平均响应时间
平均响应时间是指开始对潜在安全事件做出初始响应所需的平均时间。具体而言,这是从首次发出警报或发现潜在安全事件,到采取首个响应行动之间的时间。这与平均确认时间类似,不同之处在于其衡量的是具体的响应行动(例如,获取系统数据、遏制系统),而不仅仅是对情况的简单识别或确认。
您可以使用此指标来跟踪您在响应安全事件方面的准备情况。如前所述,充分准备是有效响应的关键。请参阅本文档的准备一节。
平均响应时间越长,就越需要确保团队接受过充分的响应培训,从而使响应流程得到有效记录和运用。平均响应时间越短,表明团队越擅长针对已识别的警报确定适当的响应措施,并执行必要的响应行动以启动恢复安全运营的进程。