Painel do Security Operations Efficiency
Os gerentes do centro de operações de segurança (SOC) podem exibir as métricas gerais de eficiência e medir o desempenho individual dos membros da equipe do SOC na organização.
O gerente do SOC pode usar o painel Performance Analytics para melhorar a eficiência e desenvolver uma imagem de como o SOC está se saindo em áreas gerais e específicas ao longo do tempo.
Guia Eficiência do analista
Clique em qualquer um dos indicadores para obter mais detalhes. Por exemplo, clique no indicador na seção Média de incidentes de segurança trabalhados por analista.
O gráfico mostra que o número de incidentes de segurança em aberto aumentou de 0 em março para mais de 40 em maio. Observe os dados exibidos no cabeçalho:
- Indicador de tendência: mostra a mudança no número de incidentes em aberto no período mais recente para o qual os dados foram coletados. Este gráfico mostra dados para o período de março de 2019 a maio de 2019, e o número de incidentes em aberto aumentou em 19 no mês de maio. A eficiência do analista será melhor se o número de incidentes em aberto tiver diminuído ao longo de um período.
- Nº de pontuações: o período para o qual os dados foram coletados (março a maio de 2019).
- Soma: o número de novos incidentes em aberto para o período entre março e maio.
- Mudança: o número de novos incidentes em aberto entre março e abril.
- Média: o número médio de incidentes em aberto por analista para o período selecionado.
| Indicador | Descrição |
|---|---|
| Média de incidentes de segurança trabalhados por analista | Número médio de incidentes de segurança em aberto por analista no período especificado. A fórmula usada é [[Número de incidentes de segurança em aberto / Por mês MÉDIA +]]/[[Número de agentes de segurança]] |
| Incidentes de segurança encerrados por analista | O número total de incidentes encerrados por cada analista na categoria selecionada no período especificado. A fórmula usada é [Número de incidentes de segurança encerrados > Categoria do incidente de segurança =<category_name> / Por SOMA de meses +]]/[[Número de agentes de segurança / Por MÉDIA de meses +]] |
| Média de resolução de incidente de segurança | O tempo médio gasto por cada analista para fechar incidentes de segurança no período especificado. A fórmula usada para mostrar o resultado em dias é ([[Soma da duração dos incidentes de segurança encerrados > Categoria do incidente de segurança =<category_name> / MÉDIA por mês +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = / MÉDIA por mês +]]) / 24 |
| Idade média do incidente de segurança | O número médio de dias pelos quais os incidentes de segurança permanecem abertos para cada analista. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança =<category_name> / Por mês MÉDIA +]]/ [[Número de incidentes de segurança em aberto > Categoria do incidente de segurança = / MÉDIA por mês +]]) / 24 |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado. Selecione uma opção na lista Detalhamento para exibir o backlog de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. |
| Análise de incidente de segurança encerrado | O número total de incidentes de segurança encerrados no período especificado. Selecione uma opção na lista Detalhamento para exibir a contagem de cada analista, grupo de segurança, prioridade e assim por diante. Você também pode comparar o número de incidentes de segurança que foram encerrados entre dois meses selecionados. |
| Idade do incidente de segurança | O número médio de dias que os incidentes de segurança permanecem abertos no período especificado. Selecione uma opção na lista Detalhamento para exibir a idade do incidente de segurança para cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança =<category_name> > Grupo de atribuição de segurança =<group_name> / Por mês MÉDIA +]]/ [[Número de incidentes de segurança em aberto > Categoria do incidente de segurança = > Grupo de atribuição de segurança = / MÉDIA por mês +]]) / 24 |
| Tempo de resolução do incidente de segurança | O número médio de dias necessários para resolver incidentes de segurança durante o período especificado. Selecione uma opção na lista Detalhamento para exibir o tempo de resolução do incidente de segurança para cada analista, grupo de segurança, prioridade e assim por diante. A fórmula usada para mostrar o resultado em dias é ([[Duração somada dos incidentes de segurança encerrados > Categoria do incidente de segurança = Atividade de código mal-intencionado > Segurança atribuída a = John Asby / Por MÉDIA de meses +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Atividade de código malicioso > Segurança atribuída a = John Asby / Por MÉDIA de meses +]]) / 24 |
Guia Eficácia da detecção e da resposta
| Indicador | Descrição |
|---|---|
| Incidentes verdadeiro positivo | Percentual de incidentes de segurança considerados verdadeiros positivos na categoria selecionada para o período especificado. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria do incidente de segurança = Atividade de código malicioso / Por mês SOMA +]] / [[Número de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código malicioso / Por mês SOMA +]])) * 100 |
