Dashboard „Effizienz von Security Operations“
Manager des Security Operations Center (SOC) können allgemeine Effizienzmetriken anzeigen und die individuelle Leistung der SOC-Teammitglieder in der Organisation messen.
Der SOC-Manager kann das Performance Analytics-Dashboard verwenden, um die Effizienz zu verbessern und ein Bild davon zu entwickeln, wie SOC im Laufe der Zeit sowohl in allgemeinen als auch in bestimmten Bereichen abschneidet.
Registerkarte „Effizienz der Analysten“
Klicken Sie auf einen der Indikatoren, um weitere Details anzuzeigen. Klicken Sie beispielsweise im Abschnitt Durchschnittliche pro Analysten gearbeitete Security Incidents auf den Indikator.
Das Diagramm zeigt, dass die Anzahl der offenen Security Incidents von 0 im März auf über 40 im Mai gestiegen ist. Beachten Sie die im Header angezeigten Daten:
- Trendindikator: Zeigt die Änderung der Anzahl der offenen Incidents im letzten Zeitraum an, für den die Daten erfasst wurden. Dieses Diagramm zeigt Daten für den Zeitraum März 2019 bis Mai 2019, und die Anzahl der offenen Incidents ist im Mai um 19 gestiegen. Die Effizienz der Analysten ist besser, wenn die Anzahl der offenen Incidents über einen bestimmten Zeitraum abgenommen hat.
- Anzahl der Punktzahlen: Der Zeitraum, für den die Daten erfasst wurden (März bis Mai 2019).
- Summe: Die Anzahl der neuen offenen Incidents für den Zeitraum zwischen März und Mai.
- Change: Die Anzahl der neuen offenen Incidents zwischen März und April.
- Durchschnitt: Die durchschnittliche Anzahl offener Incidents pro Analyst für den ausgewählten Zeitraum.
| Indikator | Beschreibung |
|---|---|
| Durchschnittliche pro Analyst bearbeitete Security Incidents | Durchschnittliche Anzahl offener Security Incidents pro Analyst für den angegebenen Zeitraum. Die verwendete Formel ist [[Anzahl der offenen Security Incidents / pro Monat – Durchschnitt +]]/[[Anzahl der Security Agents]] |
| Geschlossene Security Incidents pro Analyst | Die Gesamtzahl der Incidents, die von jedem Analyst in der ausgewählten Kategorie im angegebenen Zeitraum geschlossen wurden. Die verwendete Formel ist [Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / pro Monat SUMME +]]/[[Anzahl der Security Agents / pro Monat Durchschnitt +]] |
| Durchschnittliche Security Incident-Lösung | Die durchschnittliche Zeit, die jeder Analyst im angegebenen Zeitraum benötigt, um Security Incidents zu schließen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summierte Dauer der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / pro Monat Durchschnitt +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = <category_name> / pro Monat Durchschnitt +]]) / 24 |
| Durchschnittliches Alter von Security Incidents | Die durchschnittliche Anzahl der Tage, für die Security Incidents für jeden Analysten offen bleiben. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summiertes Alter der offenen Security Incidents > Security Incident-Kategorie = <category_name> / pro Monat Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Security Incident-Kategorie = <category_name> / pro Monat Durchschnitt +]]) / 24 |
| Analyse des Security Incident-Backlogs | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum. Wählen Sie eine Option aus der Aufgliederungsliste aus, um den Backlog für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der Security Incidents, die im angegebenen Zeitraum geschlossen wurden. Wählen Sie eine Option aus der Aufgliederungsliste aus, um die Anzahl für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der Security Incidents vergleichen, die zwischen zwei ausgewählten Monaten geschlossen wurden. |
| Alter des Security Incidents | Die durchschnittliche Anzahl von Tagen, die Security Incidents im angegebenen Zeitraum offen bleiben. Wählen Sie eine Option aus der Aufgliederungsliste aus, um das Alter von Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summiertes Alter der offenen Security Incidents > Security Incident-Kategorie = <category_name> > Sicherheitszuweisungsgruppe = <group_name> / nach Monat Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Security Incident-Kategorie = <category_name> > Sicherheitszuweisungsgruppe = <group_name> / nach Monat Durchschnitt +]]) / 24 |
| Lösungszeit für Security Incidents | Die durchschnittliche Anzahl der Tage, die für die Lösung von Security Incidents während des angegebenen Zeitraums benötigt werden. Wählen Sie eine Option aus der Aufgliederungsliste aus, um die Lösungszeit für Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel, die zum Anzeigen des Ergebnisses in Tagen verwendet wird, ist ([[summierte Dauer der geschlossenen Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen an = John Ashby / pro Monat Durchschnitt +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen an = John Ashby / nach Monat Durchschnitt +]]) / 24 |
Registerkarte „Erkennung und Effektivität der Reaktion“
| Indikator | Beschreibung |
|---|---|
| Wirklich positive Incidents | Prozentsatz der wirklich positiven Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel ist (1-([[Anzahl der falsch positiven Security Incidents > Kategorie der Security Incidents = böswillige Codeaktivität / pro Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Kategorie der Security Incidents = böswillige Codeaktivität / pro Monat SUMME +]]) * 100 |
