Painel Eficiência das Operações de segurança
Os gerentes do centro de operações de segurança (SOC) podem visualizar as métricas gerais de eficiência e medir o desempenho individual dos membros da equipe de SOC na organização.
O gerente do SOC pode usar o painel do Performance Analytics para melhorar a eficiência e desenvolver uma imagem de como o SOC está se saindo em áreas gerais e específicas ao longo do tempo.
Guia Eficiência do analista
Clique em qualquer um dos indicadores para obter mais detalhes. Por exemplo, clique no indicador na seção Média de incidentes de segurança trabalhados por analista.
O gráfico mostra que o número de incidentes de segurança em aberto aumentou de 0 em março para mais de 40 em maio. Observe os dados exibidos no cabeçalho:
- Indicador de tendências: mostra a mudança no número de incidentes em aberto no último período em que os dados foram coletados. Este gráfico mostra dados do período de março de 2019 a maio de 2019 e o número de incidentes em aberto aumentou em 19 no mês de maio. A eficiência do analista é melhor se o número de incidentes abertos tiver diminuído ao longo de um período de tempo.
- Número de pontuações: o período para o qual os dados foram coletados (março a maio de 2019).
- Soma: o número de novos incidentes em aberto no período entre março e maio.
- Mudança: o número de novos incidentes em aberto entre março e abril.
- Média: o número médio de incidentes em aberto por analista no período selecionado.
| Indicador | Descrição |
|---|---|
| Média de incidentes de segurança trabalhados por analista | Número médio de incidentes de segurança em aberto por analista no período especificado. A fórmula usada é [[Número de incidentes de segurança em aberto / Por mês MÉDIA +]]/[[Número de agentes de segurança]] |
| Incidentes de segurança encerrados por analista | O número total de incidentes encerrados por cada analista na categoria selecionada no período especificado. A fórmula usada é [Número de incidentes de segurança encerrados > Categoria do incidente de segurança =<category_name> / SOMA por mês +]]/[[Número de agentes de segurança / Por mês MÉDIA +]] |
| Resolução média de incidentes de segurança | O tempo médio gasto por cada analista para fechar incidentes de segurança no período especificado. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração de incidentes de segurança encerrados > Categoria de incidente de segurança =<category_name> / MÉDIA por mês +]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança = / MÉDIA por mês +]]) / 24 |
| Idade média do incidente de segurança | O número médio de dias pelos quais os incidentes de segurança permanecem abertos para cada analista. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança =<category_name> / MÉDIA por mês +]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança = / MÉDIA por mês +]]) / 24 |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado. Selecione uma opção na lista Detalhamento para exibir o backlog de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. |
| Análise de incidente de segurança encerrado | O número total de incidentes de segurança encerrados no período especificado. Selecione uma opção na lista Detalhamento para exibir a contagem de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança que foram encerrados entre dois meses selecionados. |
| Idade do incidente de segurança | O número médio de dias que os incidentes de segurança permanecem em aberto no período especificado. Selecione uma opção na lista Detalhamento para exibir a idade do incidente de segurança para cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança =<category_name> > Grupo de atribuição de segurança =<group_name> / MÉDIA por mês +]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança = > Grupo de atribuição de segurança = / MÉDIA por mês +]]) / 24 |
| Tempo de resolução do incidente de segurança | O número médio de dias necessários para resolver incidentes de segurança durante o período especificado. Selecione uma opção na lista Detalhamento para exibir o tempo de resolução do incidente de segurança para cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração de incidentes de segurança encerrados > Categoria do incidente de segurança = Atividade de código malicioso > Segurança atribuída a = John Ashby / Por mês MÉDIA +]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = John Ashby / Por mês MÉDIA +]]) / 24 |
Guia Eficácia de detecção e resposta
| Indicador | Descrição |
|---|---|
| Incidentes verdadeiros positivos | Porcentagem de incidentes de segurança positivos verdadeiros na categoria selecionada para o período especificado. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria de incidente de segurança = Atividade de código malicioso / Por mês SOMA +]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso / Por mês SOMA +]])) * 100 |
