Dashboard für Effizienz von Sicherheitsvorgängen
Manager des Security Operations Center (SOC) können allgemeine Effizienzmetriken anzeigen und die individuelle Leistung der SOC-Teammitglieder in der Organisation messen.
Der SOC-Manager kann das Leistungsanalysen-Dashboard verwenden, um die Effizienz zu verbessern und ein Bild davon zu entwickeln, wie SOC im Laufe der Zeit sowohl in allgemeinen als auch in bestimmten Bereichen abschneidet.
Registerkarte „Effizienz von Analysten“
Klicken Sie auf einen der Indikatoren, um weitere Details anzuzeigen. Klicken Sie beispielsweise im Abschnitt „Durchschnittliche pro Analysten bearbeitete Security Incidents“ auf den Indikator.
Das Diagramm zeigt, dass die Anzahl der offenen Security Incidents von 0 im März auf über 40 im Mai gestiegen ist. Beachten Sie die im Header angezeigten Daten:
- Trendindikator: Zeigt die Änderung der Anzahl der offenen Incidents im letzten Zeitraum an, für den die Daten erfasst wurden. Dieses Diagramm zeigt Daten für den Zeitraum März 2019 bis Mai 2019, und die Anzahl der offenen Incidents hat sich im Monat Mai um 19 erhöht. Die Effizienz von Analysten ist besser, wenn die Anzahl der offenen Incidents im Laufe der Zeit gesunken ist.
- Anzahl der Punktzahlen: Der Zeitraum, für den die Daten erfasst wurden (März bis Mai 2019).
- Summe: Die Anzahl der neuen offenen Incidents für den Zeitraum zwischen März und Mai.
- Change: Die Anzahl der neuen offenen Incidents zwischen März und April.
- Durchschnitt: Die durchschnittliche Anzahl der offenen Incidents pro Analysten für den ausgewählten Zeitraum.
| Indikator | Beschreibung |
|---|---|
| Durchschnittliche pro Analysten bearbeitete Security Incidents | Durchschnittliche Anzahl der offenen Security Incidents pro Analysten für den angegebenen Zeitraum. Die verwendete Formel ist [[Anzahl der offenen Security Incidents / nach Monat – Durchschnitt +]]/[[Anzahl der Security Agents]] |
| Geschlossene Security Incidents pro Analysten | Die Gesamtzahl der Incidents, die von jedem Analysten in der ausgewählten Kategorie im angegebenen Zeitraum geschlossen wurden. Die verwendete Formel ist [Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / nach Monat SUMME +]]/[[Anzahl der Security Agents / nach Monat Durchschnitt +]] |
| Durchschnittliche Security Incident-Lösung | Die durchschnittliche Zeit, die jeder Analysten benötigt, um Security Incidents im angegebenen Zeitraum zu schließen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summierte Dauer der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / nach Monat Durchschnitt +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / nach Monat Durchschnitt +]]) / 24 |
| Durchschnittliches Alter von Security Incidents | Die durchschnittliche Anzahl der Tage, für die Security Incidents für jeden Analysten offen bleiben. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summiertes Alter der offenen Security Incidents > Kategorie der Security Incidents = <category_name> / nach Monat Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Kategorie der Security Incidents = <category_name> / nach Monat Durchschnitt +]]) / 24 |
| Analyse des Security Incident-Backlogs | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum. Wählen Sie eine Option aus der Aufgliederungsliste aus, um den Backlog für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der Security Incidents, die im angegebenen Zeitraum geschlossen wurden. Wählen Sie eine Option aus der Aufgliederungsliste aus, um die Anzahl für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der Security Incidents vergleichen, die zwischen zwei ausgewählten Monaten geschlossen wurden. |
| Alter des Security Incidents | Die durchschnittliche Anzahl von Tagen, die Security Incidents im angegebenen Zeitraum offen bleiben. Wählen Sie eine Option aus der Aufgliederungsliste aus, um das Alter des Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summiertes Alter der offenen Security Incidents > Kategorie von Security Incidents = <category_name> > Sicherheitszuweisungsgruppe = <group_name> / nach Monat Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Kategorie von Security Incidents = <category_name> > Sicherheitszuweisungsgruppe = <group_name> / nach Monat Durchschnitt +]]) / 24 |
| Lösungszeit für Security Incidents | Die durchschnittliche Anzahl der Tage, die für die Lösung von Security Incidents während des angegebenen Zeitraums benötigt wurden. Wählen Sie eine Option aus der Aufgliederungsliste aus, um die Lösungszeit für Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summierte Dauer der geschlossenen Security Incidents > Kategorie der Security Incidents = Schadcode-Aktivität > Sicherheit zugewiesen an = John Ashby / nach Monat Durchschnitt +]]] / [[Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = Schadcode-Aktivität > Sicherheit zugewiesen an = John Ashby / nach Monat Durchschnitt +]]) / 24 |
Registerkarte „Erkennung und Reaktionseffektivität“
| Indikator | Beschreibung |
|---|---|
| Wirklich positive Incidents | Prozentsatz der wirklich positiven Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel ist (1-([[Anzahl der falsch positiven Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]]) * 100 |
