Painel de Eficiência de operações de segurança
Os gerentes do Centro de operações de segurança (SOC) podem exibir métricas gerais de eficiência e medir o desempenho individual dos membros da equipe de SOC na organização.
O gerente de SOC pode usar o painel Análise de desempenho para melhorar a eficiência e desenvolver uma imagem de como o SOC está se saindo em áreas gerais e específicas ao longo do tempo.
Guia Eficiência do analista
Clique em qualquer um dos indicadores para detalhar mais detalhes. Por exemplo, clique no indicador na seção Média de incidentes de segurança trabalhados por analista.
O gráfico mostra que o número de incidentes de segurança em aberto aumentou de 0 em março para mais de 40 em maio. Observe os dados exibidos no cabeçalho:
- Indicador de tendência: Mostra a mudança no número de incidentes em aberto no último período para o qual os dados foram coletados. Este gráfico mostra dados do período de março de 2019 a maio de 2019 e o número de incidentes em aberto aumentou 19 no mês de maio. A eficiência do analista será melhor se o número de incidentes em aberto diminuir ao longo de um período de tempo.
- Número de pontuações: O período para o qual os dados foram coletados (março a maio de 2019).
- Soma: O número de novos incidentes em aberto para o período entre março e maio.
- Mudança: O número de novos incidentes em aberto entre março e abril.
- Média: O número médio de incidentes em aberto por analista para o período selecionado.
| Indicador | Descrição |
|---|---|
| Média de incidentes de segurança trabalhados por analista | Número médio de incidentes de segurança em aberto por analista no período especificado. A fórmula usada é [[Número de incidentes de segurança em aberto/Média por mês]]/[[Número de agentes de segurança]] |
| Incidentes de segurança encerrados por analista | O número total de incidentes encerrados por cada analista na categoria selecionada no período especificado. A fórmula usada é [Número de incidentes de segurança encerrados > Categoria de incidente de segurança: <category_name> / SOMA mensal >]/[[Número de agentes de segurança / Média mensal >]] |
| Resolução média de incidentes de segurança | O tempo médio gasto por cada analista para encerrar incidentes de segurança no período especificado. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração de incidentes de segurança encerrados > Categoria de incidente de segurança: <category_name>/Média mensal]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: <category_name>/Média mensal]]) / 24 |
| Idade média do incidente de segurança | O número médio de dias durante os quais os incidentes de segurança permanecem abertos para cada analista. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name>/Média por mês]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name>/Média por mês]]) / 24 |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado. Selecione uma opção na lista de detalhamento para exibir o backlog de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. |
| Análise de incidente de segurança encerrada | O número total de incidentes de segurança encerrados no período especificado. Selecione uma opção na lista de detalhamento para exibir a contagem de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança que foram encerrados entre dois meses selecionados. |
| Idade do incidente de segurança | O número médio de dias dos incidentes de segurança que permanecem em aberto no período especificado. Selecione uma opção na lista de detalhamento para exibir a idade do incidente de segurança de cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> > Grupo de atribuição de segurança: <group_name> / Média por mês]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: <category_name> > Grupo de atribuição de segurança: <group_name> / Média por mês]]) / 24 |
| Tempo de resolução do incidente de segurança | O número médio de dias necessários para resolver incidentes de segurança durante o período especificado. Selecione uma opção na lista de detalhamento para exibir o tempo de resolução do incidente de segurança de cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração de incidentes de segurança encerrados > Categoria de incidente de segurança atividade de código malicioso > Segurança atribuída a John Ashby / Média mensal]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança Atividade de código malicioso > Segurança atribuída a John Ashby / Média mensal]]) / 24 |
Guia Eficácia da detecção e resposta
| Indicador | Descrição |
|---|---|
| Incidentes positivos verdadeiros | Percentual de incidentes de segurança positivos verdadeiros na categoria selecionada para o período especificado. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal > Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal >]) * 100 |
