Tableau de bord Efficience de Security Operations
Les responsables du centre des opérations de sécurité (SOC) peuvent consulter les mesures d’efficacité globales et mesurer les performances individuelles des membres de l’équipe SOC au sein de l’organisation.
Le responsable SOC peut utiliser le tableau de bord Performance Analytics pour améliorer l’efficacité et développer une image des performances du SOC dans des domaines généraux et spécifiques au fil du temps.
Onglet Efficacité des analystes
Cliquez sur l’un des indicateurs pour obtenir des informations détaillées. Par exemple, cliquez sur l’indicateur dans la section Nombre moyen d’incidents de sécurité traités par analyste.
Le graphique montre que le nombre d’incidents de sécurité ouverts est passé de 0 en mars à plus de 40 en mai. Remarquez les données affichées dans l’en-tête :
- Indicateur de tendance : affiche l’évolution du nombre d’incidents ouverts au cours de la dernière période pour laquelle les données ont été collectées. Ce graphique montre les données pour la période de mars 2019 à mai 2019 et le nombre d’incidents ouverts a augmenté de 19 au cours du mois de mai. L’efficacité des analystes est meilleure si le nombre d’incidents ouverts a diminué au fil du temps.
- Non. Nombre de scores : période pour laquelle les données ont été recueillies (mars à mai 2019).
- Somme : nombre de nouveaux incidents ouverts pour la période comprise entre mars et mai.
- Changement : nombre de nouveaux incidents ouverts entre mars et avril.
- Moyenne : nombre moyen d’incidents ouverts par analyste pour la période sélectionnée.
| Indicateur | Description |
|---|---|
| Nombre moyen d’incidents de sécurité traités par analyste | Nombre moyen d’incidents de sécurité ouverts par analyste pour la période spécifiée. La formule utilisée est la suivante : [[nombre d’incidents de sécurité ouverts / MOY par mois +]] / [[nombre d’agents de sécurité]] |
| Incidents de sécurité fermés par analyste | Nombre total d’incidents fermés par chaque analyste dans la catégorie sélectionnée au cours de la période spécifiée. La formule utilisée est la suivante : [Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = <category_name> / SOMME par mois +]] / [[Nombre d’agents de sécurité / MOY par mois +]] |
| Résolution moyenne des incidents de sécurité | Délai moyen nécessaire à chaque analyste pour fermer les incidents de sécurité au cours de la période spécifiée. La formule utilisée pour afficher le résultat en jours est la suivante : [[Durée cumulée des incidents de sécurité fermés > Catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Âge moyen des incidents de sécurité | Nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts pour chaque analyste. La formule utilisée pour afficher le résultat en jours est la suivante : [[Âge cumulé des incidents de sécurité ouverts > catégorie d’incident de sécurité = <category_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > catégorie d’incident de sécurité = <category_name> / MOY par mois +]]) / 24 |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le backlog pour chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité qui ont été fermés au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le nombre pour chaque analyste, groupe de sécurité, priorité, etc. Vous pouvez également comparer le nombre d’incidents de sécurité qui ont été fermés entre deux mois sélectionnés. |
| Âge de l’incident de sécurité | Nombre moyen de jours pendant lesquels les incidents de sécurité restent ouverts au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher l’âge de l’incident de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : [[Âge cumulé des incidents de sécurité ouverts > Catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]] / [[Nombre d’incidents de sécurité ouverts > Catégorie d’incident de sécurité = <category_name> > Groupe d’affectation de sécurité = <group_name> / MOY par mois +]]) / 24 |
| Délai de résolution des incidents de sécurité | Nombre moyen de jours pris pour résoudre les incidents de sécurité au cours de la période spécifiée. Sélectionnez une option dans la liste Répartition pour afficher le délai de résolution des incidents de sécurité pour chaque analyste, groupe de sécurité, priorité, etc. La formule utilisée pour afficher le résultat en jours est la suivante : [[Durée cumulée des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = John Ashby / MOY par mois +]]) / 24 |
Onglet Efficacité de la détection et de la réponse
| Indicateur | Description |
|---|---|
| Incidents vrais positifs | Pourcentage d’incidents de sécurité vrais positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]])) * 100 |
