Métricas operativas de seguridad

Información general

Cloud SIEM proporciona métricas operativas de seguridad para determinar la eficacia de tu equipo a la hora de responder y resolver las amenazas a la seguridad de tus entornos en la nube. Estas métricas se muestran en el dashboard de Cloud SIEM predefinido y se envían en los informes semanales de Cloud SIEM. También puedes crear dashboards y monitores para ellos.

La sección de métricas operativas de seguridad del dashboard de Información general de Cloud SIEM

Métricas operativas

datadog.security.siem_signal.time_to_detect
Nombre: tiempo de detección (TTD)
Descripción: el tiempo (en segundos) entre el momento en que se activa un log coincidente y el momento en que se genera una señal.
Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)
datadog.security.siem_signal.time_to_acknowledge
Nombre: tiempo para reconocimiento (TTA)
Descripción: el tiempo (en segundos) entre el momento en que se activa una señal y el momento en que comienza una investigación sobre la señal.
Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)
datadog.security.siem_signal.time_to_resolve
Nombre: tiempo de resolución (TTR)
Descripción: el tiempo (en segundos) que tarda en cerrarse una señal a partir del momento en que se te notifica la detección por primera vez.
Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)

Cómo se calculan las métricas

Las métricas de TTD, TTA y TTR se calculan a partir de estas marcas temporales:

  1. La marca temporal (T0) del log que activa una señal de seguridad.
  2. La marca temporal (T1) de cuando se genera la señal.
  3. La marca temporal (T2) de cuando el estado de la señal cambia a under_review.
  4. La marca temporal (T3) de cuando el estado de la señal cambia a archived.
MétricaCómo se calcula la métrica
Tiempo de detección (TTD)
datadog.security.siem_signal.time_to_detect		T1 - T0
Tiempo de reconocimiento (TTA)
datadog.security.siem_signal.time_to_acknowledge		T2 - T1
Tiempo de resolución (TTR)
datadog.security.siem_signal.time_to_resolve		T3 - T1

Explorar, visualizar y monitorizar las métricas

Utiliza el Resumen de métricas para ver los metadatos y etiquetas (tags) de las métricas operativas. También puedes ver qué dashboards, notebooks, monitores y SLOs están usando esas métricas.

Utiliza etiquetas para filtrar las métricas a equipos, fuentes y entornos específicos. A continuación, puedes crear dashboards para aquellas métricas para visualizar los datos o crear monitores para alertarte si las métricas superan un umbral especificado.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Investigar las señales de seguridad de Cloud SIEMDOCUMENTATION more more Empezando con dashboardsDOCUMENTATION more more Empezando con monitoresDOCUMENTATION more more Más información sobre el resumen de métricasDOCUMENTATION more more