Управление инцидентами не должно строиться на ощущениях («кажется, это опасно»). Оно должно строиться на математике. Ниже приведена модель расчета приоритетов и конкретные значения (Thresholds) для метрик эффективности, к которым должен стремиться современный SOC.
1. Расчет критичности (Severity Scoring)
Мы используем формулу, где максимальный балл – 12, а минимальный – 0.
Severity = (Бизнес-влияние + Влияние на данные) + Сложность восстановления
Компоненты формулы:
Бизнес-влияние (0–5):
- 0: Нет влияния.
- 1: Деградация некритичных сервисов (тормозит Wi-Fi в гостевой сети).
- 3: Частичный отказ (не работает CRM у отдела продаж).
- 5: Полный отказ (Downtime). Остановка платежей/конвейера.
Влияние на данные (0–5):
- 0: Данные не затронуты.
- 3: Утечка персональных данных (ПДн) или внутренней кухни.
- 5: Потеря целостности (Integrity Loss). Данные подменены/зашифрованы.
Восстановление (0–2):
- 0: Стандартный плейбук (изолировать хост, сменить пароль).
- 2: Требуется Disaster Recovery (разворачивание из бэкапов, Forensic-расследование).
2. Матрица реагирования (SLA)
Исходя из полученного балла (0–12), инцидент попадает в одну из четырех категорий.
Пример с «фишингом и шифрованием» (Бизнес: 5 + Данные: 5 + Восстановление: 2 = 12) – это потолок шкалы, катастрофа.
Градация инцидентов:
- 10-12 баллов (P1 - Critical) - Время реакции 15 минут **Кризис. **Требует немедленного сбора Crisis Team 24/7.
Примеры: Успешная атака Ransomware, компрометация контроллера домена, утечка клиентской БД, обнаружение активного C2 канала на серверах процессинга.
- **7-9 баллов ** (P2 - High) - Время реакции 1 час Угроза бизнесу. Требует немедленной работы L2/L3 аналитиков.
Примеры: Mimikatz на рабочей станции админа, массовый фишинг с успешными вводами паролей, обнаружение веб-шелла на внешнем периметре.
- **4-6 баллов ** (P3 - Medium) - Время реакции 4 часа Штатный инцидент. Обрабатывается в порядке очереди.
Примеры: Единичное заражение malware на изолированном хосте, подозрительная активность VPN из необычной гео-зоны (без подтверждения взлома).
- **0-3 балла ** (P4 - Low) - Время реакции 24 часа Информационный / Тюнинг. Обрабатывается в порядке очереди.
Примеры: Сканирование портов (отбитое WAF), нарушение политик (использование Tor), установка нежелательного ПО (Adware).
3. Метрики эффективности (KPI)
Отказываясь от «средней температуры по больнице» (MTTR), мы внедряем показатели качества обнаружения и сдерживания.
1. False Positive Rate (FPR) – Уровень ложных срабатываний
Метрика показывает «зашумленность» вашего SOC.
- Проблема: Если из 100 алертов 90 оказываются пустышками, аналитики перестают реагировать (Alert Fatigue).
Целевой показатель:
- Для автоматических блокировок: < 0.1% (ошибка здесь недопустима, иначе остановим бизнес).
- Для алертов аналитику (L1): < 10-15%.
Как читать: Если FPR выше 20% (каждый пятый алерт – ложный), нужно не нанимать людей, а отключать правила корреляции и переписывать их.
2. Breakout Time (вместо абстрактного Dwell Time)
«Время присутствия хакера» часто меряют месяцами. Это пост-фактум метрика. Для оперативной работы используйте Breakout Time – время, за которое хакер успевает уйти с первого зараженного хоста дальше по сети (Lateral Movement).
- Статистика: Среднее время «прорыва» у продвинутых групп — 1 час 30 минут.
Целевой KPI (Правило 1-10-60):
- 1 минута на обнаружение (автоматика).
- 10 минут на анализ и верификацию.
- 60 минут на изоляцию хоста.
Итог: Вы должны быть быстрее, чем 90 минут. Если вы реагируете дольше 2 часов, злоумышленник уже контролирует не один ноутбук, а всю подсеть.
3. ARR (Autonomous Resolution Rate)
Показатель зрелости автоматизации (SOAR).
- Что считаем: Процент тикетов категории P3/P4 (типовые вирусы, сканирования), которые были закрыты скриптами без участия человека.
- Целевой показатель: > 80% для рутинных инцидентов.
Смысл: Люди должны заниматься только P1 и P2. Если L3-аналитик вручную сбрасывает пароли пользователям – это провал экономики SOC.
4. Signal-to-Noise Ratio (SNR)
Отношение полезных, обогащенных кейсов к сырому потоку событий.
Хороший SOC не гордится тем, что обработал «миллиард логов». Он гордится тем, что из миллиарда логов сгенерировал 10 высокоточных инцидентов и предотвратил ущерб.