Hoe weet u of uw SOC daadwerkelijk werkt?Zonder de juiste meetgegevens worden beveiligingsoperaties een zwarte doos: er gaat geld binnen en je hoopt dat bedreigingen buiten blijven. SOC-metrieken transformeren beveiligingsactiviteiten van een kostenplaats in een meetbare mogelijkheid met duidelijke prestatie-indicatoren, verbeteringstrends en bedrijfswaarde.
Belangrijkste afhaalrestaurants
- MTTD en MTTR zijn de belangrijkste statistieken:Mean Time to Detect en Mean Time to Respond meten rechtstreeks de effectiviteit van SOC bij zijn kernmissie.
- De kwaliteit van waarschuwingen is belangrijker dan het waarschuwingsvolume:Een SOC die minder waarschuwingen van hogere kwaliteit verwerkt, presteert beter dan een die verdrinkt in lawaai.
- Volg trends, niet alleen momentopnamen:Maandelijkse verbeteringstrends laten zien of de SOC beter wordt of afvlakt.
- Bedrijfsgerichte statistieken zorgen voor ondersteuning van leidinggevenden:Vertaal SOC-statistieken naar zakelijke termen: risicoreductie, nalevingsstatus, kostenefficiëntie.
Kern SOC Statistieken
| Metrisch | Wat het meet | Doel | Waarom het ertoe doet |
|---|---|---|---|
| MTTD | Tijd vanaf het optreden van de bedreiging tot detectie | <30 minuten | Snellere detectie = minder schade |
| MTTR | Tijd vanaf detectie tot insluiting | <1 uur (P1) | Snellere reactie = kleinere explosieradius |
| MTTA | Tijd vanaf waarschuwing tot bevestiging door analist | <5 minuten (P1) | Meet de effectiviteit van personeel |
| Echt positief percentage | % waarschuwingen dat een echte bedreiging vormt | > 30% | Minder dan 30% duidt op overmatig geluid |
| Vals-positief percentage | % waarschuwingen die goedaardig zijn | <70% | Hoge FP verspilt analistentijd |
| Detectiedekking | % van de gedekte MITRE ATT&CK-technieken | > 70% | Gaps = blinde vlekken voor aanvallers |
| Waarschuwingsvolume | Totaal aantal waarschuwingen per dag/week | Dalende trend | Moet afnemen door afstemming |
| Escalatiepercentage | % waarschuwingen geëscaleerd naar Niveau 2+ | 5-15% | Te hoog = slechte triage; te laag = gemiste bedreigingen |
Operationele efficiëntiestatistieken
Werklast en gebruik van analisten
Volg het aantal onderzochte alerts per analist per dienst. Als analisten meer dan 20 tot 25 waarschuwingen per dienst van 8 uur onderzoeken, gaat de kwaliteit achteruit. Als er minder dan tien worden onderzocht, is er mogelijk sprake van overbezetting of te weinig inning. Het optimale bereik varieert afhankelijk van de complexiteit van de omgeving, maar het principe is consistent: analisten hebben voldoende tijd nodig voor grondig onderzoek zonder inactieve perioden.
Automatiseringstarief
Welk percentage van de waarschuwingen wordt opgelost via automatisering zonder menselijke tussenkomst? Volwassen SOC's automatiseren 40-60% van het niveau-1-onderzoek via SOAR playbooks. Dit geeft analisten de vrijheid voor complexe onderzoeken die menselijk oordeel vereisen. Houd het automatiseringspercentage maandelijks bij. Dit zou moeten toenemen naarmate u draaiboeken voor terugkerende waarschuwingstypen toevoegt.
Runbook-naleving
Volgen analisten gedocumenteerde onderzoeksprocedures of werken ze als freelancer? Het naleven van het runbook zorgt voor een consistente onderzoekskwaliteit, ongeacht welke analist de waarschuwing afhandelt. Houd bij door onderzoeksnotities te controleren op basis van runbookstappen. Streef naar een naleving van meer dan 90% met gedocumenteerde uitzonderingen voor niet-standaard situaties.