| Falsch positive kritische Incidents | Prozentsatz der falsch positiven kritischen Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel ist ([[Anzahl der falsch positiven Security Incidents > Security Incident-Risikopunktzahl = Kritisches Risiko > Security Incident-Kategorie = böswillige Codeaktivität / pro Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = böswillige Codeaktivität / pro Monat SUMME +]]) * 100 Hinweis: Alle Security Incidents, bei denen Geschlossener Code = Ungültige Schwachstelle oder falsch positiv Wird als falsch positiver Incident behandelt |
| Mittlere falsch positive Risikopunktzahl | Durchschnittliche monatliche Risikopunktzahl der geschlossenen Security Incidents, die als falsch positive Incidents identifiziert wurden. Eine niedrigere Risikopunktzahl gibt an, dass die Sicherheitsanalysten weniger Zeit mit der Analyse falsch positiver Incidents verbracht haben. Die verwendete Formel ist ([[Anzahl der falsch positiven Security Incidents > Security Incident-Risikopunktzahl = Kritisches Risiko > Security Incident-Kategorie = böswillige Codeaktivität / pro Monat SUMME +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = böswillige Codeaktivität / pro Monat SUMME +]]) * 100 |
| Dauer des falsch positiven Security Incidents | Durchschnittliche Anzahl der Tage, die die Sicherheitsanalysten für die Untersuchung falsch positiver Incidents aufgewendet haben. Die verwendete Formel ist ([[summierte Dauer falsch positiver Security Incidents]] / [[Anzahl falsch positiver Security Incidents]]) / 24 |
| Effektivität der Security Incident-Quelle | Prozentsatz der wirklich positiven Security Incidents, die von einer bestimmten Quelle für den angegebenen Zeitraum identifiziert wurden. Die Quelle kann E-Mail, Netzwerkaktivität, Kundensupport usw. sein. Diese Daten helfen bei der Messung der Effektivität der Security Incident-Quelle. Die verwendete Formel ist (1-([[Anzahl der falsch positiven Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Quelle des Security Incidents = IDS/IPS / pro Monat SUMME +]]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Quelle des Security Incidents = IDS/IPS / pro Monat SUMME +]]) * 100 |
| Analyse des Quell-Volumes für Security Incidents | Anzahl der geschlossenen Security Incidents für den aktuellen Monat für jede Security Incident-Quelle. Sie können auch die Anzahl der Security Incidents für jeden Quelltyp zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse des Security Incident-Backlogs | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Anzahl der Tage, für die die Incidents offen bleiben. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. Die Formel, die zur Berechnung des durchschnittlichen Backlog-Zeitraums verwendet wird, lautet ([[summiertes Alter der offenen Security Incidents > Security Incident-Kategorie = böswillige Codeaktivität]]/ [[Anzahl offener Security Incidents > Security Incident-Kategorie = böswillige Codeaktivität]]) / 24 |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der geschlossenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Lösungszeit für diese Incidents. Die Formel, die zur Berechnung der durchschnittlichen Lösungszeit verwendet wird, beträgt ([[summierte Dauer der geschlossenen Security Incidents > Kategorie des Security Incidents = schädliche Codeaktivität]] / [[Anzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = schädliche Codeaktivität]]) / 24 |
Registerkarte Analyse der Incident-Risikopunktzahl
| Indikator | Beschreibung |
|---|---|
| Analyse des Gesamtrisikorisikos | Gesamtzahl der offenen Incidents in jeder Risikokategorie (niedrig, Mittel und Kritisch) im angegebenen Zeitraum. Sie können auch die Anzahl der Incidents in den verschiedenen Risikokategorien zwischen zwei Monaten vergleichen. |
| Normalisierte Arbeit von Sicherheitsanalysten nach Risikopunktzahl | Die Gesamtrisikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Dies wird basierend auf der Anzahl der wirklich positiven Security Incidents berechnet, die der Sicherheitsanalyst geschlossen hat. Die verwendete Formel ist [[summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen = SI-Administrator / pro Monat SUMME +]] - [[summierte Risikopunktzahl der falsch positiven Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen = SI-Administrator / pro Monat SUMME +]]] |
| Arbeit von Sicherheitsanalysten nach durchschnittlicher Risikopunktzahl | Die durchschnittliche Risikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Die verwendete Formel ist [[summierte Risikopunktzahl der geschlossenen Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen = SI-Administrator / pro Monat Durchschnitt +]] - [[summierte Risikopunktzahl der falsch positiven Security Incidents > Kategorie des Security Incidents = böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / pro Monat Durchschnitt +]]] |
Registerkarte „Analyse der Security Incident-Phase“
Sie können die Anzahl der offenen Incidents an einem bestimmten Tag und den Status (Analyse, Entwurf, Eindämmung, Beseitigung, Wiederherstellung, oder überprüfen) dieser Incidents. In jeder Phase können Sie durchschnittliches Alter, betroffene CIs, Antwortaufgaben usw. anzeigen. Klicken Sie auf einen Link, um zusätzliche Details oder die Aufgliederung dieser Incidents anzuzeigen.