| Incidentes críticos falso-positivos | Percentual de incidentes de segurança críticos falso-positivos na categoria selecionada para o período especificado. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco do incidente de segurança = Risco crítico > Categoria do incidente de segurança = Atividade de código mal-intencionado / Por SOMA de meses +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Mal-intencionado atividade de código / por mês SOMA +]]) * 100 Nota: Qualquer incidente de segurança em que o código Encerrado = Vulnerabilidade inválida ou Falso positivo é tratado como um incidente falso positivo |
| Pontuação média de risco falso-positivo | Pontuação de risco média mensal de incidentes de segurança encerrados que foram identificados como incidentes falso-positivos. Uma pontuação de risco mais baixa indica que os analistas de segurança gastaram menos tempo analisando incidentes falso-positivos. A fórmula usada é ([[Número de incidentes de segurança falso-positivos > Pontuação de risco do incidente de segurança = Risco crítico > Categoria do incidente de segurança = Atividade de código mal-intencionado / Por SOMA de meses +]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Mal-intencionado atividade de código / por mês SOMA +]]) * 100 |
| Duração do incidente de segurança falso-positivo | Número médio de dias que os analistas de segurança gastaram na investigação de incidentes falso-positivos. A fórmula usada é ([[Duração somada de incidentes de segurança falso-positivos]] / [[Número de incidentes de segurança falso-positivos]]) / 24 |
| Eficácia da origem do incidente de segurança | Percentual de incidentes de segurança considerados verdadeiros positivos identificados por uma origem específica para o período especificado. A origem pode ser e-mail, atividade de rede, suporte ao cliente e assim por diante. Esses dados ajudam a medir a eficácia da origem do incidente de segurança. A fórmula usada é (1-([[Número de incidentes de segurança falso-positivos > Categoria do incidente de segurança = Atividade de código mal-intencionado > Origem do incidente de segurança = IDS/IPS / Por SOMA de meses +]] / [[Número de incidentes de segurança encerrados > Incidente de segurança Categoria = Atividade de código malicioso > Origem do incidente de segurança = IDS/IPS / Por mês SOMA +]])) * 100 |
| Análise de volume de origem de incidente de segurança | Número de incidentes de segurança encerrados no mês atual para cada origem de incidente de segurança. Você também pode comparar o número de incidentes de segurança para cada tipo de origem entre dois meses selecionados. |
| Análise de backlog de incidentes de segurança | O número total de incidentes de segurança em aberto no período especificado e o número médio de dias pelos quais os incidentes permanecem abertos. Você também pode comparar o número de incidentes de segurança em aberto entre dois meses selecionados. A fórmula usada para calcular o período médio do backlog é ([[Soma da idade dos incidentes de segurança em aberto > Categoria do incidente de segurança = Atividade de código mal-intencionado]]/[[Número de incidentes de segurança em aberto > Categoria do incidente de segurança = Atividade de código mal-intencionado]]) /24 |
| Análise de incidente de segurança encerrado | O número total de incidentes de segurança encerrados no período especificado e o tempo médio de resolução desses incidentes. A fórmula usada para calcular o tempo médio de resolução é ([[Soma da duração dos incidentes de segurança encerrados > Categoria do incidente de segurança = Atividade de código malicioso]] / [[Número de incidentes de segurança encerrados > Categoria do incidente de segurança = Atividade de código malicioso]]) / 24 |
Guia Análise de pontuação de risco de incidente
| Indicador | Descrição |
|---|---|
| Análise de exposição de risco total | Número total de incidentes em aberto em cada categoria de risco (baixo, moderado e crítico) no período especificado. Você também pode comparar o número de incidentes nas diferentes categorias de risco entre dois meses. |
| Trabalho de analista de segurança normalizado por pontuação de risco | A pontuação de risco total de cada analista de segurança para o período especificado. Isso é calculado com base no número de incidentes de segurança positivos verdadeiros que o analista de segurança encerrou. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código mal-intencionado > Segurança atribuída a = Administrador de SI/por SOMA de meses +]] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos> Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por SOMA de meses +]] |
| Trabalho do analista de segurança por pontuação média de risco | A pontuação de risco médio de cada analista de segurança para o período especificado. A fórmula usada é [[Soma da pontuação de risco de incidentes de segurança encerrados > Categoria de incidente de segurança = Atividade de código mal-intencionado > Segurança atribuída a = Administrador de SI / Por mês MÉDIA +]] - [[Soma da pontuação de risco de incidentes de segurança falso-positivos> Categoria de incidente de segurança = Atividade de código malicioso > Segurança atribuída a = Administrador de SI / Por MÉDIA de meses +]] |
Guia Análise da fase do incidente de segurança
Você pode ver o número de incidentes abertos em um dia específico e o status (análise, rascunho, contenção, erradicação, recuperação ou revisão) desses incidentes. Em cada fase, você pode exibir a idade média, os ICs afetados, as tarefas de resposta e assim por diante. Clique em um link para exibir detalhes adicionais ou o detalhamento desses incidentes.