• All Blogs
SOC

SOC-Metriken: Messen und verbessern Sie die Leistungsfähigkeit der Sicherheitsoperationen mit SOC 3D

| Jul 2, 2018

Es ist eine allgemeine Binsenweisheit, dass jeder, der für eine gewisse Zeit ein SOC betreibt, von selbst anfängt, die Effizienz des SOC zu verbessern. Aber es ist ebenfalls eine Binsenweisheit, dass man nur das verbessern kann, was man misst.  Der erste Schritt in diesem Prozess ist die Bestimmung der richtigen SOC-Metriken. Erwartungsgemäß machen dies die meisten Unternehmen nicht vom ersten Tag an, doch wenn Organisation und SOC reifen, führt dies mit der Zeit zu der Bestrebung, ein Messverfahren zu etablieren, welches ein klares Bild von der Leistungsfähigkeit des SOC im Allgemeinen sowie in spezifischen Bereichen bietet. Sobald die SOC-Metriken ausgewählt und ein Messverfahren etabliert worden sind, wird es viel einfacher zu verstehen, welche Aktionen zielgerichtet Verbesserungen erzeugen werden. Die Berichterstellung wird ebenfalls transparenter und kann mit den Teammitgliedern und dem ausführenden Management klar kommuniziert werden. Die Cyberbit SOC 3D-Automatisierungs- und Orchestrierungsplattform kann bei diesem Unterfangen ein effektives Werkzeug darstellen, da diese über die erforderlichen (eingebauten) Fähigkeiten verfügt, diese wichtigen SOC-Metriken aufzuzeichnen, damit die Manager die Leistungsfähigkeit des SOC effektiv messen und anschließend verbessern können.

SOC-Metriken zur Verbesserung der Effizienz

Analyst-Effizienz-Metriken – Diese Metriken dienen der Messung und Aufzeichnung der individuellen Leistungsfähigkeit der SOC-Teammitglieder. Diese SOC-Metriken helfen Managern bei der Identifizierung der herausragenden Analysten, der Anerkennung ihrer Leistungen und der Möglichkeit, von ihnen zu lernen. Sie können ebenfalls behilflich sein, spezifische Qualifikationslücken aufzudecken, welche entweder eine bestimmte Person beeinträchtigen oder das gesamte Team betreffen. Sobald eine Qualifikationslücke gefunden wurde, kann diese gezielt mit Einarbeitung, Schulung und Betreuung angegangen werden, um zu gewährleisten, dass sie geschlossen wird. Die Aufzeichnung dieser Daten kann mit der Zeit die relative Verbesserung einzelner aufzeigen und sicherstellen, dass Ausreißer mit dem Rest des Teams wieder mithalten können. Ein anderer Vorteil ist das klare Bild von der Arbeitsverteilung zwischen den Teammitgliedern, das so erhalten werden kann. Dies ist wichtig, um sicherzustellen, dass die Arbeitsauslastung optimiert wird und um solche Top-Analysten zu entlasten, die häufig unverhältnismäßig mit Aufgaben überladen sind. Einige Beispiele für die SOC-Metriken für Analysten-Effizienz sind:

  • Ausfall pro Analyst
  • Zeitspanne von der Erkennung bis zur Eindämmung bis zur Auslöschung pro Analyst
  • Prozentsatz der bis Tier-2 eskalierten Vorfälle der Analysten


Cyberbit SOC 3D: Dashboard der Analyst-Metriken

SOC-Metriken Dashboard der Analyst-Metriken


Falschmeldung-Bewertung
– Die Alarmstatistiken helfen bei der Erstellung eines Bildes, welche Regeln große Mengen an Falschmeldungen verursachen, um diese entsprechend feinabstimmen zu können. Das Abstellen von Falschmeldungen und die Anpassung der Prozesse, um diese Aktivität zu minimieren, kann in zurückgewonnener SOC-Effizienz resultieren.

