檢視次數:
Trend Vision One 可以追蹤案件遵循 SLA 的情況,確保案件處理及時且有效。設定案件處理的明確期望,在 SLA 違反前及時接收通知,並確保事件回應過程中的服務品質一致。SLA 指標包括以下內容:
  • 確認時間 (TTA):在創建Workbench警報或洞察後,首次開啟新案例並將其狀態更改為進行中的所需時間。
  • 關閉時間 (TTC):從案件創建到案件狀態變更為已關閉所需的時間。
  • 回應時間 (TTR):在建立Workbench警報或洞察後,手動執行最後回應動作或運行Security Playbook所需的時間。
在 Case Management 中使用 SLA 設定來定義、監控和管理目標,具體取決於案件類型和優先級。

步驟

  1. 在Case Management中,選擇gear_icon=fc9a51ad-35af-4fe3-92c6-5e41b2dfc5d9.png「SLA settings」
  2. 點擊標籤以選擇案件類型:
    • Workbench「cases」
    • Risk event cases
    • Compliance Management「cases」
  3. 切換「開啟」以啟用 SLA 設定。
  4. 定義 SLA 目標。
    1. 選擇「Case priority」。選擇「所有」將移除所有基於優先級的目標。對於基於優先級的目標,您只能為每個優先級設置一個目標,必須以P0開始,並按遞減順序添加每個優先級。
    2. 請選取您要啟用的目標。
      • 「TTA target」(僅限 Workbench)
      • 「TTR target」(僅限 Workbench)
      • TTC target
    3. 設定至少一分鐘的目標期間。
    4. 若要指定多個基於優先級的目標,請點擊「+ Case priority」,然後重複步驟 a 到 c。
    5. 要更改Workbench案例的TTR計算,請點擊「Change calculation」並從選項中選擇,然後點擊「儲存」。此更改會影響所有案例及相應的widget資料。
      • 「Original」 計算在計算回應和調查時間時使用最後一次手動回應動作。
      • 「Flexible」 計算使用所選操作中最先發生的操作。可從以下選項的任意組合中選擇:
        • First manual response action
        • First response action a security playbook performs on the impact scope or a highlighted object
        • First addition of notes or comments
        • First time the case is closed
        • First time a security playbook closes the case
        • First time the findings change
  5. 在指定時間為特定收件人設置提醒。這些通知可以通過自動電子郵件、案例日誌條目和webhooks到達。
    1. 選擇何時發送SLA目標通知。
      • 若要提醒某人剩餘時間,請選擇「hours before the target time」的數字(0.5至48)以發送通知。如果數字大於目標時間(例如,TTA目標為一天而您選擇48小時),系統將無法發送通知。
      • 若要提醒某人目標時間已過,這意味著違反了SLA,請選擇「At the target time」
    2. 選擇接收 SLA 目標通知的人員。
    3. 如果您選擇「其他」,請指定 webhook 或電子郵件地址。
  6. 按一下「儲存」。