Trend Vision One 可以追蹤案件遵循 SLA 的情況,確保案件處理及時且有效。設定案件處理的明確期望,在 SLA 違反前及時接收通知,並確保事件回應過程中的服務品質一致。SLA 指標包括以下內容:
-
確認時間 (TTA):在創建Workbench警報或洞察後,首次開啟新案例並將其狀態更改為進行中的所需時間。
-
關閉時間 (TTC):從案件創建到案件狀態變更為已關閉所需的時間。
-
回應時間 (TTR):在建立Workbench警報或洞察後,手動執行最後回應動作或運行Security Playbook所需的時間。
在 Case Management 中使用 SLA 設定來定義、監控和管理目標,具體取決於案件類型和優先級。
步驟
- 在Case Management中,選擇 。
- 點擊標籤以選擇案件類型:
-
Workbench「cases」
-
Risk event cases
-
Compliance Management「cases」
-
- 切換「開啟」以啟用 SLA 設定。
- 定義 SLA 目標。
- 選擇「Case priority」。選擇「所有」將移除所有基於優先級的目標。對於基於優先級的目標,您只能為每個優先級設置一個目標,必須以P0開始,並按遞減順序添加每個優先級。
- 請選取您要啟用的目標。
-
「TTA target」(僅限 Workbench)
-
「TTR target」(僅限 Workbench)
-
TTC target
-
- 設定至少一分鐘的目標期間。
- 若要指定多個基於優先級的目標,請點擊「+ Case priority」,然後重複步驟 a 到 c。
- 要更改Workbench案例的TTR計算,請點擊「Change calculation」並從選項中選擇,然後點擊「儲存」。此更改會影響所有案例及相應的widget資料。
-
「Original」 計算在計算回應和調查時間時使用最後一次手動回應動作。
-
「Flexible」 計算使用所選操作中最先發生的操作。可從以下選項的任意組合中選擇:
-
First manual response action
-
First response action a security playbook performs on the impact scope or a highlighted object
-
First addition of notes or comments
-
First time the case is closed
-
First time a security playbook closes the case
-
First time the findings change
-
-
- 在指定時間為特定收件人設置提醒。這些通知可以通過自動電子郵件、案例日誌條目和webhooks到達。
- 選擇何時發送SLA目標通知。
-
若要提醒某人剩餘時間,請選擇「hours before the target time」的數字(0.5至48)以發送通知。如果數字大於目標時間(例如,TTA目標為一天而您選擇48小時),系統將無法發送通知。
-
若要提醒某人目標時間已過,這意味著違反了SLA,請選擇「At the target time」。
-
- 選擇接收 SLA 目標通知的人員。
- 如果您選擇「其他」,請指定 webhook 或電子郵件地址。
- 選擇何時發送SLA目標通知。
- 按一下「儲存」。