Солдатов в Телеграм

Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.

Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.

И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.

Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.

Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.

#MDR

Дзен | Статьи

Возможности команды: на основе графиков смен

Статья автора «REPLY-TO-ALL Information Security Blog» в Дзене ✍: Для планирования работ по оперативному мониторингу важно понимать как объем влияет на размер команды.

👍10🔥1

www.tgoop.com/soldatov_in_telegram/621

3.53K viewsMar 20 at 09:25

Оценка возможностей команды - важнейший вопрос планирования ресурсного обеспечения SOC. С одной стороны необходимо, чтобы команда не простаивала, с другой стороны - чрезмерно большой объем будет приводить к перегреву и потере ключевых сотрудников.

Можно придумать множество различных методик оценки, каждая из которых будет иметь свои сильные и слабые стороны, и показывать хорошие результаты в одних сценариях, а в других - работать очень плохо. В нашем SOC мы используем несколько различных методик, я постараюсь найти время, чтобы поделиться ими всеми в серии статей.

И первый метод, предлагаемый вашему вниманию, основан на анализе сменных графиков.

Этот метод лучше работает в условиях, когда количество работы соответствует размеру команды, когда команда недогружена, или когда объем работ сильно изменяется за период измерения (например, за месяц). К слабым местам этого метода также следует отнести коэффициенты пересчета количества инцидентов в количество алертов, а количества алертов в количество эндпонитов, а также средние продолжительности работы над алертом и инцидентом, поскольку, очевидно, эти значения сильно зависят от конкретного алерта и инцидента. Еще немаловажным моментом является усреднение по месяцу - все константы и коэффициенты взяты на основе анализа статистик за месяц, несложно догадаться, что за месяц объем в значительной степени может меняться во времени.

Однако, при всех описанных минусах и слабостях, представленный метод оценки дает правдоподобные результаты, соотносящиеся с практикой, что оправдывает его использование.

#MDR

BY Солдатов в Телеграм