Security Operations 効率ダッシュボード
Security Operations Center (SOC) のマネージャーは、全体的な効率メトリクスを表示し、組織内の SOC チームメンバーの個々のパフォーマンスを測定できます。
SOC のマネージャーは、パフォーマンスアナリティクスダッシュボードを使用して、効率を向上させ、時間の経過とともに一般的な領域と特定の領域の両方で SOC のパフォーマンスを把握できます。
[アナリストの効率] タブ
ドリルダウンして詳細を表示するには、いずれかのインジケーターをクリックします。たとえば、[アナリストごとの処理完了セキュリティインシデント数の平均 (Average security incidents worked per analyst)] セクションのインジケーターをクリックします。
グラフは、オープンセキュリティインシデントの数が 3 月から 5 月にかけて 0 から 40 を超えて増加したことを示しています。ヘッダーに表示されるデータに注目してください。
- 傾向インジケーター:データが収集された最新の期間のオープンインシデント数の変化を示します。このチャートは、2019 年 3 月から 2019 年 5 月までのデータを表し、オープンインシデントの数が 5 月に 19 増加していることを示しています。オープンインシデントの数が一定期間にわたって減少している場合は、アナリストの効率が高いことを示します。
- スコア数 (No. of scores):データが収集された期間 (2019 年 3 月から 5 月)。
- 合計:3 月から 5 月までの新規オープンインシデントの数。
- 変更:3 月から 4 月までの新規オープンインシデントの数。
- 平均:選択された期間のアナリストごとのオープンインシデント数の平均。
| インジケーター | 説明 |
|---|---|
| アナリストごとの作業済みセキュリティインシデント数の平均 (Average security incidents worked per analyst) | 指定された期間のアナリストごとのオープンインシデント数の平均。使用される式:[[Number of open security incidents / By month AVG +]]/[[Number of Security Agents]] |
| アナリストごとのクローズ済みセキュリティインシデント | 指定された期間に選択されたカテゴリの各アナリストによってクローズされたインシデントの合計数。使用される式:[Number of closed security incidents > Security Incident Category = <category_name> / By month SUM +]]/[[Number of Security Agents / By month AVG +]] |
| セキュリティインシデントの平均解決時間 (Average security incident resolution) | 指定された期間に各アナリストがセキュリティインシデントをクローズするのにかかった平均時間。結果を日数で表示するために使用される式:([[Summed duration of closed security incidents > Security Incident Category = <category_name> / By month AVG +]] / [[Number of closed security incidents > Security Incident Category = <category_name> / By month AVG +]]) / 24 |
| セキュリティインシデントの平均経過時間 (Average security incident age) | アナリストごとの、セキュリティインシデントがオープン状態になっていた平均日数。結果を日数で表示するために使用される式:([[Summed age of open security incidents > Security Incident Category = <category_name> / By month AVG +]]/ [[Number of open security incidents > Security Incident Category = <category_name> / By month AVG +]]) / 24 |
| セキュリティインシデントバックログアナリティクス | 指定された期間のオープンセキュリティインシデントの合計数。[ブレークダウン] リストからオプションを選択して、各アナリスト、セキュリティグループ、優先度のバックログを表示します。選択した 2 つの月の間でオープンセキュリティインシデントの数を比較することもできます。 |
| クローズ済みセキュリティインシデント分析 | 指定された期間にクローズされたセキュリティインシデントの合計数。[ブレークダウン] リストからオプションを選択して、各アナリスト、セキュリティグループ、優先度のカウントを表示します。選択した 2 つの月の間でクローズされたセキュリティインシデントの数を比較することもできます。 |
| セキュリティインシデントの経過時間 | 指定された期間にセキュリティインシデントがオープン状態であった平均日数。[ブレークダウン] リストからオプションを選択して、各アナリスト、セキュリティグループ、優先度のセキュリティインシデントの経過時間を表示します。結果を日数で表示するために使用される式:([[Summed age of open security incidents > Security Incident Category = <category_name> > Security Assignment Group = <group_name> / By month AVG +]]/ [[Number of open security incidents > Security Incident Category = <category_name> > Security Assignment Group = <group_name> / By month AVG +]]) / 24 |
| セキュリティインシデントの解決時間 | 指定された期間にセキュリティインシデントを解決するのにかかった平均日数。[ブレークダウン] リストからオプションを選択して、各アナリスト、セキュリティグループ、優先度のセキュリティインシデントの解決時間を表示します。結果を日数で表示するために使用される式:([[Summed duration of closed security incidents > Security Incident Category = Malicious code activity > Security Assigned To = John Ashby / By month AVG +]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity > Security Assigned To = John Ashby / By month AVG +]]) / 24 |
[検出と応答の有効性] タブ
| インジケーター | 説明 |
|---|---|
| 真陽性インシデント | 指定された期間の選択されたカテゴリでの真陽性セキュリティインシデントの割合。使用される式:(1-([[Number of false positive security incidents > Security Incident Category = Malicious code activity / By month SUM +]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity / By month SUM +]])) * 100 |