Identifizierung des Organisationsrisikos – Ein gemeinsames Ziel eines gut geführten SOC ist die Entwicklung eines optimierten organisatorischen Cyber-Sicherheitsbewusstseins und der andauernden Informierung der allgemeinen Belegschaft über die aktuellen Bedrohungen. SOC 3D ermöglicht es den SOC-Managern, klare Trends zu erkennen, die zeigen, welche Abteilungen für einen unverhältnismäßig hohen Anteil von Sicherheitsvorfällen verantwortlich sind. Als Reaktion darauf können verschiedene Aktionen ergriffen werden, wie: Investitionen in zusätzliche Security-Awareness-Schulungen für Hochrisikoabteilungen, Erhöhung der Alarmschwellen für spezifische Geschäftsbereiche oder der Zuweisung einer höheren Priorität für die Alarme aus besonders gefährdeten Bereichen in der SOC.

Vorfallsreaktion-Engpass-Indikatoren –  Die Bewertung der Reaktionszeiten bei Vorfällen erleichtern die Identifizierung der Alarme, welche die größten Engpässe erzeugen. Eine gründliche Recherche der Vorfallsreaktionsphasen bei den zeitaufwändigsten Alarmen gibt Einblicke in die tieferen Ursachen für die Verzögerung und lokalisiert Bereiche für Verbesserungen, die am effektivsten bei der Reduzierung des Engpasses helfen werden.

Einige Beispiele für SOC-Effizienz sind:

  • Zeitspanne von der Erkennung bis zur Eindämmung bis zur Auslöschung pro Schicht
  • Zeitspanne von der Erkennung bis zur Eindämmung bis zur Auslöschung pro Vorfalltyp
  • Prozentsatz der gelösten Vorfälle pro Schicht
  • Regeln mit Falschmeldungen
  • Prozentsatz der wiederkehrenden Vorfälle


Cyberbit SOC 3D: Dashboard der SOC-Metriken

SOC-Metriken Dashboard der SOC-Metriken

SOC-Metriken für eine bessere Transparenz

Die primäre Funktion des SOC ist die Situationserkennung durch die Entdeckung, Eindämmung und Verwaltung von IT-Bedrohungen; dies ist verbunden mit der Verantwortung, die unternommenen Aktionen aufzuzeichnen und dem ausführenden Management zu berichten und zu erklären. Die SOC 3D-Metriken können bei dieser Beaufsichtigung helfen, indem sie eine klare Messung des Wertes einer jeden neuen Sicherheitsinvestition bieten. Legitimierung der eingesetzten Mittel durch die Demonstration des Unterschieds von vorher zu nachher dank der Auswirkungen der neuen Werkzeuge und Weiterbildungsinvestitionen. Es reicht heute nicht mehr aus, Ausgaben und Aktivitäten einfach nur zu berichten. Diese SOC-Metriken können genutzt werden, um zu zeigen, welche Geschäftsbereiche den größten Risiken unterliegen und welche Auswirkungen die SOC-Aktivitäten auf spezifische Abteilungen oder Geschäftsprozesse haben. Der Vorstand verlangt nach handfesten Beweisen, dass Ihre Führung Werte produziert und die Sicherheitsstandards der Organisation verbessert. SOC 3D liefert die Fakten, um die Ergebnisse zu stützen.

Das Betreiben eines modernen SOC wird nicht leichter, aber am Ende des Tages macht die SOC 3D-Automatisierung und -Orchestrierung die Prozesse einfacher und erlaubt es, den Fokus auf die wirklich wichtigen Herausforderungen zu legen, die einen wirkungsvollen Unterschied machen.

Webinar ansehen: Die Fähigkeitslücke im modernen SOC angehen


Über den Autor
Shai Gabay ist der Chief Innovation Officer bei Cyberbit. Vor Cyberbit war Shai der SOC-Manager bei Discount Bank, einer der größten Geschäftsbanken Israels.