Painel de Eficiência de operações de segurança
Os gerentes do Centro de operações de segurança (SOC) podem exibir métricas gerais de eficiência e medir o desempenho individual dos membros da equipe do SOC na organização.
O gerente do SOC pode usar o painel do Performance Analytics para melhorar a eficiência e desenvolver uma imagem do desempenho do SOC em áreas gerais e específicas ao longo do tempo.
Guia Eficiência do analista
Clique em qualquer um dos indicadores para detalhar para obter mais detalhes. Por exemplo, clique no indicador na seção Média de incidentes de segurança trabalhados por analista.
O gráfico mostra que o número de incidentes de segurança em aberto aumentou de 0 em março para mais de 40 em maio. Observe os dados exibidos no cabeçalho:
- Indicador de tendência: Mostra a mudança no número de incidentes em aberto no último período para o qual os dados foram coletados. Este gráfico mostra dados do período de março de 2019 a maio de 2019 e o número de incidentes em aberto aumentou 19 no mês de maio. A eficiência do analista será melhor se o número de incidentes em aberto diminuir ao longo de um período.
- Nº de pontuações: O período durante o qual os dados foram coletados (março a maio de 2019).
- Soma: O número de novos incidentes em aberto para o período entre março e maio.
- Mudança: O número de novos incidentes em aberto entre março e abril.
- Média: O número médio de incidentes em aberto por analista para o período selecionado.
| Indicador | Descrição |
|---|---|
| Média de incidentes de segurança trabalhados por analista | Número médio de incidentes de segurança em aberto por analista para o período especificado. A fórmula usada é [[Número de incidentes de segurança em aberto / Média por mês]]/[[Número de agentes de segurança]] |
| Incidentes de segurança encerrados por analista | O número total de incidentes encerrados por cada analista na categoria selecionada no período especificado. A fórmula usada é [Número de incidentes de segurança encerrados > Categoria de incidente de segurança: SOMA DE <category_name> / por mês]]/[[Número de agentes de segurança / Média por mês]] |
| Resolução média de incidentes de segurança | O tempo médio gasto por cada analista para fechar incidentes de segurança no período especificado. A fórmula usada para mostrar o resultado em dias é [[Soma da duração dos incidentes de segurança encerrados > Categoria de incidente de segurança: <category_name> / Média por mês]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: <category_name> / Média por mês]] / 24 |
| Idade média do incidente de segurança | O número médio de dias durante os quais os incidentes de segurança permanecem abertos para cada analista. A fórmula usada para mostrar o resultado em dias é [[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> / Média por mês]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> / Média por mês]]] / 24 |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado. Selecione uma opção na lista de detalhamento para exibir o backlog de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. |
| Análise de incidente de segurança encerrada | O número total de incidentes de segurança encerrados no período especificado. Selecione uma opção na lista de detalhamento para exibir a contagem de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança que foram encerrados entre dois meses selecionados. |
| Idade do incidente de segurança | O número médio de dias dos incidentes de segurança que permanecem em aberto no período especificado. Selecione uma opção na lista de detalhamento para exibir a idade do incidente de segurança de cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> > Grupo de atribuição de segurança: <group_name> / Média por mês]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> > Grupo de atribuição de segurança: <group_name> / Média por mês]]) / 24 |
| Tempo de resolução do incidente de segurança | O número médio de dias necessários para resolver incidentes de segurança durante o período especificado. Selecione uma opção na lista de detalhamento para exibir o tempo de resolução do incidente de segurança de cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração dos incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado > Segurança atribuída a John Ashby / Média por mês]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado > Segurança atribuída a John Ashby / Média por mês]] / 24 |
Detecção e eficácia da resposta
| Indicador | Descrição |
|---|---|
| Incidentes positivos verdadeiros | Percentual de incidentes de segurança verdadeiros positivos na categoria selecionada para o período especificado. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA por mês]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA por mês]]) * 100 |
