対応までの平均時間

対応までの平均時間は、潜在的なセキュリティインシデントに対する最初の対応を開始するまでの平均時間です。具体的には、最初のアラートまたは潜在的なセキュリティインシデントの検出から、最初に実行された対応アクションまでの時間です。認識までの平均時間に似ていますが、認識までの平均時間が状況の単純な認識または確認であるのに対して、このメトリクスは具体的な対応アクション (例: システムデータの取得、システムの封じ込めなど) を測定するものです。

このメトリクスを使用して、セキュリティインシデントに対応するための準備状況を追跡できます。前述のように、準備は効果的な対応のための鍵となります。本書の「準備」セクションを参照してください。

対応までの平均時間が長いほど、対応プロセスを効果的に文書化して活用できるように、チームが対応方法に関する適切なトレーニングを受けていることを確認する必要性が高くなります。対応までの平均時間が短いほど、チームは特定されたアラートに対する適切な対応を特定し、安全な運用への復帰を開始するために必要な対応アクションをより適切に実行できます。