Gerir melhor o SOC com métricas de incidentes
Nota
Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.
Como gerente do Centro de Operações de Segurança (SOC), você precisa ter métricas e medidas gerais de eficiência na ponta dos dedos para avaliar o desempenho de sua equipe. Você vai querer ver as operações de incidentes ao longo do tempo por muitos critérios diferentes, como gravidade, táticas MITRE, tempo médio para triagem, tempo médio para resolver e muito mais. O Microsoft Sentinel agora disponibiliza esses dados para você com a nova tabela e esquema SecurityIncident no Log Analytics e a pasta de trabalho de eficiência de operações de segurança que o acompanha. Você poderá visualizar o desempenho da sua equipe ao longo do tempo e usar essa perceção para melhorar a eficiência. Você também pode escrever e usar suas próprias consultas KQL na tabela de incidentes para criar pastas de trabalho personalizadas que atendam às suas necessidades específicas de auditoria e KPIs.
Usar a tabela de incidentes de segurança
A tabela SecurityIncident está incorporada no Microsoft Sentinel. Você vai encontrá-lo com as outras tabelas na coleção SecurityInsights em Logs. Você pode consultá-lo como qualquer outra tabela no Log Analytics.
Toda vez que você criar ou atualizar um incidente, uma nova entrada de log será adicionada à tabela. Isso permite que você acompanhe as alterações feitas em incidentes e permite métricas SOC ainda mais poderosas, mas você precisa estar atento a isso ao construir consultas para esta tabela, pois pode ser necessário remover entradas duplicadas para um incidente (dependendo da consulta exata que você está executando).
Por exemplo, se você quisesse retornar uma lista de todos os incidentes classificados pelo número do incidente, mas quisesse retornar apenas o log mais recente por incidente, você poderia fazer isso usando o operador de resumo KQL com a arg_max() função de agregação:
SecurityIncident
| summarize arg_max(LastModifiedTime, *) by IncidentNumber
Mais consultas de exemplo
Estado do incidente - todos os incidentes por estado e gravidade num determinado período de tempo:
let startTime = ago(14d);
let endTime = now();
SecurityIncident
| where TimeGenerated >= startTime
| summarize arg_max(TimeGenerated, *) by IncidentNumber
| where LastModifiedTime between (startTime .. endTime)
| where Status in ('New', 'Active', 'Closed')
| where Severity in ('High','Medium','Low', 'Informational')
Tempo de fecho por percentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToClosure = (ClosedTime - CreatedTime)/1h
| summarize 5th_Percentile=percentile(TimeToClosure, 5),50th_Percentile=percentile(TimeToClosure, 50),
90th_Percentile=percentile(TimeToClosure, 90),99th_Percentile=percentile(TimeToClosure, 99)
Tempo de triagem por percentil:
SecurityIncident
| summarize arg_max(TimeGenerated,*) by IncidentNumber
| extend TimeToTriage = (FirstModifiedTime - CreatedTime)/1h
| summarize 5th_Percentile=max_of(percentile(TimeToTriage, 5),0),50th_Percentile=percentile(TimeToTriage, 50),
90th_Percentile=percentile(TimeToTriage, 90),99th_Percentile=percentile(TimeToTriage, 99)
Pasta de trabalho de eficiência de operações de segurança
Para complementar a tabela SecurityIncidents, fornecemos um modelo de pasta de trabalho de eficiência de operações de segurança pronto para uso que você pode usar para monitorar suas operações SOC. A pasta de trabalho contém as seguintes métricas:
- Incidente criado ao longo do tempo
- Incidentes criados pela classificação, gravidade, proprietário e status do fechamento
- Tempo médio de triagem
- Tempo médio até ao encerramento
- Incidentes criados pela gravidade, proprietário, status, produto e táticas ao longo do tempo
- Tempo para triagem de percentis
- Tempo até aos percentis de fecho
- Tempo médio de triagem por proprietário
- Atividades recentes
- Classificações de encerramento recentes
Você pode encontrar esse novo modelo de pasta de trabalho escolhendo Pastas de trabalho no menu de navegação do Microsoft Sentinel e selecionando a guia Modelos . Escolha Eficiência das operações de segurança na galeria e clique em um dos botões Exibir pasta de trabalho salva e Exibir modelo .
Você pode usar o modelo para criar suas próprias pastas de trabalho personalizadas adaptadas às suas necessidades específicas.
Esquema SecurityIncidents
O modelo de dados do esquema
| Campo | Tipo de dados | Description |
|---|---|---|
| Dados adicionais | dynamic | Alertas contam, marcadores contam, comentários contam, alertam nomes de produtos e táticas |
| AlertIds | dynamic | Alertas a partir dos quais o incidente foi criado |
| BookmarkIds | dynamic | Entidades marcadas |
| Classificação | cadeia | Classificação de encerramento de incidentes |
| ClassificaçãoComment | string | Comentário de classificação de encerramento de incidente |
| ClassificaçãoRazão | string | Motivo da classificação do encerramento do incidente |
| FechadoTempo Fechado | datetime | Carimbo de data/hora (UTC) de quando o incidente foi fechado pela última vez |
| Comentários | dynamic | Comentários de incidentes |
| CreatedTime | datetime | Carimbo de data/hora (UTC) de quando o incidente foi criado |
| Descrição | string | Descrição do incidente |
| FirstActivityTime | datetime | Hora do primeiro evento |
| FirstModifiedTime | datetime | Carimbo de data/hora (UTC) de quando o incidente foi modificado pela primeira vez |
| Nome do Incidente | string | GUID interno |
| Número do Incidente | número inteiro | |
| IncidentUrl | string | Ligação para o incidente |
| Etiquetas | dynamic | Etiquetas |
| LastActivityTime | datetime | Hora do último evento |
| LastModifiedTime | datetime | Carimbo de data/hora (UTC) de quando o incidente foi modificado pela última vez (a modificação descrita pelo registo atual) |
| ModifiedBy | string | Usuário ou sistema que modificou o incidente |
| Proprietário | dynamic | |
| RelatedAnalyticRuleIds | dynamic | Regras a partir das quais os alertas do incidente foram acionados |
| Gravidade | string | Gravidade do incidente (Alta/Média/Baixa/Informativa) |
| SourceSystem [en] | string | Constante ('Azure') |
| Status | string | |
| Identificação do locatário | cadeia | |
| Gerado por tempo | datetime | Carimbo de data/hora (UTC) de quando o registro atual foi criado (mediante modificação do incidente) |
| Título | string | |
| Tipo | string | Constante ('SecurityIncident') |
Próximos passos
- Para começar a usar o Microsoft Sentinel, você precisa de uma assinatura do Microsoft Azure. Se não tiver uma subscrição, pode inscrever-se numa avaliação gratuita.
- Saiba como integrar os seus dados no Microsoft Sentinel e obter visibilidade dos seus dados e potenciais ameaças.