Effizienz von Security Operations-Dashboard
SOC-Manager (Security Operations Center) können allgemeine Effizienzmetriken anzeigen und die individuelle Leistung der SOC-Teammitglieder in der Organisation messen.
Der SOC-Manager kann das Performance Analytics-Dashboard verwenden, um die Effizienz zu verbessern und sich ein Bild von der Leistung von SOC in allgemeinen und spezifischen Bereichen im Laufe der Zeit zu machen.
Registerkarte „Analysteneffizienz“.
Klicken Sie auf einen der Indikatoren, um einen Drilldown für weitere Details durchzuführen. Klicken Sie beispielsweise auf den Indikator im Abschnitt Durchschnittliche bearbeitete Security Incidents pro Analyst.
Das Diagramm zeigt, dass die Anzahl der offenen Security Incidents von 0 im März auf über 40 im Mai gestiegen ist. Beachten Sie die im Header angezeigten Daten:
- Trendindikator: Zeigt die Änderung der Anzahl der offenen Incidents im letzten Zeitraum an, für den die Daten gesammelt wurden. Dieses Diagramm zeigt Daten für den Zeitraum März 2019 bis Mai 2019, wobei die Anzahl der offenen Incidents im Monat Mai um 19 gestiegen ist. Die Effizienz der Analysten ist besser, wenn die Anzahl der offenen Incidents im Laufe der Zeit abgenommen hat.
- Anzahl der Punktzahlen: Der Zeitraum, für den die Daten gesammelt wurden (März bis Mai 2019).
- Summe: Anzahl der neuen offenen Incidents für den Zeitraum zwischen März und Mai.
- Change: Anzahl der neuen offenen Incidents zwischen März und April
- Durchschnitt: Die durchschnittliche Anzahl der offenen Incidents pro Analyst für den ausgewählten Zeitraum.
| Indikator | Beschreibung |
|---|---|
| Durchschnittliche bearbeitete Security Incidents pro Analyst | Durchschnittliche Anzahl der offenen Security Incidents pro Analyst für den angegebenen Zeitraum. Die verwendete Formel lautet [[Anzahl der offenen Security Incidents / Pro Monat - Durchschnitt +]]/[[Anzahl der Sicherheitsmitarbeiter]] |
| Geschlossene Security Incidents pro Analyst | Gesamtzahl der Incidents, die von jedem Analysten in der ausgewählten Kategorie im angegebenen Zeitraum geschlossen wurden. Die verwendete Formel lautet [Anzahl der geschlossenen Security Incidents > Kategorie des Security Incidents =“.<category_name> /Pro Monat - Summe +]]/[[Anzahl der Sicherheitsmitarbeiter/Pro Monat - Durchschnitt +]] |
| Durchschnittliche Lösung von Security Incidents | Die durchschnittliche Zeit, die jeder Analyst benötigt, um Security Incidents im angegebenen Zeitraum zu schließen. Die Formel für die Anzeige des Ergebnisses in Tagen lautet ([[Summierte Dauer der geschlossenen Security Incidents > Kategorie des Security Incident =<category_name> / Pro Monat - Durchschnitt +]] / [[Anzahl geschlossener Security Incidents > Security Incident-Kategorie = / Pro Monat - Durchschnitt +]]) / 24 |
| Durchschnittliches Alter der Security Incidents | Die durchschnittliche Anzahl von Tagen, für die Security Incidents für jeden Analysten offen bleiben. Die Formel für die Anzeige des Ergebnisses in Tagen lautet ([[Summiertes Alter der offenen Security Incidents > Security Incident-Kategorie =<category_name> / Pro Monat - Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Kategorie von Security Incidents = / Pro Monat - Durchschnitt +]]) / 24 |
| Analyse des Security Incident-Backlogs | Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum. Wählen Sie eine Option aus der Liste „Aufgliederung“ aus, um das Backlog für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse eines geschlossenen Security Incidents | Gesamtzahl der Security Incidents, die im angegebenen Zeitraum geschlossen wurden. Wählen Sie eine Option aus der Liste „Aufgliederung“ aus, um die Anzahl für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der Security Incidents vergleichen, die zwischen zwei ausgewählten Monaten geschlossen wurden. |
| Alter des Security Incidents | Die durchschnittliche Anzahl der Tage, an denen Security Incidents im angegebenen Zeitraum offen bleiben. Wählen Sie eine Option aus der Liste „Aufgliederung“ aus, um das Alter der Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel für die Anzeige des Ergebnisses in Tagen lautet ([[Summiertes Alter der offenen Security Incidents > Security Incident-Kategorie =<category_name> > Sicherheitszuweisungsgruppe =<group_name> / Pro Monat - Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Kategorie von Security Incidents = > Sicherheitszuweisungsgruppe = / Pro Monat - Durchschnitt +]]) / 24 |
| Lösungszeit für Security Incident | Die durchschnittliche Anzahl von Tagen, die für die Lösung von Security Incidents im angegebenen Zeitraum benötigt wurden. Wählen Sie eine Option aus der Liste „Aufgliederung“ aus, um die Lösungszeit für Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel zum Anzeigen des Ergebnisses in Tagen lautet ([[Summierte Dauer der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Code-Aktivität > Sicherheit zugewiesen = John Asby / Pro Monat - Durchschnitt +]] / [[Anzahl geschlossener Security Incidents >). Kategorie des Security Incidents = Böswillige Code-Aktivität > Sicherheit zugewiesen an = John Asby / Pro Monat - Durchschnitt +]]) / 24 |
Registerkarte „Erkennung und Antworteffektivität“.
