سازمانها برای بهبود مستمر فرآیندهای خود نیاز به سنجش عملکرد تیمهای SOC دارند. در ادامه، چندین معیار ارائه شده است که میتوانند در سنجش میزان فعالیت در SOC و میزان موثر بودن مدیریت حجم کاری تحلیلگران کمککننده باشند.
در صورت استفاده دقیق، متریکها میتوانند به شما در ارزیابی اثربخشی فرآیندهای SOC کمک کنند. اطمینان حاصل کنید که نتایج معیارها را در فرآیندهای ارزیابی (evaluation) و پالایش (refinement) گنجاندهاید.
یک متریک، یک نقطه داده اتمیک است (به عنوان مثال تعداد بلیطهایی که یک تحلیلگر در یک روز بسته است)، در حالی که KPI محدوده مورد انتظار یا قابل قبول است که KPI در آن قرار میگیرد (مثلا از هر تحلیلگر انتظار میرود بین x تا x+y بلیط را در روز ببندد).
هنگام انتخاب متریکها و KPI-ها، سوالی را در نظر بگیرید که دانستن پاسخ آن مهم باشد و معیاری را انتخاب کنید که این پاسخ را به شما ارائه دهد. به صورت کورکورانه صرفاً معیارهایی را انتخاب نکنید که میتوانید اطلاعاتی در مورد آنها جمعآوری کنید، معیارها باید هدفی داشته باشند و به تیم در نظارت بر مسائل کمک کنند یا به سوالات عملیاتی مهم پاسخ دهند.
معیارهای سنجش زمان سپری شده در گامهای فرآیند رسیدگی به حادثه
Mean Time to Detection (MTTD)
میانگین زمانی که SOC برای تشخیص یک حادثه صرف میکند
میانگین زمانی که اولین بار یک تهدید در شبکه دیده میشود تا زمانی که به عنوان یک حادثه در اولویت قرار میگیرد یا رد میشود.
این معیار نشان میدهد که SOC چه میزان در پردازش هشدارهای مهم و شناسایی حوادث واقعی موثر است
میانگین زمان تصدیق یا تایید (Mean time to acknowledge (MTTA))
MTTA مدت زمان بین تولید یک هشدار و زمانی که یکی از کارکنان IT به هشدار پاسخ میدهد را اندازهگیری میکند. در حقیقت، مدت زمانی را مشخص میکند که به طول میانجامد تا تیم SOC متوجه مشکل شود و شروع به کار بر روی آن کند.
میتوانید از این معیار برای سنجش اولویتبندی مناسب هشدارها توسط تیم امنیتی استفاده کنید. اگر تیم شما نتواند هشدارهای پر خطر را اولویت دهد، ممکن است زمان بیشتری سپری شود تا اقدامی برای رفع ریسک انجام دهد. MTTA کمتر، به این معنی است که تیم شما به سرعت به هشدارهای امنیتی پاسخ میدهد و نشان میدهد که اولویتبندی مناسبی دارند.
میانگین زمان مهار (Mean time to contain (MTTC))
MTTC مشخص میکند که چه مدت زمانی طول میکشد تا تیم پاسخگویی به حادثه، یک حادثه را شناسایی، تایید و به طور موثر از آسیب بیشتر مجرم سایبری جلوگیری کند. برای محاسبه MTTC، مجموع ساعات صرف شده برای شناسایی (detect)، تایید (acknowledge) و حل (resolve) یک هشدار را بر تعداد حوادث تقسیم میکنیم. اگر MTTC بالا باشد، بایستی بررسی شود که کدام مرحله – شناسایی، تایید، یا بازیابی – ضعیفترین حلقه است.
میانگین زمان ترمیم (Mean time to recovery)
MTTR مدت زمانی است که به طول میانجامد تا سیستم آسیبدیده را دومرتبه راهاندازی و اجرا کنند. MTTR به شما بینشی میدهد که تیم واکنش به حادثه با چه سرعتی میتواند مشتری آسیبدیده را به حالت عادی برگرداند. برای محاسبه MTTR میتوان مجموع downtime برای یک دوره زمانی معین را بر تعداد حوادث در آن بازه زمانی تقسیم کرد.
میانگین زمان برای بررسی (Mean Time for Investigation)
مدت زمان تکمیل فرآیند تحقیقات چقدر است ؟
میانگین زمان پاسخگویی (Mean Time to Respond (MTTR))
مدت زمان صرف شده برای حل یک حادثه امنیتی واقعی چقدر است ؟
Mean Time to Resolution (MTTR)
میانگین زمانی سپری شده جهت اقدام SOC و خنثی کردن تهدید، این معیار نشان میدهد که SOC چه میزان در جمعآوری دادههای مرتبط، هماهنگسازی پاسخگویی و انجام اقدام، موثر است