| Incidentes críticos falso-positivos | Percentual de incidentes de segurança críticos falso-positivos na categoria selecionada para o período especificado. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco de incidente de segurança Risco crítico > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal > Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal >]) * 100 Nota: Qualquer incidente de segurança em que Código encerrado: Vulnerabilidade inválida ou falso-positivo é tratado como um incidente falso positivo |
| Pontuação de risco falso-positivo média | Pontuação de risco mensal média de incidentes de segurança encerrados que foram identificados como incidentes falso-positivos. Uma pontuação de risco mais baixa indica que os analistas de segurança gastaram menos tempo analisando incidentes falso-positivos. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco de incidente de segurança Risco crítico > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal > Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado / SOMA mensal >]) * 100 |
| Duração do incidente de segurança falso-positivo | Número médio de dias que os analistas de segurança despenderam na investigação de incidentes falso-positivos. A fórmula usada é ([[Soma da duração de incidentes de segurança falso-positivos]] / [[Número de incidentes de segurança falso-positivos]]) / 24 |
| Eficácia da origem do incidente de segurança | Percentual de incidentes de segurança positivos verdadeiros identificados por uma origem específica para o período especificado. A origem pode ser e-mail, atividade de rede, suporte ao cliente e assim por diante. Esses dados ajudam a medir a eficácia da origem do incidente de segurança. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria de incidente de segurança atividade de código mal-intencionado > Origem do incidente de segurança: IDS/IPS / SOMA mensal > Número de incidentes de segurança encerrados > Categoria de incidente de segurança > Atividade de código mal-intencionado > Origem do incidente de segurança: IDS/IPS / SOMA mensal >]) * 100 |
| Análise de volume de origem do incidente de segurança | Número de incidentes de segurança encerrados para o mês atual para cada origem de incidente de segurança. Você também pode comparar o número de incidentes de segurança para cada tipo de origem entre dois meses selecionados. |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado e o número médio de dias durante os quais os incidentes permanecem em aberto. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. A fórmula usada para calcular o período médio do backlog é ([[Soma da idade dos incidentes de segurança em aberto > Categoria de incidente de segurança: Atividade de código mal-intencionado]]/ [[Número de incidentes de segurança em aberto > Categoria de incidente de segurança: Atividade de código mal-intencionado]]) / 24 |
| Análise de incidente de segurança encerrada | O número total de incidentes de segurança encerrados no período especificado e o tempo médio de resolução desses incidentes. A fórmula usada para calcular o tempo médio de resolução é ([[Soma da duração de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança: Atividade de código mal-intencionado]]) / 24 |
Análise de pontuação de risco do incidente
| Indicador | Descrição |
|---|---|
| Análise de exposição ao risco total | Número total de incidentes em aberto em cada categoria de risco (baixo, moderado e crítico) no período especificado. Você também pode comparar o número de incidentes nas diferentes categorias de risco entre dois meses. |
| Trabalho de analista de segurança normalizado por pontuação de risco | A pontuação de risco total de cada analista de segurança no período especificado. Isso é calculado com base no número de incidentes de segurança positivos verdadeiros encerrados pelo analista de segurança. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de SI / SOMA por mês] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de SI / SOMA mensal]] |
| O analista de segurança trabalha por pontuação de risco média | A pontuação de risco média de cada analista de segurança no período especificado. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de SI/média mensal] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos > Categoria de incidente de segurança Atividade de código mal-intencionado > Segurança atribuída a administrador de SI / Média de mês]] |
Análise da fase do incidente de segurança
Você pode ver o número de incidentes em aberto em um dia específico e o status (análise, rascunho, conter, erradicar, recuperar, ou revisão) desses incidentes. Em cada fase, você pode exibir a idade média, ICs afetados, tarefas de resposta e assim por diante. Clique em um link para exibir detalhes adicionais ou o detalhamento desses incidentes.