Métricas operativas de seguridad
Cloud SIEM proporciona métricas operativas de seguridad para determinar la eficacia de tu equipo a la hora de responder y resolver las amenazas a la seguridad de tus entornos en la nube. Estas métricas se muestran en el dashboard de Cloud SIEM predefinido y se envían en los informes semanales de Cloud SIEM. También puedes crear dashboards y monitores para ellos.
Métricas operativas
datadog.security.siem_signal.time_to_detect
- Nombre: tiempo de detección (TTD)
- Descripción: el tiempo (en segundos) entre el momento en que se activa un log coincidente y el momento en que se genera una señal.
- Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)
datadog.security.siem_signal.time_to_acknowledge
- Nombre: tiempo para reconocimiento (TTA)
- Descripción: el tiempo (en segundos) entre el momento en que se activa una señal y el momento en que comienza una investigación sobre la señal.
- Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)
datadog.security.siem_signal.time_to_resolve
- Nombre: tiempo de resolución (TTR)
- Descripción: el tiempo (en segundos) que tarda en cerrarse una señal a partir del momento en que se te notifica la detección por primera vez.
- Tipo de métrica: DISTRIBUTION (DISTRIBUCIÓN)
Cómo se calculan las métricas
Las métricas de TTD, TTA y TTR se calculan a partir de estas marcas temporales:
- La marca temporal (
T0
) del log que activa una señal de seguridad. - La marca temporal (
T1
) de cuando se genera la señal. - La marca temporal (
T2
) de cuando el estado de la señal cambia a under_review
. - La marca temporal (
T3
) de cuando el estado de la señal cambia a archived
.
Métrica | Cómo se calcula la métrica |
---|
Tiempo de detección (TTD)
datadog.security.siem_signal.time_to_detect | T1 - T0 |
Tiempo de reconocimiento (TTA)
datadog.security.siem_signal.time_to_acknowledge | T2 - T1 |
Tiempo de resolución (TTR)
datadog.security.siem_signal.time_to_resolve | T3 - T1 |
Explorar, visualizar y monitorizar las métricas
Utiliza el Resumen de métricas para ver los metadatos y etiquetas (tags) de las métricas operativas. También puedes ver qué dashboards, notebooks, monitores y SLOs están usando esas métricas.
Utiliza etiquetas para filtrar las métricas a equipos, fuentes y entornos específicos. A continuación, puedes crear dashboards para aquellas métricas para visualizar los datos o crear monitores para alertarte si las métricas superan un umbral especificado.
Referencias adicionales
Más enlaces, artículos y documentación útiles: