Dashboard „Effizienz von Sicherheitsvorgängen“.
SOC-Manager (Security Operations Center) können allgemeine Effizienzmetriken anzeigen und die individuelle Leistung der SOC-Teammitglieder in der Organisation messen.
SOC-Manager können das Performance Analytics-Dashboard verwenden, um die Effizienz zu verbessern und sich ein Bild von der Leistung von SOC in allgemeinen und spezifischen Bereichen im Laufe der Zeit zu machen.
Registerkarte „Analysteneffizienz“.
Klicken Sie auf einen der Indikatoren, um weitere Details anzuzeigen. Klicken Sie beispielsweise auf den Indikator im Abschnitt Durchschnittliche pro Analyst bearbeitete Security Incidents.
Das Diagramm zeigt, dass die Anzahl der offenen Security Incidents von 0 im März auf über 40 im Mai gestiegen ist. Beachten Sie die im Header angezeigten Daten:
- Trendindikator: Zeigt die Änderung der Anzahl offener Incidents im letzten Zeitraum an, für den die Daten erfasst wurden. Dieses Diagramm zeigt Daten für den Zeitraum März 2019 bis Mai 2019, und die Anzahl der offenen Incidents ist im Mai um 19 gestiegen. Die Effizienz der Analysten ist besser, wenn die Anzahl der offenen Incidents im Laufe der Zeit abgenommen hat.
- Anzahl der Punktzahlen: Der Zeitraum, für den die Daten gesammelt wurden (März bis Mai 2019).
- Summe: Die Anzahl der neuen offenen Incidents im Zeitraum zwischen März und Mai.
- Change: Die Anzahl der neuen offenen Incidents zwischen März und April.
- Durchschnitt: Die durchschnittliche Anzahl offener Incidents pro Analyst für den ausgewählten Zeitraum.
| Indikator | Beschreibung |
|---|---|
| Durchschnittliche Anzahl der pro Analyst bearbeiteten Security Incidents | Durchschnittliche Anzahl der offenen Security Incidents pro Analyst für den angegebenen Zeitraum. Die verwendete Formel lautet [[Anzahl der offenen Security Incidents / Pro Monat - Durchschnitt +]]/[[Anzahl der Security-Service Desk-Mitarbeiter]] |
| Geschlossene Security Incidents pro Analyst | Die Gesamtzahl der Incidents, die von jedem Analysten in der ausgewählten Kategorie im angegebenen Zeitraum geschlossen wurden. Die verwendete Formel lautet [Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie =“.<category_name> / Pro Monat SUM +]]/[[Anzahl der Security-Service Desk-Mitarbeiter / Pro Monat - Durchschnitt +]] |
| Durchschnittliche Lösung von Security Incidents | Die durchschnittliche Zeit, die jeder Analyst benötigt, um Security Incidents im angegebenen Zeitraum zu schließen. Die Formel zum Anzeigen des Ergebnisses in Tagen lautet ([[Summierte Dauer der geschlossenen Security Incidents > Security Incident-Kategorie =<category_name> / Pro Monat - Durchschnitt +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = / Pro Monat - Durchschnitt +]]) / 24 |
| Durchschnittliches Alter von Security Incidents | Die durchschnittliche Anzahl von Tagen, für die Security Incidents für jeden Analysten offen bleiben. Die Formel zum Anzeigen des Ergebnisses in Tagen lautet ([[Summiertes Alter der offenen Security Incidents > Security Incident-Kategorie =<category_name> / Pro Monat - Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Security Incident-Kategorie = / Pro Monat - Durchschnitt +]]) / 24 |
| Rückstandanalyse von Security Incidents | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum. Wählen Sie eine Option aus der Liste Aufgliederung aus, um den Rückstand für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der Security Incidents, die im angegebenen Zeitraum geschlossen wurden. Wählen Sie eine Option aus der Liste Aufgliederung aus, um die Anzahl für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Sie können auch die Anzahl der Security Incidents vergleichen, die in zwei ausgewählten Monaten geschlossen wurden. |
| Security Incident-Alter | Die durchschnittliche Anzahl der offenen Tage für Security Incidents im angegebenen Zeitraum. Wählen Sie eine Option aus der Liste Aufgliederung aus, um das Alter der Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel zum Anzeigen des Ergebnisses in Tagen lautet ([[Summiertes Alter der offenen Security Incidents > Security Incident-Kategorie =<category_name> > Sicherheitszuweisungsgruppe =<group_name> / Pro Monat - Durchschnitt +]]/ [[Anzahl der offenen Security Incidents > Security Incident-Kategorie = > Sicherheitszuweisungsgruppe = / Pro Monat - Durchschnitt +]]) / 24 |
| Lösungszeit für Security Incidents | Die durchschnittliche Anzahl von Tagen, die für die Lösung von Security Incidents während des angegebenen Zeitraums benötigt wurden. Wählen Sie eine Option aus der Liste Aufgliederung aus, um die Lösungszeit für Security Incidents für jeden Analysten, jede Sicherheitsgruppe, jede Priorität usw. anzuzeigen. Die Formel, die verwendet wird, um das Ergebnis in Tagen anzuzeigen, lautet ([[Summierte Dauer der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität > Sicherheit zugewiesen an = Johnashby / Pro Monat - Durchschnitt +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität > Sicherheit zugewiesen an = John Shaby / Pro Monat - Durchschnitt +]]) / 24 |
Registerkarte „Erkennungs- und Antworteffektivität“
| Indikator | Beschreibung |
|---|---|
| Richtig positive Incidents | Prozentsatz der wirklich positiven Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel lautet (1-([[Anzahl der falsch positiven Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität / Pro Monat SUM +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität / Pro Monat SUMME +]])) * 100 |
