Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Привет! Меня зовут Маша, и я являюсь руководителем первой линии Security Operation Center в Ozon.
Наша первая линия постоянно выращивает стажёров и растёт. О стажёрах можно прочитать в статье моего руководителя. Но помимо стажёров, растёт и число обязанностей первой линии, которые необходимо качественно и количественно измерять.
Я поделюсь с вами тем, как мы решили мерить работу первой линии, какую пользу нам принесли метрики, а также с какими трудностями при разработке метрик мы столкнулись и как справились с ними.
Если вы строите подразделение, связанное с технической поддержкой, то вы смело можете примерить наш опыт на себя.
Чем же занимается первая линия?
Всю операционную деятельность первой линии необходимо измерять для того, чтобы корректировать как рабочие процессы, так и кадровый состав. Чтобы понять, что именно мы решили измерять, расскажу подробнее о наших основных задачах.
Обработка пользовательских обращений по вопросам информационной безопасности
Сотрудники первой линии обрабатывают пользовательские обращения в рабочем чате, где сообщения имеют структуру тредов (последовательность ответов на сообщение), и в тикетной системе ведения задач — Jira (где тикет представляет собой одну задачу). Таким образом, первая линия выполняет функцию технической поддержки в аспекте информационной безопасности. Часть вопросов могут носить общий характер, и специалист первой линии может без труда проконсультировать пользователя, но ряд вопросов остаются на решении коллег из смежных отделов, которые оказывают более точечную и глубокую консультацию по своему скоупу.
Обработка автоматизированных уведомлений SIEM-системы
Основной нашей деятельностью, как у многих первых линий SOC, является обработка уведомлений о потенциальных инцидентах ИБ — алертов. Алерты являются потенциальными инцидентами ИБ, поэтому их обработка наиболее приоритетна в работе первой линии. Так как часть алертов действительно перерастает в инциденты ИБ, при их обработке и расследовании привлекаются смежные команды, которые на более глубоком уровне проводят необходимые операции по реагированию и расследованию инцидентов.
Обработка заявок по процессам, переданным на поддержку от смежных команд ИБ
В нашем ИБ-департаменте родилась следующая концепция: первая линия SOC должна максимально разгрузить коллег от выполнения типовых рутинных операций, которые можно уложить в инструкции. Таким образом, появился механизм передачи процессов на первую линию. Этот механизм очень полюбился коллегам смежных команд ИБ, и число процессов на поддержке первой линии стало непрерывно увеличиваться.
Так наша первая линия обросла большим объёмом операционной деятельности, которую хотелось измерять и следить за эффективностью подразделения.
Что решили мерить?
Обработку пользовательских обращений
Тут, по классике, решили мерить количество, время реакции на обращения и время обработки таких обращений, а также процент самостоятельно решённых первой линией обращений.
Для вычисления времени реакции и времени обработки обращений в чате были выбраны соответствующие стикеры:
Интересные статьи
Интересные статьи
