监控您的安全运营活动

InsightIdr在整个组织中汇总警报和调查数据,并在一个强大的仪表板中显示它,以便您对组织的安全姿势感到有信心。安全操作活动仪表板将数据综合为可操作的见解,使响应警报更容易,报告威胁趋势,并分析安全团队的整体效力。继续阅读以了解这种强大的仪表板的不同方式可以帮助您成功监控组织的安全操作!

Security Operations Activity仪表板使您能够:

  • 分析您的安全团队的调查活动。
  • 了解过的选定时间段的调查趋势。
  • 确定调查解决的速度。
  • 查看最多触发的警报类型。
  • 了解攻击链的哪个部分是最有针对性的。
  • 根据警报类型确定票据重新打开的频率。

更改数据的粒度

有一对夫妇的方法来改变数据的关于安全操作活动仪表板显示的粒度。您可以在仪表板,其更新根据您的选择每张卡上显示的数据的范围上选择的日期选择器的时间范围。此外,有些卡可以让你进一步的变化按天,周,月,或季度数据的粒度。这里有几件事情需要注意如何显示日期和时间的详细信息:

  • 所有日期和时间细节都使用UTC时区处理。
  • 白天查看:每天午夜开始。
  • 查看按周:每星期开始在星期一午夜。
  • 查看按月:从每个日历月的第一天开始。
  • 截至季度查看:从每个日历季度的第一天开始。

分析调查活动

使用InsightIDR,您可以看到您的安全团队的性能,以及在指定的时间范围内您的组织所面临的总体威胁趋势。

分析你的团队的调查活动

调查活动卡允许您查看在选定的时间范围内打开、分配、关闭和重新打开的活动。对于整个团队的表现,重要的是显示每种类型的累积活动,以及有多少活动至今仍处于这些状态。理想情况下,在查看“今天”的结果时,每种类型的调查都将是0个(仍然开放,仍然分配,仍然重新开放)。

调查活动趋势卡提供的在你的团队的调查显着趋势的可视化表示。您可以确定选定时间段内的提示音量是否是由您的组织设定的预期之内。您可以通过分析,警报类型,攻击链,并按月查看趋势。我们还计算出增加的百分比或指定的时间范围内,在封闭的调查下降。

健康的安全团队的趋势看起来就像所有三条线都紧密地相互跟踪。每一项公开的调查都应迅速分配并尽快结束。当你从“View by Day”下拉菜单中扩展日期粒度时,每行的计数应该会更接近。

确定调查是否会随着时间的推移而更快地解决

下面的卡片计算结束调查的平均时间,让您清楚地看到您的团队对威胁的反应效率。

处理调查需要时间。当安全团队以峰值性能运行的平均时间要关闭一段时间应该是平或接近水平的趋势。的平均时间分配应该是非零。分析师调查任务应该由团队的鼓励。

了解警报类型如何解决调查的速度

以下卡有助于您了解您在多个警报类型中的安全团队响应的效率,以便识别改进区域。此卡计算分配的平均时间和平均时间,以关闭前十个警报类型的票证。您可以通过选择特定的时间范围来更改卡上显示的数据的范围。

这张卡的前10名如何工作?

由于这张卡片中有两个排序选项,InsightIDR识别出平均关闭时间最长的前10个警报类型,并在这10个警报类型中执行排序。换句话说,按照“平均分配时间”和“平均关闭时间”排序总是在“平均关闭时间”的前10个警报类型中完成。

使用平均为所有警报作为所有警报类型比较一般的晴雨表。在您监视组织的警报活动,你可能会发现某种趋势值得细看之下。例如,如果平均时间关闭了一个警报类型比平均为所有警报较高,这可能表明缺乏熟悉处理这种类型的或者某些安全团队的程序,如及时关闭调查的调查,被忽视。

回顾攻击趋势

为了更好地理解即将到来的攻击向量,InsightIDR将警报分为多个类别,以便您能够识别攻击趋势及其对组织的总体影响。

确定最多触发的警报类型

InsightIdr提供了生成最多活动的警报的可见性,以便您可以快速了解网络上最风险的事件源。

下面卡显示前10警报类型所选择的时间周期内打开。趋势迷你图可视化每个警报类型显示传入威胁行为。

了解攻击链的最有针对性的部分

了解攻击链中最有针对性的部分在分析组织的当前安全基础架构时很有用。理想情况下,应非常少的调查特派团目标类型。如果与其他攻击链类型相比,如果有大量的任务目标调查,则值得探讨这些调查警报的原因并解决这些潜在漏洞。

下面的卡片允许您在指定的时间范围内轻松地确定组织中最目标的区域。

提高分析效率

安保事务的活动仪表板显示在每个警报类型进行了重新开启了的一段时间选择了,为您提供可视性,您的团队和需要改进的方面的效率调查的数量。

重新开放的调查意味着在结束时执行的分辨率不正确。这种类型的错误表示效率低下的安全操作,并且应该最小化。