| Falsch positive kritische Incidents | Prozentsatz der falsch positiven kritischen Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel ist ([[Anzahl der falsch positiven Security Incidents > Risikopunktzahl für Security Incidents = Kritisches Risiko > Kategorie für Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]]) * 100 Hinweis: Jeder Security Incident, bei dem Geschlossener Code = Ungültige Schwachstelle oder falsch positiv Wird als falsch positiver Incident behandelt |
| Mittlere falsch positive Risikopunktzahl | Durchschnittliche monatliche Risikopunktzahl der geschlossenen Security Incidents, die als falsch positive Incidents identifiziert wurden. Eine niedrigere Risikopunktzahl gibt an, dass die Sicherheitsanalysten weniger Zeit mit der Analyse falsch positiver Incidents verbracht haben. Die verwendete Formel ist ([[Anzahl der falsch positiven Security Incidents > Risikopunktzahl für Security Incidents = Kritisches Risiko > Kategorie für Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität / nach Monat SUMME +]]) * 100 |
| Falsch positive Dauer des Security Incidents | Durchschnittliche Anzahl der Tage, die die Sicherheitsanalysten für die Untersuchung falsch positiver Incidents aufgewendet haben. Die verwendete Formel ist ([[summierte Dauer der falsch positiven Security Incidents]] / [[Anzahl der falsch positiven Security Incidents]]) / 24 |
| Effektivität der Security Incident-Quelle | Prozentsatz der wirklich positiven Security Incidents, die von einer bestimmten Quelle für den angegebenen Zeitraum identifiziert wurden. Die Quelle kann E-Mail, Netzwerkaktivität, Kundensupport usw. sein. Diese Daten helfen bei der Messung der Effektivität der Security Incident-Quelle. Die verwendete Formel ist (1-([[Anzahl der falsch positiven Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität > Quelle von Security Incidents = IDS/IPS / nach Monat SUMME +]]] / [[Anzahl der geschlossenen Security Incidents > Kategorie von Security Incidents = böswillige Codeaktivität > Quelle von Security Incidents = IDS/IPS / nach Monat SUMME +]]]) * 100 |
| Analyse des Quell-Volumens für Security Incidents | Anzahl der geschlossenen Security Incidents für den aktuellen Monat für jede Security Incident-Quelle. Sie können auch die Anzahl der Security Incidents für jeden Quelltyp zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse des Security Incident-Backlogs | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Anzahl der Tage, für die die Incidents offen bleiben. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. Die Formel, die zur Berechnung des durchschnittlichen Backlog-Zeitraums verwendet wird, lautet ([[summiertes Alter der offenen Security Incidents > Kategorie von Security Incidents = Aktivität von böswilligem Code]]/ [[Anzahl der offenen Security Incidents > Kategorie von Security Incidents = Aktivität von böswilligem Code]]) / 24 |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der geschlossenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Lösungszeit für diese Incidents. Die Formel, die zur Berechnung der durchschnittlichen Lösungszeit verwendet wird, beträgt ([[summierte Dauer der geschlossenen Security Incidents > Kategorie der Security Incidents = Aktivität des böswilligen Codes]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = Aktivität des böswilligen Codes]]) / 24 |
Registerkarte „Analyse der Incident-Risikopunktzahl“
| Indikator | Beschreibung |
|---|---|
| Analyse des Gesamtrisikorisikos | Gesamtzahl der offenen Incidents in jeder Risikokategorie (niedrig, Mittel und Kritisch) im angegebenen Zeitraum. Sie können auch die Anzahl der Incidents in den verschiedenen Risikokategorien zwischen zwei Monaten vergleichen. |
| Normalisierte Arbeit von Sicherheitsanalysten nach Risikopunktzahl | Die Gesamtrisikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Dies wird basierend auf der Anzahl der wirklich positiven Security Incidents berechnet, die der Sicherheitsanalyst geschlossen hat. Die verwendete Formel ist [[summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / nach Monat SUMME +]] – [[summierte Risikopunktzahl der falsch positiven Security Incidents > Kategorie der Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / nach Monat SUMME +]]] |
| Arbeit von Sicherheitsanalysten nach durchschnittlicher Risikopunktzahl | Die durchschnittliche Risikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Die verwendete Formel ist [[summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = Schadcode-Aktivität > Sicherheit zugewiesen an = SI-Administrator / nach Monat Durchschnitt +]] – [[summierte Risikopunktzahl der falsch positiven Security Incidents > Kategorie der Security Incidents = Schadcode-Aktivität > Sicherheit zugewiesen an = SI-Administrator / nach Monat Durchschnitt +]] |
Registerkarte „Analyse der Phase des Security Incidents“
Sie können die Anzahl der offenen Incidents an einem bestimmten Tag und den Status (Analyse, Entwurf, Eindämmung, Beseitigung, Wiederherstellung, oder überprüfen) dieser Incidents. In jeder Phase können Sie das durchschnittliche Alter, betroffene CIs, Antwortaufgaben usw. anzeigen. Klicken Sie auf einen Link, um zusätzliche Details oder die Aufgliederung dieser Incidents anzuzeigen.