Tableau de bord de l’efficacité de Opérations de sécurité
Les gestionnaires du centre des opérations de sécurité (SOC) peuvent consulter les mesures d’efficacité globales et mesurer les performances individuelles des membres de l’équipe SOC dans l’organisation.
Le gestionnaire SOC peut utiliser le tableau de bord Analyse des performances pour améliorer l’efficacité et développer une image des performances du SOC dans des domaines généraux et spécifiques au fil du temps.
Onglet Efficacité de l’analyste
Cliquez sur l’un des indicateurs pour l’explorer plus en détail. Par exemple, cliquez sur l’indicateur dans la section Nombre moyen d’incidents de sécurité travaillés par analyste.
Le graphique montre que le nombre d’incidents de sécurité ouverts est passé de 0 en mars à plus de 40 en mai. Notez les données affichées dans l’en-tête :
- Indicateur de tendance : affiche l’évolution du nombre d’incidents ouverts au cours de la dernière période pour laquelle les données ont été collectées. Ce graphique montre les données pour la période de mars 2019 à mai 2019 et le nombre d’incidents ouverts a augmenté de 19 au mois de mai. L’efficacité des analystes est meilleure si le nombre d’incidents ouverts a diminué au fil du temps.
- Non. des scores : La période pour laquelle les données ont été collectées (mars à mai 2019).
- Somme : nombre de nouveaux incidents ouverts pour la période allant de mars à mai.
- Changement : nombre de nouveaux incidents ouverts entre mars et avril.
- Moyenne : nombre moyen d’incidents ouverts par analyste pour la période sélectionnée.
| Indicateur | Description |
|---|---|
| Nombre moyen d’incidents de sécurité travaillés par analyste | Nombre moyen d’incidents de sécurité ouverts par analyste pour la période spécifiée. La formule utilisée est la suivante : [[Nombre d’incidents de sécurité ouverts / MOY par mois +]] / [[Nombre d’agents de sécurité]] |
| Incidents de sécurité clôturés par analyste | Nombre total d’incidents fermés par chaque analyste dans la catégorie sélectionnée au cours de la période spécifiée. La formule utilisée est la suivante : [Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = <category_name> / SOMME par mois +]] / [[Nombre d’agents de sécurité / MOY par mois +]] |
| Résolution moyenne des incidents de sécurité | Délai moyen nécessaire à chaque analyste pour fermer les incidents de sécurité au cours de la période spécifiée. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Durée cumulée des incidents de sécurité fermés > catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Âge moyen de l’incident de sécurité | Nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts pour chaque analyste. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le backlog de chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité qui sont fermés au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le nombre de chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité qui ont été fermés entre deux mois sélectionnés. |
| Âge de l’incident de sécurité | Nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher l’âge de l’incident de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > Catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > la catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]]) / 24 |
| Délai de résolution des incidents de sécurité | Nombre moyen de jours nécessaires à la résolution des incidents de sécurité au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le délai de résolution des incidents de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : ([[Durée cumulée des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]]) / 24 |
Onglet Efficacité de la détection et de la réponse
| Indicateur | Description |
|---|---|
| Incidents de vrais positifs | Pourcentage d’incidents de sécurité vrais positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]])) * 100 |
| Incidents critiques signalés comme faux positifs | Pourcentage d’incidents de sécurité critiques signalés comme faux positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : ([[Nombre d’incidents de sécurité signalés comme faux positifs > score de risque d’incident de sécurité = risque critique > catégorie d’incident de sécurité = activité du code malveillant / SOMME par mois +]] / [[nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant / SOMME par mois +]]) * 100 Remarque : Tout incident de sécurité dans lequel le code fermé = vulnérabilité non valide ou faux positif est traité comme un incident faux positif |
| Score moyen de risque de faux positif | Score de risque mensuel moyen des incidents de sécurité fermés qui ont été identifiés comme des incidents de faux positif. Un score de risque plus faible indique que les analystes de sécurité ont passé moins de temps à analyser les incidents signalés comme faux positifs. La formule utilisée est la suivante : ([[Nombre d’incidents de sécurité signalés comme faux positifs > score de risque d’incident de sécurité = risque critique > catégorie d’incident de sécurité = activité du code malveillant / SOMME par mois +]] / [[nombre d’incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant / SOMME par mois +]]) * 100 |
| Durée de l’incident de sécurité signalé comme faux positif | Nombre moyen de jours que les analystes de sécurité ont consacrés à enquêter sur les incidents de faux positif. La formule utilisée est ([[Durée cumulée des incidents de sécurité signalés comme faux positifs]] / [[Nombre d’incidents de sécurité signalés comme faux positifs]]) / 24 |
| Efficacité des sources d’incidents de sécurité | Pourcentage d’incidents de sécurité vrais positifs identifiés par une source spécifique pour la période spécifiée. La source peut être l’e-mail, l’activité réseau, le support client, etc. Ces données permettent de mesurer l’efficacité de la source d’incident de sécurité. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]])) * 100 |
| Analyse du volume source des incidents de sécurité | Nombre d’incidents de sécurité fermés pour le mois en cours pour chaque source d’incident de sécurité. Vous pouvez également comparer le nombre d’incidents de sécurité pour chaque type de source entre deux mois sélectionnés. |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée et nombre moyen de jours pendant lesquels les incidents restent ouverts. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. La formule utilisée pour calculer la période moyenne du backlog est la suivante : ([[Âge cumulé des incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité de code malveillant]]/ [[Nombre d’incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité de code malveillant]]) / 24 |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité clôturés au cours de la période spécifiée et délai de résolution moyen de ces incidents. La formule utilisée pour calculer le délai de résolution moyen est la suivante : ([[Durée cumulée des incidents de sécurité fermés > catégorie d’incident de sécurité = activité de code malveillant]] / [[nombre d’incidents de sécurité clôturés > catégorie d’incident de sécurité = activité de code malveillant]]) / 24 |
Onglet Analyse du score de risque d’incident
| Indicateur | Description |
|---|---|
| Analyse totale de l’exposition au risque | Nombre total d’incidents ouverts dans chaque catégorie de risque (faible, modéré et critique) au cours de la période spécifiée. Vous pouvez également comparer le nombre d’incidents dans les différentes catégories de risque entre deux mois. |
| Travail d’analyste de sécurité normalisé par score de risque | Score de risque total pour chaque analyste de sécurité pour la période spécifiée. Cette valeur est calculée sur la base du nombre d’incidents de sécurité vrais positifs que l’analyste de sécurité a fermés. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité clôturés > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] - [[Score de risque cumulé des incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] |
| Travail d’analyste de sécurité par score de risque moyen | Score de risque moyen de chaque analyste de sécurité pour la période spécifiée. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité clôturés > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] - [[Cumul des scores de risque d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité du code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] |
Onglet Analyse de l’étape de l’incident de sécurité
Vous pouvez consulter le nombre d’incidents ouverts sur un jour spécifique et le statut (analyse, brouillon, contenir, éradiquer, récupérer ou examiner) de ces incidents. À chaque étape, vous pouvez afficher l’âge moyen, les CI affectés, les tâches de réponse, etc. Cliquez sur un lien pour afficher des détails supplémentaires ou la répartition de ces incidents.