Olay ölçümleriyle SOC’nizi daha iyi yönetme
Not
US Government bulutlarındaki özellik kullanılabilirliği hakkında bilgi için bkz. US Government müşterileri için Bulut özelliği kullanılabilirliği'ndeki Microsoft Sentinel tabloları.
Güvenlik İşlemleri Merkezi (SOC) yöneticisi olarak, ekibinizin performansını ölçmek için genel verimlilik ölçümlerinin ve ölçülerinin parmaklarınızın ucunda olması gerekir. Olay işlemlerini zaman içinde önem derecesi, MITRE taktikleri, önceliklendirme süresi, ortalama çözüm süresi ve daha fazlası gibi birçok farklı ölçüte göre görmek istersiniz. Microsoft Sentinel artık Log Analytics'teki yeni SecurityIncident tablosu ve şeması ve buna eşlik eden Güvenlik işlemleri verimlilik çalışma kitabıyla bu verileri kullanımınıza sunar. Ekibinizin zaman içindeki performansını görselleştirebilir ve verimliliği artırmak için bu içgörüleri kullanabilirsiniz. Ayrıca olay tablosuna kendi KQL sorgularınızı yazabilir ve kullanarak belirli denetim gereksinimlerinize ve KPI'lerinize uygun özelleştirilmiş çalışma kitapları oluşturabilirsiniz.
Güvenlik olayları tablosunu kullanma
SecurityIncident tablosu Microsoft Sentinel'de yerleşiktir. Bunu, SecurityInsights koleksiyonundaki Günlükler'in altındaki diğer tablolarla birlikte bulabilirsiniz. Log Analytics'teki diğer herhangi bir tablo gibi sorgulayabilirsiniz.
Bir olayı her oluşturduğunuzda veya güncelleştirdiğinizde tabloya yeni bir günlük girişi eklenir. Bu, olaylarda yapılan değişiklikleri izlemenize ve daha da güçlü SOC ölçümlerine olanak tanır, ancak bir olayın yinelenen girdilerini kaldırmanız gerekebileceğinden (çalıştırdığınız sorguya bağlı olarak) bu tablo için sorgu oluştururken bu konuda dikkatli olmanız gerekir.
Örneğin, olay numarasına göre sıralanmış tüm olayların listesini döndürmek ancak olay başına yalnızca en son günlüğü döndürmek istiyorsanız, toplama işleviylearg_max() birlikte KQL özet işlecini kullanarak bunu yapabilirsiniz:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Diğer örnek sorgular
Olay durumu - Belirli bir zaman dilimindeki durum ve önem derecelerine göre tüm olaylar:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Yüzdebirlik dilime göre kapanış süresi:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Yüzdebirlik değere göre önceliklendirme süresi:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Güvenlik işlemleri verimliliği çalışma kitabı
SecurityIncidents tablosunu tamamlamak için, SOC işlemlerinizi izlemek için kullanabileceğiniz kullanıma açık bir güvenlik işlemleri verimlilik çalışma kitabı şablonu sağladık. Çalışma kitabı aşağıdaki ölçümleri içerir:
- Zaman içinde oluşturulan olay
- Sınıflandırma, önem derecesi, sahip ve durum kapatılarak oluşturulan olaylar
- Önceliklendirme için ortalama süre
- Kapatma süresi ortalaması
- Zaman içinde önem derecesi, sahip, durum, ürün ve taktikler tarafından oluşturulan olaylar
- Yüzdebirlik dilimleri önceliklendirme süresi
- Yüzdebirlik dilimleri kapatma süresi
- Sahip başına önceliklendirme süresi
- Son etkinlikler
- Son kapanış sınıflandırmaları
Microsoft Sentinel gezinti menüsünden Çalışma Kitapları'nı seçip Şablonlar sekmesini seçerek bu yeni çalışma kitabı şablonunu bulabilirsiniz. Galeriden Güvenlik işlemleri verimliliği'ni seçin ve Kaydedilen çalışma kitabını görüntüle ve Şablonu görüntüle düğmelerinden birine tıklayın.
Şablonu kullanarak özel ihtiyaçlarınıza uygun kendi özel çalışma kitaplarınızı oluşturabilirsiniz.
SecurityIncidents şeması
Şemanın veri modeli
| Alan | Veri türü | Açıklama |
|---|---|---|
| AdditionalData | dynamic | Uyarı sayısı, yer işaretleri sayısı, açıklama sayısı, uyarı ürünleri adları ve taktikleri |
| AlertId değerleri | dynamic | Olayın oluşturulduğu uyarılar |
| BookmarkId değerleri | dynamic | Yer işaretli varlıklar |
| Sınıflandırma | string | Olay kapatma sınıflandırması |
| ClassificationComment | string | Olay kapanış sınıflandırması açıklaması |
| ClassificationReason | string | Olay kapanış sınıflandırma nedeni |
| ClosedTime | datetime | Olayın son kapatıldığı zaman damgası (UTC) |
| Açıklamalar | dynamic | Olay açıklamaları |
| CreatedTime | datetime | Olayın oluşturulduğu zaman damgası (UTC) |
| Açıklama | string | Olay açıklaması |
| FirstActivityTime | datetime | İlk olay zamanı |
| FirstModifiedTime | datetime | Olayın ilk değiştirildiği zaman damgası (UTC) |
| IncidentName | string | İç GUID |
| IncidentNumber | int | |
| IncidentUrl | string | Olaya bağlantı |
| Etiketler | dynamic | Etiketler |
| LastActivityTime | datetime | Son olay zamanı |
| LastModifiedTime | datetime | Olayın son değiştirildiği zaman damgası (UTC) (geçerli kayıt tarafından açıklanan değişiklik) |
| Modifiedby | string | Olayı değiştiren kullanıcı veya sistem |
| Sahibi | dynamic | |
| RelatedAnalyticRuleIds | dynamic | Olay uyarılarının tetiklendiği kurallar |
| Önem Derecesi | string | Olayın önem derecesi (Yüksek/Orta/Düşük/Bilgilendirme) |
| SourceSystem | string | Sabit ('Azure') |
| Durum | string | |
| Kiracı Kimliği | string | |
| TimeGenerated | datetime | Geçerli kaydın oluşturulduğu zaman damgası (UTC) (olayın değiştirilmesi üzerine) |
| Başlık | string | |
| Tür | string | Sabit ('SecurityIncident') |
Sonraki adımlar
- Microsoft Sentinel'i kullanmaya başlamak için Microsoft Azure aboneliğine ihtiyacınız vardır. Aboneliğiniz yoksa ücretsiz deneme sürümü için kaydolabilirsiniz.
- Verilerinizi Microsoft Sentinel'e eklemeyi, verilerinize ve olası tehditlere ilişkin görünürlük elde etmeyi öğrenin.