Tableau de bord Efficience de Security Operations
Les gestionnaires du centre des opérations de sécurité (SOC) peuvent afficher les mesures d’efficacité globales et mesurer les performances individuelles des membres de l’équipe SOC au sein de l’organisation.
Le gestionnaire SOC peut utiliser le tableau de bord Analyse des performances pour améliorer l’efficacité et se faire une idée des performances du SOC dans des domaines généraux et spécifiques au fil du temps.
Onglet Efficacité de l’analyste
Cliquez sur l’un des indicateurs pour l’explorer plus en détail. Par exemple, cliquez sur l’indicateur dans la section Nombre moyen d’incidents de sécurité travaillés par analyste.
Le graphique montre que le nombre d’incidents de sécurité ouverts est passé de 0 en mars à plus de 40 en mai. Notez les données affichées dans l’en-tête :
- Indicateur de tendance : affiche la variation du nombre d’incidents ouverts au cours de la dernière période pour laquelle les données ont été collectées. Ce graphique montre les données pour la période de mars 2019 à mai 2019 et le nombre d’incidents ouverts a augmenté de 19 au mois de mai. L’efficacité des analystes est meilleure si le nombre d’incidents ouverts a diminué au fil du temps.
- Non. des scores : La période pour laquelle les données ont été collectées (mars à mai 2019).
- Somme : nombre de nouveaux incidents ouverts pour la période entre mars et mai.
- Changement : nombre de nouveaux incidents ouverts entre mars et avril.
- Moyenne : nombre moyen d’incidents ouverts par analyste pour la période sélectionnée.
| Indicateur | Description |
|---|---|
| Nombre moyen d’incidents de sécurité travaillés par analyste | Nombre moyen d’incidents de sécurité ouverts par analyste pour la période spécifiée. La formule utilisée est la suivante : [[Nombre d’incidents de sécurité ouverts / MOY par mois +]] / [[Nombre d’agents de sécurité]] |
| Incidents de sécurité fermés par analyste | Nombre total d’incidents fermés par chaque analyste dans la catégorie sélectionnée au cours de la période spécifiée. La formule utilisée est la suivante : [Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = <category_name> / SOMME par mois +]] / [[Nombre d’agents de sécurité / MOY par mois +]] |
| Résolution moyenne des incidents de sécurité | Délai moyen nécessaire à chaque analyste pour fermer les incidents de sécurité au cours de la période spécifiée. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Durée cumulée des incidents de sécurité fermés > catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Âge moyen de l’incident de sécurité | Nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts pour chaque analyste. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le backlog de chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité qui sont fermés au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le nombre de chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité qui ont été fermés entre deux mois sélectionnés. |
| Âge de l’incident de sécurité | Le nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher l’âge de l’incident de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]]) / 24 |
| Délai de résolution des incidents de sécurité | Nombre moyen de jours nécessaires pour résoudre les incidents de sécurité au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le délai de résolution des incidents de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Durée cumulée des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]]) / 24 |
Onglet Efficacité de la détection et de la réponse
| Indicateur | Description |
|---|---|
| Incidents avec de vrais positifs | Pourcentage d’incidents de sécurité vrais positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité du code malveillant / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité du code malveillant / SOMME par mois +]])) * 100 |
| Incidents critiques signalés comme faux positifs | Pourcentage d’incidents de sécurité critiques signalés comme faux positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : ([[Nombre d’incidents de sécurité signalés comme faux positifs > score de risque d’incident de sécurité = risque critique > catégorie d’incident de sécurité = activité du code malveillant / SOMME par mois +]] / [[nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant / SOMME par mois +]]) * 100 Remarque : Tout incident de sécurité dans lequel le code Fermé = Vulnérabilité non valide ou Faux positif est traité comme un incident de faux positif |
| Score moyen de risque de faux positif | Score de risque mensuel moyen des incidents de sécurité fermés qui ont été identifiés comme des incidents de faux positif. Un score de risque plus faible indique que les analystes de sécurité ont passé moins de temps à analyser les incidents signalés comme faux positifs. La formule utilisée est la suivante : ([[Nombre d’incidents de sécurité signalés comme faux positifs > score de risque d’incident de sécurité = risque critique > catégorie d’incident de sécurité = activité du code malveillant / SOMME par mois +]] / [[nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant / SOMME par mois +]]) * 100 |
| Durée de l’incident de sécurité signalé comme faux positif | Nombre moyen de jours que les analystes de sécurité ont consacrés à enquêter sur les incidents signalés comme faux positifs. La formule utilisée est ([[Durée cumulée des incidents de sécurité signalés comme faux positifs]] / [[Nombre d’incidents de sécurité signalés comme faux positifs]]) / 24 |
| Efficacité des sources d’incidents de sécurité | Pourcentage d’incidents de sécurité vrais positifs identifiés par une source spécifique pour la période spécifiée. La source peut être un e-mail, une activité réseau, le support client, etc. Ces données permettent de mesurer l’efficacité de la source d’incident de sécurité. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité du code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité du code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]])) * 100 |
| Analyse du volume source des incidents de sécurité | Nombre d’incidents de sécurité fermés pour le mois en cours pour chaque source d’incident de sécurité. Vous pouvez également comparer le nombre d’incidents de sécurité pour chaque type de source entre deux mois sélectionnés. |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée et nombre moyen de jours pendant lesquels les incidents restent ouverts. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. La formule utilisée pour calculer la période de backlog moyenne est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité du code malveillant]] / [[Nombre d’incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité du code malveillant]]) / 24 |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité fermés au cours de la période spécifiée et délai de résolution moyen de ces incidents. La formule utilisée pour calculer le délai de résolution moyen est la suivante : ([[durée cumulée des incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant]] / [[nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant]]) / 24 |
Onglet Analyse du score de risque d’incident
| Indicateur | Description |
|---|---|
| Analyse totale de l’exposition au risque | Nombre total d’incidents ouverts dans chaque catégorie de risque (faible, modéré et critique) au cours de la période spécifiée. Vous pouvez également comparer le nombre d’incidents dans les différentes catégories de risque entre deux mois. |
| Travail d’analyste de sécurité normalisé par score de risque | Score de risque total de chaque analyste de sécurité pour la période spécifiée. Cette valeur est calculée sur la base du nombre d’incidents de sécurité vrais positifs que l’analyste de sécurité a fermés. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] - [[Score de risque cumulé des incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] |
| Travail d’analyste de sécurité par score de risque moyen | Score de risque moyen de chaque analyste de sécurité pour la période spécifiée. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] - [[Score de risque cumulé d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] |
Onglet Analyse de l’étape de l’incident de sécurité
Vous pouvez afficher le nombre d’incidents ouverts sur un jour spécifique et leur état (analyse, brouillon, contenir, éradiquer, récupérer ou examiner) de ces incidents. À chaque étape, vous pouvez afficher l’âge moyen, les CI affectés, les tâches de réponse, etc. Cliquez sur un lien pour afficher des détails supplémentaires ou la répartition de ces incidents.