| Incidents critiques signalés comme faux positifs | Pourcentage d’incidents de sécurité critiques signalés comme faux positifs dans la catégorie sélectionnée pour la période spécifiée. La formule utilisée est la suivante : [[Nombre d’incidents de sécurité signalés comme faux positifs > Score de risque d’incident de sécurité = Risque critique > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]]) * 100 Remarque : Tout incident de sécurité dans lequel le code fermé = vulnérabilité non valide ou faux positif est traité comme un incident de faux positif |
| Score moyen de risque faux positif | Score de risque mensuel moyen des incidents de sécurité fermés qui ont été identifiés comme des incidents de faux positif. Un score de risque plus faible indique que les analystes de sécurité ont passé moins de temps à analyser les incidents de faux positif. La formule utilisée est la suivante : [[Nombre d’incidents de sécurité signalés comme faux positifs > Score de risque d’incident de sécurité = Risque critique > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant / SOMME par mois +]]) * 100 |
| Durée de l’incident de sécurité signalé comme faux positif | Nombre moyen de jours que les analystes de sécurité ont passé à enquêter sur les incidents de faux positif. La formule utilisée est ([[durée cumulée des incidents de sécurité faux positifs]] / [[nombre d’incidents de sécurité faux positif]]) / 24 |
| Efficacité des sources d’incidents de sécurité | Pourcentage d’incidents de sécurité vrais positifs identifiés par une source spécifique pour la période spécifiée. La source peut être l’e-mail, l’activité réseau, l’assistance client, etc. Ces données permettent de mesurer l’efficacité de la source d’incident de sécurité. La formule utilisée est la suivante : (1-([[Nombre d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Source d’incident de sécurité = IDS/IPS / SOMME par mois +]])) * 100 |
| Analyse du volume source des incidents de sécurité | Nombre d’incidents de sécurité fermés pour le mois en cours pour chaque source d’incident de sécurité. Vous pouvez également comparer le nombre d’incidents de sécurité pour chaque type de source entre deux mois sélectionnés. |
| Analyse en backlog d’incidents de sécurité | Nombre total d’incidents de sécurité ouverts au cours de la période spécifiée et nombre moyen de jours pendant lesquels les incidents restent ouverts. Vous pouvez également comparer le nombre d’incidents de sécurité ouverts entre deux mois sélectionnés. La formule utilisée pour calculer la période moyenne du backlog est la suivante : [[Âge cumulé des incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité de code malveillant]] / [[Nombre d’incidents de sécurité ouverts > Catégorie d’incident de sécurité = Activité de code malveillant]]) / 24 |
| Analyse des incidents de sécurité fermés | Nombre total d’incidents de sécurité fermés au cours de la période spécifiée et délai moyen de résolution de ces incidents. La formule utilisée pour calculer le délai de résolution moyen est la suivante : [[Durée cumulée des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant]] / [[Nombre d’incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant]]) / 24 |
Onglet Analyse du score de risque d’incident
| Indicateur | Description |
|---|---|
| Analyse totale de l’exposition au risque | Nombre total d’incidents ouverts dans chaque catégorie de risque (faible, modéré et critique) au cours de la période spécifiée. Vous pouvez également comparer le nombre d’incidents dans les différentes catégories de risque sur une période de deux mois. |
| Travail normalisé d’analyste de sécurité par score de risque | Score de risque total pour chaque analyste de sécurité pour la période spécifiée. Cette valeur est calculée en fonction du nombre d’incidents de sécurité vrais positifs que l’analyste de sécurité a fermés. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] – [[Score de risque cumulé d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = Administrateur SI / SOMME par mois +]] |
| Travail d’analyste de sécurité par score de risque moyen | Score de risque moyen pour chaque analyste de sécurité pour la période spécifiée. La formule utilisée est la suivante : [[Cumul des scores de risque des incidents de sécurité fermés > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] - [[Score de risque cumulé d’incidents de sécurité signalés comme faux positifs > Catégorie d’incident de sécurité = Activité de code malveillant > Sécurité affectée à = Administrateur SI / MOY par mois +]] |
Onglet Analyse de l’étape d’incident de sécurité
Vous pouvez afficher le nombre d’incidents ouverts sur un jour spécifique et l’état (analyse, brouillon, contenir, éradiquer, récupérer ou examiner) de ces incidents. À chaque étape, vous pouvez afficher l’âge moyen, les CI affectés, les tâches de réponse, etc. Cliquez sur un lien pour afficher des détails supplémentaires ou la répartition de ces incidents.