监控您的安全运营活动

InsightIDR聚合整个组织的警报和调查数据,并将其显示在一个功能强大的仪表板中,这样您就可以对组织的安全状况充满信心。安全运营活动仪表板将您的数据合成为可操作的见解,使其更容易响应警报,报告威胁趋势,并分析您的安全团队的整体有效性。请继续阅读,了解这个功能强大的仪表板可以帮助您成功监视组织的安全操作的不同方法!

Security Operations Activity仪表板使您能够:

  • 分析你的安全团队的调查活动。
  • 了解在选定的时间段内的调查趋势。
  • 确定调查解决的速度。
  • 检查哪种警报类型最容易触发。
  • 了解攻击链的哪一部分是最容易被攻击的。
  • 根据警报类型确定票据重新打开的频率。

更改数据的粒度

有两种方法可以更改出现在安全操作活动仪表板上的数据粒度。您可以从仪表板顶部的日期选择器中选择一个时间范围,它会根据您的选择更新每个卡片中显示的数据范围。此外,有些卡片允许您进一步更改数据的粒度,以天、周、月或季度为单位。以下是一些关于日期和时间细节显示的注意事项:

  • 所有日期和时间细节都使用UTC时区处理。
  • 白天查看:每天午夜开始。
  • 按周观看:每周一午夜开始。
  • 按月查看:从每个日历月的第一天午夜开始。
  • 按季度查看:在每个日历季度的第一天午夜开始。

分析调查活动

使用InsightIDR,您可以看到您的安全团队的性能,以及在指定的时间范围内您的组织所面临的总体威胁趋势。

分析你的团队的调查活动

调查活动卡允许您查看在选定的时间范围内打开、分配、关闭和重新打开的活动。对于整个团队的表现,重要的是显示每种类型的累积活动,以及有多少活动至今仍处于这些状态。理想情况下,在查看“今天”的结果时,每种类型的调查都将是0个(仍然开放,仍然分配,仍然重新开放)。

调查活动趋势卡提供了您的团队调查中显著趋势的可视化表示。您可以确定所选时间范围内的警报音量是否在组织设置的预期范围内。您可以按分析人员、告警类型、攻击链和月份查看趋势。我们也计算在指定的时间范围内,封闭式调查增加或减少的百分比。

健康的安全团队的趋势看起来就像所有三条线都紧密地相互跟踪。每一项公开的调查都应迅速分配并尽快结束。当你从“View by Day”下拉菜单中扩展日期粒度时,每行的计数应该会更接近。

确定调查是否会随着时间的推移而更快地解决

下面的卡片计算结束调查的平均时间,让您清楚地看到您的团队对威胁的反应效率。

处理调查需要时间。当安全团队以最高性能运行时,平均关闭时间应该是一个平坦或接近水平的趋势。平均分配时间应该是非零的。分析人员的调查任务应该得到团队的鼓励。

了解通过警报类型解决调查的速度有多快

下面的卡片可以帮助您了解安全团队跨多种警报类型的响应效率,以便您可以确定需要改进的地方。这张卡计算了前十种警报类型的平均分配时间和平均关闭时间。您可以通过选择一个特定的时间范围来更改显示在卡片上的数据的范围。

这张卡的前十是怎么运作的?

由于这张卡片中有两个排序选项,InsightIDR识别出平均关闭时间最长的前10个警报类型,并在这10个警报类型中执行排序。换句话说,按照“平均分配时间”和“平均关闭时间”排序总是在“平均关闭时间”的前10个警报类型中完成。

使用“所有警报的平均值”作为所有警报类型的通用晴雨表进行比较。当您监视组织的警报活动时,您可能会发现某些趋势需要进行更仔细的检查。例如,如果某一警报类型的平均关闭时间高于所有警报的平均关闭时间,这可能表明对处理这一类型的调查缺乏熟悉程度,或者忽略了某些安全团队程序,比如迅速关闭调查。

回顾攻击趋势

为了更好地理解即将到来的攻击向量,InsightIDR将警报分为多个类别,以便您能够识别攻击趋势及其对组织的总体影响。

确定触发最多的警报类型

InsightIDR提供了对生成最多活动的警报的可见性,以便您可以快速了解网络上风险最大的事件源。

下面的卡片显示了在选定的时间段内打开的前10个警报类型。每个警报类型的趋势亮点可视化显示入站威胁行为。

了解攻击链中最具针对性的部分

在分析组织当前的安全基础设施时,了解攻击链最具针对性的部分是很有用的。理想情况下,应该有很少的任务目标类型的调查。如果与其他攻击链类型相比,存在大量的任务目标调查,那么值得研究这些调查警报的原因并解决这些潜在漏洞。

下面的卡片允许您在指定的时间范围内轻松地确定组织中最目标的区域。

提高分析效率

Security Operations Activity仪表板显示在选定的一段时间内,跨每种警报类型重新打开的调查数量,为您提供对团队效率和潜在改进区域的可见性。

重新展开的调查意味着在关闭时执行的决议是错误的。这种类型的错误表明安全性操作效率低下,应该尽量减少。