güncelleştirmeyi tamamlarken tabloya yeni bir günlük girişi eklenir. Bu, olaylarda yapılan değişiklikleri izlemenizi sağlar ve daha da güçlü SOC ölçümlerine olanak sağlar, ancak bir olay için yinelenen girişleri kaldırmanız gereke (çalıştırılan tam sorguya bağlı olarak) bu tablo için sorgular oluştururken buna dikkat etmek gerekir.

Örneğin, olay numarasına göre sıralanmış tüm olay listesini ancak yalnızca olay başına en son günlüğü geri almak istediyebilirsiniz. Bunu toplama işleviyle KQL özetleme işleciyle de arg_max() gerçekleştirebilirsiniz:

SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber

Daha fazla örnek sorgu

Olay durumu: Verilen bir zaman çerçevesindeki durum ve önem derecesine göre tüm olaylar:

let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime  between (startTime .. endTime)
| where Status in  ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')

Ortalama kapanış süresi:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToClosure =  (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50), 
  90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)

Ortalama triyadama zamanı:

SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber 
| extend TimeToTriage =  (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50), 
  90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99) 

Güvenlik işlemleri verimliliği çalışma kitabı

SecurityIncidents tabloyu tamamlamak için, SOC işlemlerinizi izlemek için kullanabileceğiniz, size bir ilk güvenlik işlemleri verimliliği çalışma kitabı şablonu sağladık. Çalışma kitabı aşağıdaki ölçümleri içerir:

  • Zaman içinde oluşturulan olay
  • Sınıflandırma, önem derecesi, sahip ve durum kapatarak oluşturulan olaylar
  • Ortalama triyama süresi
  • Ortalama kapanış süresi
  • Zaman içinde önem derecesi, sahip, durum, ürün ve taktikler tarafından oluşturulan olaylar
  • Yüzdebirlik değerlerini önceleme süresi
  • Yüzdebirlikleri kapatma süresi
  • Sahip başına ortalama triyadama süresi
  • Son etkinlikler
  • Son kapanış sınıflandırmaları

Bu yeni çalışma kitabı şablonunu, çalışma kitabı gezinti menüsünden Çalışma kitapları'Azure Sentinel ve Şablonlar sekmesini seçerek bulabilirsiniz. Galeriden Güvenlik işlemleri verimliliği'ni seçin ve Kaydedilen çalışma kitabını görüntüle ve Şablonu görüntüle düğmelerinden birini tıklatın.

Güvenlik olayları çalışma kitabı galerisi

Güvenlik olayları çalışma kitabı tamamlandı

Şablonu kullanarak özel ihtiyaçlarınıza göre uyarlanmış kendi özel çalışma kitaplarınızı oluşturabilirsiniz.

SecurityIncidents şeması

Şemanın veri modeli

Alan Veri türü Açıklama
AdditionalData dynamic Uyarı sayısı, yer işaretleri sayısı, açıklama sayısı, uyarı ürünlerinin adı ve tackler
AlertId 'Ler dynamic Olayın oluşturulduğu uyarılar
Bookmarkıds dynamic Yer işareti bulunan varlıklar
Sınıflandırma string Olay kapatma sınıflandırması
ClassificationComment string Olay kapatma sınıflandırma açıklaması
ClassificationReason string Olay kapatma sınıflandırma nedeni
ClosedTime datetime Olayın en son kapatıldığı zaman damgası (UTC)
Açıklamalar dynamic Olay açıklamaları
CreatedTime datetime Olayın oluşturulduğu zaman damgası (UTC)
Açıklama string Olay açıklaması
FirstActivityTime datetime İlk olay saati
FirstModifiedTime datetime Olayın ilk değiştirildiği zaman damgası (UTC)
Incidentname string İç GUID
IncidentNumber int
IncidentUrl string Olaya bağla
Etiketler dynamic Etiketler
LastActivityTime datetime Son olay saati
Zamanı datetime Olayın son değiştirildiği zaman damgası (UTC)
(geçerli kayıt tarafından tanımlanan değişiklik)
ModifiedBy string Olayı değiştiren kullanıcı veya sistem
Sahibi dynamic
Relatedanaliz Ticruleıds dynamic Olay uyarılarının tetiklendiği kurallar
Önem Derecesi string Olayın önem derecesi (yüksek/orta/düşük/bilgilendirici)
SourceSystem string Sabit (' Azure ')
Durum string
Değerine string
TimeGenerated datetime Geçerli kaydın oluşturulduğu zaman damgası (UTC)
(olayın değiştirilmesi sırasında)
Başlık string
Tür string Sabit (' Securityıncident ')

Sonraki adımlar