building-soc-metrics-and-kpi-trackinglisted

# 构建 SOC 指标与 KPI 跟踪 ## 适用场景 以下情况使用本技能： - SOC 领导层需要对运营绩效进行数据驱动的可视化分析 - 持续改进计划需要基准测量和趋势跟踪 - 高管报告要求量化安全态势和 ROI 指标 - 人员配置决策需要客观的工作负载与容量数据 - 合规审计需要有文档记录的 SOC 绩效证据 **不适用于**将指标作为针对分析师的惩罚性措施——指标应推动流程改进，而非个人绩效考核。 ## 前置条件 - 具备 90 天以上事件和告警处置数据的 SIEM - 包含事件生命周期时间戳数据的事件工单系统（ServiceNow、Jira） - 分析师轮班计划和人员配置数据 - 用于追踪检测覆盖率的 ATT&CK Navigator - 仪表盘平台（Splunk、Grafana 或 Power BI） ## 工作流程 ### 步骤 1：定义核心 SOC 指标框架 建立与 NIST CSF 功能对齐的关键指标： | 指标 | 定义 | 目标值 | NIST CSF | |--------|-----------|--------|----------| | MTTD | 从威胁发生到 SOC 检测的时间 | <15 分钟 | 检测 | | MTTA | 从告警到分析师确认的时间 | <5 分钟 | 响应 | | MTTI | 从确认到调查开始的时间 | <10 分钟 | 响应 | | MTTC | 从调查到遏制的时间 | <1 小时 | 响应 | | MTTR | 从检测到完全解决的时间 | <4 小时 | 恢复 | | 误报率（FP Rate） | 误报告警的百分比 | <30% | 检测 | | 真报率（TP Rate） | 真实告警的百分比 | >40% | 检测 | | 覆盖率（Coverage） | 具有主动检测的 ATT&CK 技术 | >60% | 检测 | | 驻留时间（Dwell Time） | 攻击者在网络中被检测前的时间 | <24 小时 | 检测 | | 升级率（Escalation Rate） | 一级告警升级至二/三级的比例 | 15-25% | 响应 | ### 步骤 2：实施 MTTD/MTTR 测量 **平均检测时间（MTTD）：** ```spl index=notable earliest=-30d status_label="Resolved*" | eval mttd_seconds = _time - orig_time | where mttd_seconds > 0 AND mttd_seconds < 86400 --- 排除数据质量问题 | stats avg(mttd_seconds) AS avg_mttd, median(mttd_seconds) AS med_mttd, perc90(mttd_seconds) AS p90_mttd, perc95(mttd_seconds) AS p95_mttd by urgency | eval avg_mttd_min = round(avg_mttd / 60, 1) | eval med_mttd_min = round(med_mttd / 60, 1) | eval p90_mttd_min = round(p90_mttd / 60, 1) | table urgency, avg_mttd_min, med_mttd_min, p90_mttd_m