| Indikator | Beschreibung |
|---|---|
| Richtig positive Incidents | Prozentsatz der wirklich positiven Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel lautet (1-([[Anzahl der falsch positiven Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität / Pro Monat - Summe +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität / Pro Monat Summe +]])) * 100 |
| Falsch positive kritische Incidents | Prozentsatz der falsch positiven kritischen Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel lautet ([[Anzahl der falsch positiven Security Incidents > Risikopunktzahl des Security Incident = Kritisches Risiko > Kategorie des Security Incident = Böswillige Codeaktivität / Pro Monat - Summe +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillig Codeaktivität / Pro Monat - Summe +]]) * 100 Hinweis: Jeder Security Incident, bei dem der geschlossene Code = Ungültige Schwachstelle oder Falsch positiv ist, wird als falsch positiver Incident behandelt |
| Mittlere falsch positive Risikopunktzahl | Durchschnittliche monatliche Risikopunktzahl der geschlossenen Security Incidents, die als falsch positive Incidents identifiziert wurden. Eine niedrigere Risikopunktzahl zeigt an, dass die Sicherheitsanalysten weniger Zeit für die Analyse falsch positiver Incidents aufgewendet haben. Die verwendete Formel lautet ([[Anzahl der falsch positiven Security Incidents > Risikopunktzahl des Security Incident = Kritisches Risiko > Kategorie des Security Incident = Böswillige Codeaktivität / Pro Monat - Summe +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillig Codeaktivität / Pro Monat - Summe +]]) * 100 |
| Dauer der falsch positiven Security Incidents | Durchschnittliche Anzahl der Tage, die Sicherheitsanalysten mit der Untersuchung falsch positiver Incidents verbracht haben. Die verwendete Formel lautet ([[Summierte Dauer der falsch positiven Security Incidents]]/[[Anzahl der falsch positiven Security Incidents]])/24 |
| Effektivität der Security Incident-Quelle | Prozentsatz der wirklich positiven Security Incidents, die von einer bestimmten Quelle für den angegebenen Zeitraum identifiziert wurden. Die Quelle kann E-Mail, Netzwerkaktivität,Kundensupport usw. sein. Mit diesen Daten kann die Effektivität der Quelle des Security Incident gemessen werden. Die verwendete Formel lautet (1-([[Anzahl der falsch positiven Security Incidents > Kategorie des Security Incidents = Böswillige Codeaktivität > Quelle des Security Incidents = IDS/IPS / Pro Monat - Summe +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident Kategorie = Böswillige Code-Aktivität > Quelle des Security Incidents = IDS/IPS / Pro Monat - Summe +]])) * 100 |
| Analyse des Quellvolumens des Security Incidents | Anzahl der geschlossenen Security Incidents für den aktuellen Monat für jede Security Incident-Quelle. Sie können auch die Anzahl der Security Incidents für jeden Quelltyp zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse des Security Incident-Backlogs | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Anzahl der Tage, für die die Incidents offen bleiben. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. Die zur Berechnung des durchschnittlichen Backlog-Zeitraums verwendete Formel lautet ([[Summiertes Alter der offenen Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität]]/[[Anzahl der offenen Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität]])/24 |
| Analyse eines geschlossenen Security Incidents | Die Gesamtzahl der geschlossenen Security Incidents im angegebenen Zeitraum sowie die durchschnittliche Lösungszeit für diese Incidents. Die zur Berechnung der durchschnittlichen Lösungszeit verwendete Formel lautet ([[Summierte Dauer der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillige Codeaktivität]]) / 24 |
Registerkarte „Analyse der Incident-Risikopunktzahl“
| Indikator | Beschreibung |
|---|---|
| Analyse des Gesamtrisikos des Gefahrenpotenzials | Gesamtzahl der offenen Incidents in jeder Risikokategorie (niedrig, mittel und kritisch) im angegebenen Zeitraum. Sie können auch die Anzahl der Incidents in den verschiedenen Risikokategorien zwischen zwei Monaten vergleichen. |
| Normalisierte Sicherheitsanalystenarbeit nach Risikopunktzahl | Gesamtrisikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Dies wird basierend auf der Anzahl der richtig positiven Security Incidents berechnet, die der Sicherheitsanalyst geschlossen hat. Die verwendete Formel lautet [[Summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie des Security Incident = Böswillige Code-Aktivität > Sicherheit zugewiesen = SI-Administrator / Pro Monat SUMME +]] - [[Summierte Risikopunktzahl der falsch-positiven Security Incidents > Kategorie des Security Incidents“. = Böswillige Code-Aktivität > Sicherheit zugewiesen = SI-Administrator / Pro Monat - Summe +]] |
| Sicherheitsanalysten arbeiten nach durchschnittlicher Risikopunktzahl | Die durchschnittliche Risikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Die verwendete Formel lautet [[Summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = Böswillige Code-Aktivität > Sicherheit zugewiesen = SI-Administrator / Pro Monat - Durchschnitt +]] - [[Summierte Risikopunktzahl der falsch-positiven Security Incidents > Kategorie des Security Incidents“. = Böswillige Code-Aktivität > Sicherheit zugewiesen an = SI-Administrator / Pro Monat - Durchschnitt +]] |
Registerkarte „Phasenanalyse des Security Incidents“.
Sie können die Anzahl der offenen Incidents an einem bestimmten Tag und den Status (Analyse, Entwurf, Eindämmen, Löschen, Wiederherstellen oder Überprüfen) dieser Incidents anzeigen. In jeder Phase können Sie das Durchschnittsalter, betroffene CIs, Antwortaufgaben usw. anzeigen. Klicken Sie auf einen Link, um zusätzliche Details oder die Aufgliederung dieser Incidents anzuzeigen.