Como você sabe se o seu SOC está realmente funcionando?Sem as métricas corretas, as operações de segurança tornam-se uma caixa preta: o dinheiro entra e você espera que as ameaças fiquem de fora. As métricas SOC transformam as operações de segurança de um centro de custo em uma capacidade mensurável com indicadores claros de desempenho, tendências de melhoria e valor comercial.
Principais conclusões
- MTTD e MTTR são as principais métricas:O Tempo Médio para Detectar e o Tempo Médio para Responder medem diretamente a eficácia do SOC em sua missão principal.
- A qualidade do alerta é mais importante do que o volume do alerta:Um SOC que processa menos alertas e de maior qualidade supera um que se afoga em ruído.
- Acompanhe tendências, não apenas instantâneos:As tendências de melhoria mensais revelam se o SOC está melhorando ou estagnando.
- Métricas alinhadas aos negócios criam suporte executivo:Traduza as métricas SOC em termos comerciais — redução de riscos, status de conformidade, eficiência de custos.
Métricas Básicas SOC
| Métrica | O que mede | Alvo | Por que é importante |
|---|---|---|---|
| MTTD | Tempo desde a ocorrência da ameaça até à deteção | <30 minutos | Detecção mais rápida = menos danos |
| MTTR | Tempo entre a detecção e a contenção | <1 hora (P1) | Resposta mais rápida = raio de explosão menor |
| MTTA | Tempo desde o alerta até o reconhecimento do analista | <5 minutos (P1) | Mede a eficácia do pessoal |
| Taxa Verdadeiramente Positiva | % de alertas que são ameaças reais | > 30% | Abaixo de 30% indica ruído excessivo |
| Taxa de falsos positivos | % de alertas benignos | <70% | FP alto desperdiça tempo do analista |
| Cobertura de detecção | % de técnicas MITRE ATT&CK cobertas | > 70% | Lacunas = pontos cegos para atacantes |
| Volume de alerta | Total de alertas por dia/semana | Tendência de queda | Deve diminuir através do ajuste |
| Taxa de escalonamento | % de alertas escalados para Nível 2+ | 5-15% | Muito alto = triagem ruim; muito baixo = ameaças perdidas |
Métricas de Eficiência Operacional
Carga de trabalho e utilização dos analistas
Acompanhe o número de alertas investigados por analista por turno. Se os analistas estiverem investigando mais de 20 a 25 alertas por turno de 8 horas, a qualidade será prejudicada. Se eles investigarem menos de 10, você pode estar com excesso de pessoal ou cobrança insuficiente. A faixa ideal varia de acordo com a complexidade do ambiente, mas o princípio é consistente: os analistas precisam de tempo suficiente para uma investigação completa, sem períodos de inatividade.
Taxa de automação
Qual porcentagem de alertas são resolvidos por meio de automação sem intervenção humana? SOCs maduros automatizam 40-60% da investigação de nível 1 por meio de manuais SOAR. Isso libera os analistas para investigações complexas que exigem julgamento humano. Acompanhe a taxa de automação mensalmente – ela deve aumentar à medida que você adiciona playbooks para tipos de alerta recorrentes.
Aderência ao runbook
Os analistas estão seguindo procedimentos de investigação documentados ou são freelancers? A adesão ao runbook garante uma qualidade de investigação consistente, independentemente de qual analista lida com o alerta. Acompanhe auditando notas de investigação em relação às etapas do runbook. Meta de adesão de 90%+ com exceções documentadas para situações fora do padrão.
Métricas Alinhadas aos Negócios
Redução de riscos
Acompanhe o número e a gravidade dos incidentes confirmados ao longo do tempo. Uma tendência decrescente nos incidentes de alta gravidade indica uma melhoria na postura de segurança. Mapeie incidentes para impacto potencial nos negócios (perda estimada de dados, possível tempo de inatividade, violação de conformidade) para quantificar a redução de risco do SOC em termos comerciais.
Postura de compliance
Para organizações sujeitas a NIS2, GDPR, ISO 27001 ou SOC 2, rastreie métricas relevantes de conformidade: detecção de incidentes dentro dos prazos exigidos (NIS2 requer notificação de 24 horas), cobertura e retenção de log de auditoria, SLAs de gerenciamento de vulnerabilidades e taxas de conclusão de revisão de acesso.
Custo por incidente
Calcule o custo total de SOC dividido pelo número de incidentes detectados e resolvidos. Essa métrica permite a comparação entre provedores de SOCaaS e ajuda a justificar o investimento em segurança. Uma diminuição do custo por incidente ao longo do tempo indica uma melhoria na eficiência.
Construindo um painel de métricas SOC
Painel executivo
Os executivos precisam de três coisas: postura geral de risco (tendências de melhor ou pior?), status de conformidade (estamos cumprindo as obrigações?) e resumo do incidente (o que aconteceu, qual foi o impacto?). Mantenha-o em uma página com indicadores de semáforo e setas de tendência.
Painel de operações
Os gerentes de SOC precisam de visibilidade em tempo real: fila de alertas atual, carga de trabalho do analista, investigações ativas, conformidade com SLA e desempenho de regras de detecção. Este painel orienta as decisões operacionais diárias e a alocação de recursos.
Painel de melhorias
Métricas de melhoria mensais e trimestrais: tendências de MTTD/MTTR, crescimento da cobertura de detecção, melhoria da qualidade dos alertas, aumento da taxa de automação e atividade de ajuste. Este painel demonstra que o SOC está melhorando continuamente, e não apenas mantendo o status quo.
Como Opsio relata métricas de SOC
- Painel em tempo real:Visibilidade compartilhada do volume de alertas, investigações ativas e conformidade com SLA.
- Relatório mensal:MTTD, MTTR, qualidade de alerta, resumo de incidentes e atividade de ajuste.
- Revisão trimestral:Análise de tendências, avaliação da cobertura de detecção, atualização do cenário de ameaças e recomendações de melhorias.
- Relatórios de conformidade:NIS2, GDPR e ISO 27001 métricas relevantes formatadas para evidência de auditoria.
Perguntas Frequentes
O que é um bom MTTD para um SOC?
O benchmark do setor é inferior a 30 minutos para ameaças críticas. A média do setor (para organizações sem SOC maduro) é de 197 dias (Relatório de custo de violação de dados da IBM). Um envolvimento SOCaaS bem ajustado deve detectar ameaças críticas em 5 a 15 minutos, ameaças de alta gravidade em 15 a 30 minutos e ameaças de gravidade média em 2 horas.
Com que frequência as métricas SOC devem ser revisadas?
Tempo real para métricas operacionais (fila de alertas, conformidade com SLA). Semanalmente para revisão de tendências (MTTD/MTTR, volume de alerta). Mensalmente para análise e relatórios detalhados de desempenho. Trimestralmente para revisão estratégica e planejamento de melhorias.
Quais métricas devo incluir em uma RFP para fornecedores de SOC?
Exigir que os provedores se comprometam com SLAs específicos para: MTTA (tempo para reconhecer alertas críticos - meta<5 minutos), MTTD (tempo de detecção - meta<30 minutos), MTTR (tempo de contenção - meta<1 hora para críticos), cadência de relatórios mensais e nível de cobertura MITRE ATT&CK. Estes compromissos são mensuráveis e comparáveis entre fornecedores.