Bedrijfsgerichte statistieken
Risicoreductie
Volg het aantal en de ernst van bevestigde incidenten in de loop van de tijd. Een neerwaartse trend in incidenten met een hoge ernst duidt op een verbetering van de veiligheidspositie. Breng incidenten in kaart aan de potentiële impact op het bedrijf (geschat gegevensverlies, potentiële downtime, schending van de compliance) om de risicoreductie van de SOC in zakelijke termen te kwantificeren.
Nalevingshouding
Voor organisaties die onderworpen zijn aan NIS2, GDPR, ISO 27001 of SOC 2: houd nalevingsrelevante statistieken bij: incidentdetectie binnen de vereiste tijdsbestekken (NIS2 vereist een melding van 24 uur), dekking en bewaring van auditlogboeken, SLA's voor kwetsbaarheidsbeheer en voltooiingspercentages voor toegangsbeoordelingen.
Kosten per incident
Bereken de totale SOC-kosten gedeeld door het aantal gedetecteerde en opgeloste incidenten. Deze statistiek maakt vergelijking tussen SOCaaS-providers mogelijk en helpt investeringen in beveiliging te rechtvaardigen. Dalende kosten per incident in de loop van de tijd duiden op een verbetering van de efficiëntie.
Een SOC Metriekdashboard bouwen
Directiedashboard
Leidinggevenden hebben drie dingen nodig: de algehele risicohouding (tendens beter of slechter?), nalevingsstatus (voldoen we aan onze verplichtingen?) en een overzicht van incidenten (wat is er gebeurd, wat was de impact?). Houd het bij één pagina met stoplichtindicatoren en trendpijlen.
Operationeel dashboard
SOC-managers hebben realtime inzicht nodig: de huidige waarschuwingswachtrij, de werklast van analisten, actieve onderzoeken, SLA-compliance en de prestaties van detectieregels. Dit dashboard stuurt de dagelijkse operationele beslissingen en de toewijzing van middelen aan.
Verbeterdashboard
Maandelijkse en driemaandelijkse verbeteringsstatistieken: MTTD/MTTR-trends, groei van de detectiedekking, verbetering van de waarschuwingskwaliteit, verhoging van het automatiseringspercentage en afstemmingsactiviteit. Dit dashboard laat zien dat de SOC voortdurend verbetert en niet alleen de status quo handhaaft.
Hoe Opsio SOC statistieken rapporteert
- Realtime dashboard:Gedeeld inzicht in het waarschuwingsvolume, actieve onderzoeken en SLA-compliance.
- Maandrapport:MTTD, MTTR, waarschuwingskwaliteit, incidentsamenvatting en afstemmingsactiviteit.
- Kwartaaloverzicht:Trendanalyse, beoordeling van detectiedekking, update van het bedreigingslandschap en aanbevelingen voor verbetering.
- Nalevingsrapportage:NIS2, GDPR en ISO 27001 relevante statistieken geformatteerd voor controle-informatie.
Veelgestelde vragen
Wat is een goede MTTD voor een SOC?
De branchebenchmark bedraagt minder dan 30 minuten voor kritieke bedreigingen. Het branchegemiddelde (voor organisaties zonder volwassen SOC) bedraagt 197 dagen (IBM Cost of a Data Breach Report). Een goed afgestemde SOCaaS-betrokkenheid zou kritieke bedreigingen binnen 5 tot 15 minuten moeten detecteren, zeer ernstige bedreigingen in 15 tot 30 minuten en middelzware bedreigingen binnen 2 uur.
Hoe vaak moeten SOC-statistieken worden beoordeeld?
Realtime voor operationele statistieken (waarschuwingswachtrij, SLA-compliance). Wekelijks voor trendoverzicht (MTTD/MTTR, waarschuwingsvolume). Maandelijks voor gedetailleerde prestatieanalyse en rapportage. Driemaandelijks voor strategische evaluatie en verbeteringsplanning.
Welke statistieken moet ik opnemen in een RFP voor SOC-providers?
Vereisen dat providers zich aan specifieke SLA's houden voor: MTTA (tijd om kritieke waarschuwingen te bevestigen – doel<5 minuten), MTTD (detectietijd – doel<30 minuten), MTTR (containmenttijd – doel<1 uur voor kritiek), maandelijkse rapportagecadans en MITRE ATT&CK-dekkingsniveau. Deze toezeggingen zijn meetbaar en vergelijkbaar tussen aanbieders.