| Incidentes críticos falso-positivos | Percentual de incidentes de segurança críticos falso-positivos na categoria selecionada para o período especificado. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco do incidente de segurança = Risco crítico > Categoria do incidente de segurança = Atividade de código malicioso/Por mês SOMA +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Mal-intencionado atividade de código / Por mês SOMA +]]) * 100 Nota: Qualquer incidente de segurança em que o Código fechado = Vulnerabilidade inválida ou Falso-positivo é tratado como um incidente falso-positivo |
| Pontuação média de risco falso-positivo | Pontuação de risco média mensal de incidentes de segurança encerrados que foram identificados como incidentes falso-positivos. Uma pontuação de risco mais baixa indica que os analistas de segurança gastaram menos tempo analisando incidentes falso-positivos. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco do incidente de segurança = Risco crítico > Categoria do incidente de segurança = Atividade de código malicioso/Por mês SOMA +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Mal-intencionado atividade de código / Por mês SOMA +]]) * 100 |
| Duração do incidente de segurança falso-positivo | Número médio de dias que os analistas de segurança gastaram na investigação de incidentes falso-positivos. A fórmula usada é ([[Soma da duração de incidentes de segurança falso-positivos]] / [[Número de incidentes de segurança falso-positivos]]) / 24 |
| Eficácia da origem do incidente de segurança | Percentual de incidentes de segurança verdadeiros positivos identificados por uma origem específica para o período especificado. A origem pode ser e-mail, atividade de rede,suporte ao cliente e assim por diante. Esses dados ajudam a medir a eficácia da origem do incidente de segurança. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria do incidente de segurança = Atividade de código malicioso > Origem do incidente de segurança = IDS/IPS / SOMA por mês +]] / [[Número de incidentes de segurança encerrados > Incidente de segurança Categoria = Atividade de código malicioso > Origem do incidente de segurança = IDS/IPS / Por mês SOMA +]])) * 100 |
| Análise de volume de origem do incidente de segurança | Número de incidentes de segurança encerrados no mês atual para cada origem de incidente de segurança. Você também pode comparar o número de incidentes de segurança para cada tipo de origem entre dois meses selecionados. |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado e o número médio de dias pelos quais os incidentes permanecem abertos. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. A fórmula usada para calcular o período médio do backlog é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança = Atividade de código malicioso]]/[[Número de incidentes de segurança em aberto > Categoria do incidente de segurança = Atividade de código malicioso]]) / 24 |
| Análise de incidente de segurança encerrado | O número total de incidentes de segurança encerrados no período especificado e o tempo médio de resolução desses incidentes. A fórmula usada para calcular o tempo médio de resolução é ([[Soma da duração de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso]]) / 24 |
Guia Análise de pontuação de risco do incidente
| Indicador | Descrição |
|---|---|
| Análise de exposição total ao risco | Número total de incidentes em aberto em cada categoria de risco (baixo, moderado e crítico) no período especificado. Você também pode comparar o número de incidentes nas diferentes categorias de risco entre dois meses. |
| Trabalho de analista de segurança normalizado por pontuação de risco | A pontuação de risco total para cada analista de segurança no período especificado. Isso é calculado com base no número de incidentes de segurança positivos verdadeiros que o analista de segurança fechou. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por mês SOMA +]] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por mês SOMA +]] |
| Trabalho do analista de segurança por pontuação de risco média | A pontuação de risco médio de cada analista de segurança no período especificado. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por mês MÉDIA +]] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por mês MÉDIA +]] |
Guia Análise de fases do incidente de segurança
Você pode ver o número de incidentes em aberto em um dia específico e o status (análise, rascunho, contenção, erradicação, recuperação ou revisão) desses incidentes. Em cada fase, você pode exibir a idade média, ICs afetados, tarefas de resposta e assim por diante. Clique em um link para exibir detalhes adicionais ou o detalhamento desses incidentes.