概要
Cloud SIEM は、クラウド環境に対するセキュリティ脅威への対応および解決におけるチームの有効性を判断するためのセキュリティ オペレーショナル メトリクスを提供します。これらのメトリクスは、デフォルトの Cloud SIEM ダッシュボード に表示され、Cloud SIEM の 週次ダイジェスト レポート でも送信されます。また、これらのメトリクス用のダッシュボードやモニターを作成することもできます。
オペレーショナル メトリクス
datadog.security.siem_signal.time_to_detect- 名前: Time to Detect (TTD)
- 説明: 一致するログがトリガーされてからシグナルが生成されるまでの時間 (秒)。
- メトリクス タイプ: DISTRIBUTION
datadog.security.siem_signal.time_to_acknowledge- 名前: Time to Acknowledge (TTA)
- 説明: シグナルがトリガーされてからそのシグナルの調査が開始されるまでの時間 (秒)。
- メトリクス タイプ: DISTRIBUTION
datadog.security.siem_signal.time_to_resolve- 名前: Time to Resolve (TTR)
- 説明: 検知の通知を受けてからシグナルをクローズするまでに要した時間 (秒)。
- メトリクス タイプ: DISTRIBUTION
メトリクスの計算方法
TTD、TTA、TTR の各メトリクスは、以下のタイムスタンプに基づいて計算されます。
- セキュリティ シグナルをトリガーするログのタイムスタンプ (
T0) - シグナルが生成されたタイムスタンプ (
T1) - シグナル ステータスが
under_review に変更されたタイムスタンプ (T2) - シグナル ステータスが
archived に変更されたタイムスタンプ (T3)
| メトリクス | 計算方法 |
|---|
Time to Detect (TTD)
datadog.security.siem_signal.time_to_detect | T1 - T0 |
Time to Acknowledge (TTA)
datadog.security.siem_signal.time_to_acknowledge | T2 - T1 |
Time to Resolve (TTR)
datadog.security.siem_signal.time_to_resolve | T3 - T1 |
メトリクスの探索、可視化、モニタリング
Metrics Summary を使用して、オペレーショナル メトリクスのメタデータやタグを確認できます。また、これらのメトリクスを使用しているダッシュボード、ノートブック、モニター、SLO も確認できます。
タグを使用してメトリクスを特定のチーム、ソース、環境でフィルタリングし、必要に応じてそれらのメトリクスの ダッシュボード を作成してデータを可視化したり、モニター を作成してメトリクスが指定したしきい値を超えた際にアラートを受け取ったりできます。
参考資料