| Incidentes críticos falso-positivos | Percentual de incidentes de segurança críticos falso-positivos na categoria selecionada para o período especificado. A fórmula usada é [[Número de incidentes de segurança falso-positivos > Pontuação de risco de incidente de segurança Risco crítico > Categoria de incidente de segurança atividade de código mal-intencionado / SOMA mensal] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança atividade de código mal-intencionado / SOMA mensal]] * 100 Nota: Qualquer incidente de segurança em que Código encerrado: Vulnerabilidade inválida ou falso-positivo é tratado como um incidente falso-positivo |
| Pontuação de risco falso-positivo média | Pontuação média de risco mensal de incidentes de segurança encerrados que foram identificados como incidentes falso-positivos. Uma pontuação de risco mais baixa indica que os analistas de segurança gastaram menos tempo analisando incidentes falso-positivos. A fórmula usada é [[Número de incidentes de segurança falso-positivos > Pontuação de risco de incidente de segurança Risco crítico > Categoria de incidente de segurança atividade de código mal-intencionado / SOMA mensal] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança atividade de código mal-intencionado / SOMA mensal]] * 100 |
| Duração do incidente de segurança falso-positivo | Número médio de dias que os analistas de segurança gastaram na investigação de incidentes falso-positivos. A fórmula usada é [[Soma da duração de incidentes de segurança falso-positivos]] / [[Número de incidentes de segurança falso-positivos]] / 24 |
| Eficácia da origem do incidente de segurança | Percentual de incidentes de segurança verdadeiros positivos identificados por uma origem específica para o período especificado. A origem pode ser e-mail, atividade de rede, suporte ao cliente e assim por diante. Esses dados ajudam a medir a eficácia da origem do incidente de segurança. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria de incidente de segurança: Atividade de código mal-intencionado > Origem do incidente de segurança: IDS/IPS / SOMA mensal]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança atividade de código mal-intencionado > Origem do incidente de segurança: IDS/IPS / SOMA mensal]) * 100 |
| Análise de volume de origem do incidente de segurança | Número de incidentes de segurança encerrados para o mês atual para cada origem de incidente de segurança. Você também pode comparar o número de incidentes de segurança para cada tipo de origem entre dois meses selecionados. |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado e o número médio de dias em que os incidentes permanecem em aberto. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. A fórmula usada para calcular o período médio de backlog é ([[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: Atividade de código mal-intencionado]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: Atividade de código mal-intencionado]]) / 24 |
| Análise de incidente de segurança encerrada | O número total de incidentes de segurança encerrados no período especificado e o tempo médio de resolução desses incidentes. A fórmula usada para calcular o tempo médio de resolução é ([[Soma da duração dos incidentes de segurança encerrados > Categoria do incidente de segurança: Atividade de código mal-intencionado]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado]]) / 24 |
Guia Análise de pontuação de risco do incidente
| Indicador | Descrição |
|---|---|
| Análise de exposição ao risco total | Número total de incidentes em aberto em cada categoria de risco (baixo, moderado e crítico) no período especificado. Você também pode comparar o número de incidentes nas diferentes categorias de risco entre dois meses. |
| Trabalho de analista de segurança normalizado por pontuação de risco | A pontuação total de risco de cada analista de segurança para o período especificado. Isso é calculado com base no número de incidentes de segurança positivos verdadeiros que o analista de segurança encerrou. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de segurança / SOMA por mês] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a Administrador de segurança / SOMA por mês]] |
| O analista de segurança trabalha por pontuação de risco média | A pontuação média de risco de cada analista de segurança para o período especificado. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de segurança / média por mês] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a Administrador de segurança / Média por mês]] |
Guia Análise da fase do incidente de segurança
Você pode ver o número de incidentes em aberto em um dia específico e o status (análise, rascunho, conter, erradicar, recuperar, ou revisão) desses incidentes. Em cada fase, você pode exibir a idade média, ICs afetados, tarefas de resposta e assim por diante. Clique em um link para exibir detalhes adicionais ou o detalhamento desses incidentes.