| Falsch positive kritische Incidents | Prozentsatz der falsch positiven kritischen Security Incidents in der ausgewählten Kategorie für den angegebenen Zeitraum. Die verwendete Formel lautet ([[Anzahl der falsch positiven Security Incidents > Security Incident-Risikopunktzahl = Kritisches Risiko > Security Incident-Kategorie = Böswillige Codeaktivität / Pro Monat SUM +]]/[[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillig“. Codeaktivität / Pro Monat SUM +]]) * 100 Hinweis: Alle Security Incidents, bei denen der Geschlossen-Code = Ungültige Schwachstelle oder Falsch positive Werte als falsch positive Incidents behandelt werden |
| Mittlere falsch positive Risikopunktzahl | Durchschnittliche monatliche Risikopunktzahl geschlossener Security Incidents, die als falsch positive Incidents identifiziert wurden Eine niedrigere Risikopunktzahl zeigt an, dass die Sicherheitsanalysten weniger Zeit für die Analyse falsch positiver Incidents aufgewendet haben. Die verwendete Formel lautet ([[Anzahl der falsch positiven Security Incidents > Security Incident-Risikopunktzahl = Kritisches Risiko > Security Incident-Kategorie = Böswillige Codeaktivität / Pro Monat SUM +]]/[[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillig“. Codeaktivität / Pro Monat SUM +]]) * 100 |
| Dauer des falsch positiven Security Incidents | Durchschnittliche Anzahl der Tage, die Sicherheitsanalysten für die Untersuchung falsch positiver Incidents aufgewendet haben. Die verwendete Formel lautet ([[Summierte Dauer der falsch positiven Security Incidents]] / [[Anzahl der falsch positiven Security Incidents]]) / 24 |
| Effektivität der Security Incident-Quelle | Prozentsatz der wirklich positiven Security Incidents, die von einer bestimmten Quelle für den angegebenen Zeitraum identifiziert wurden. Die Quelle kann E-Mail, Netzwerkaktivität, Kundensupport usw. sein. Anhand dieser Daten kann die Effektivität der Security Incident-Quelle gemessen werden. Die verwendete Formel lautet (1-([[Anzahl der falsch positiven Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität > Security Incident-Quelle = IDS/IPS / Pro Monat SUM +]] / [[Anzahl der geschlossenen Security Incidents > Security Incident Kategorie = Böswillige Codeaktivität > Security Incident Source = IDS/IPS / Pro Monat SUM +]])) * 100 |
| Quellvolumenanalyse des Security Incident | Anzahl der geschlossenen Security Incidents für den aktuellen Monat für jede Security Incident-Quelle. Sie können auch die Anzahl der Security Incidents für jeden Quelltyp zwischen zwei ausgewählten Monaten vergleichen. |
| Rückstandanalyse von Security Incidents | Die Gesamtzahl der offenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Anzahl von Tagen, für die die Incidents offen bleiben. Sie können auch die Anzahl der offenen Security Incidents zwischen zwei ausgewählten Monaten vergleichen. Die Formel zur Berechnung des durchschnittlichen Rückstandszeitraums lautet ([[Summiertes Alter offener Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität]]/[[Anzahl offener Security Incidents > Security Incident-Kategorie = Böswillige Code-Aktivität]]) / 24 |
| Analyse geschlossener Security Incidents | Die Gesamtzahl der geschlossenen Security Incidents im angegebenen Zeitraum und die durchschnittliche Lösungszeit für diese Incidents. Die Formel zur Berechnung der durchschnittlichen Lösungszeit lautet ([[Summierte Dauer der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität]] / [[Anzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität]]) / 24 |
Registerkarte „Analyse der Incident-Risikopunktzahl“
| Indikator | Beschreibung |
|---|---|
| Analyse des Gesamtrisikos des Gefahrenpotenzials | Gesamtzahl der offenen Incidents in jeder Risikokategorie (niedrig, mittel und kritisch) im angegebenen Zeitraum. Sie können auch die Anzahl der Incidents in den verschiedenen Risikokategorien zwischen zwei Monaten vergleichen. |
| Normalisierte Arbeit von Sicherheitsanalysten nach Risikopunktzahl | Die Gesamtrisikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Dies wird basierend auf der Anzahl der echten positiven Security Incidents berechnet, die der Sicherheitsanalyst geschlossen hat. Die verwendete Formel lautet [[Summierte Risikopunktzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / Pro Monat SUM +]] - [[Summierte Risikopunktzahl der falsch-positiven Security Incidents > Security Incident-Kategorie“. = Böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / Pro Monat SUM +]] |
| Sicherheitsanalysten arbeiten nach durchschnittlicher Risikopunktzahl | Die durchschnittliche Risikopunktzahl für jeden Sicherheitsanalysten für den angegebenen Zeitraum. Die verwendete Formel lautet [[Summierte Risikopunktzahl der geschlossenen Security Incidents > Security Incident-Kategorie = Böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / Pro Monat - Durchschnitt +]] - [[Summierte Risikopunktzahl der falsch-positiven Security Incidents > Security Incident-Kategorie“. = Böswillige Codeaktivität > Sicherheit zugewiesen an = SI-Administrator / Pro Monat - Durchschnitt +]] |
Registerkarte „Security Incident-Phasenanalyse“
Sie können die Anzahl der offenen Incidents an einem bestimmten Tag und den Status (Analyse, Entwurf, Eindämmen, Beseitigen, Wiederherstellen oder Überprüfen) dieser Incidents anzeigen. In jeder Phase können Sie das durchschnittliche Alter, betroffene CIs, Antwortaufgaben usw. anzeigen. Klicken Sie auf einen Link, um zusätzliche Details oder die Aufgliederung dieser Incidents anzuzeigen.