| 重大な誤検出インシデント | 指定された期間の選択されたカテゴリでの誤検出の重大セキュリティインシデントの割合。使用される式:([[Number of false positive security incidents > Security Incident Risk Score = Critical Risk > Security Incident Category = Malicious code activity / By month SUM +]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity / By month SUM +]]) * 100 注: Closed code = Invalid vulnerability or False positive であるすべてのセキュリティインシデントが誤検出インシデントとして扱われます。 |
| 平均誤検出リスクスコア (Mean false positive risk score) | 誤検出インシデントとして識別されたクローズ済みセキュリティインシデントの平均月次リスクスコア。リスクスコアが低いほど、セキュリティアナリストが誤検出インシデントの分析に費やした時間が少ないことを示します。使用される式:([[Number of false positive security incidents > Security Incident Risk Score = Critical Risk > Security Incident Category = Malicious code activity / By month SUM +]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity / By month SUM +]]) * 100 |
| 誤検出セキュリティインシデントの期間 | セキュリティアナリストが誤検出インシデントの調査に費やした平均日数。使用される式:([[Summed duration of false positive security incidents]] / [[Number of false positive security incidents]]) / 24 |
| セキュリティインシデントソースの有効性 | 指定された期間に特定のソースによって識別された真陽性セキュリティインシデントの割合。ソースには、メール、ネットワークアクティビティ、カスタマーサポートなどがあります。このデータは、セキュリティインシデントソースの有効性を測定するのに役立ちます。使用される式: (1-([[Number of false positive security incidents > Security Incident Category = Malicious code activity > Security Incident Source = IDS/IPS / By month SUM +]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity > Security Incident Source = IDS/IPS / By month SUM +]])) * 100 |
| セキュリティインシデントソースボリューム分析 | それぞれのセキュリティインシデントソースの当月のクローズ済みセキュリティインシデントの数。選択した 2 つの月の間で各ソースタイプのセキュリティインシデントの数を比較することもできます。 |
| セキュリティインシデントバックログアナリティクス | 指定された期間のオープンセキュリティインシデントの合計数と、インシデントがオープン状態であった平均日数。選択した 2 つの月の間でオープンセキュリティインシデントの数を比較することもできます。平均バックログ期間の計算に使用される式:([[Summed age of open security incidents > Security Incident Category = Malicious code activity]]/ [[Number of open security incidents > Security Incident Category = Malicious code activity]]) / 24 |
| クローズ済みセキュリティインシデント分析 | 指定された期間のクローズ済みセキュリティインシデントの合計数と、これらのインシデントの平均解決時間。平均解決時間の計算に使用される式: ([[Summed duration of closed security incidents > Security Incident Category = Malicious code activity]] / [[Number of closed security incidents > Security Incident Category = Malicious code activity]]) / 24 |
[インシデントリスクスコア分析] タブ
| インジケーター | 説明 |
|---|---|
| 合計リスクエクスポージャー分析 | 指定された期間の各リスクカテゴリ (低、中、重大) のオープンインシデントの合計数。2 つの月の間でさまざまなリスクカテゴリのインシデントの数を比較することもできます。 |
| リスクスコア別の正規化されたセキュリティアナリストの作業 (Normalized security analyst work by risk score) | 指定された期間の各セキュリティアナリストの合計リスクスコア。これは、セキュリティアナリストがクローズした真陽性セキュリティインシデントの数に基づいて計算されます。使用される式: [[Summed Risk Score of Closed Security Incidents > Security Incident Category = Malicious code activity > Security Assigned To = SI Admin / By month SUM +]] - [[Summed Risk Score of False Positive Security Incidents > Security Incident Category = Malicious code activity > Security Assigned To = SI Admin / By month SUM +]] |
| 平均リスクスコア別のセキュリティアナリストの作業 | 指定された期間の各セキュリティアナリストの平均リスクスコア。使用される式: [[Summed Risk Score of Closed Security Incidents > Security Incident Category = Malicious code activity > Security Assigned To = SI Admin / By month AVG +]] - [[Summed Risk Score of False Positive Security Incidents > Security Incident Category = Malicious code activity > Security Assigned To = SI Admin / By month AVG +]] |
[セキュリティインシデントステージ分析] タブ
特定の日のオープンインシデントの数と、これらのインシデントのステータス ([分析]、[ドラフト]、[封じ込め]、[根絶]、[復旧]、または [レビュー) を確認できます。各ステージでは、平均経過時間、影響を受ける CI、応答タスクなどを表示できます。リンクをクリックすると、これらのインシデントの追加の詳細またはブレークダウンが表示されます。