References

moitvivt

Моделирование, оптимизация и информационные технологии

Modeling, Optimization and Information Technology

2310-6018

Издательство

10.26102/2310-6018/2025.51.4.040

2092

Оценка эффективности центров мониторинга и реагирования на киберугрозы: ограничения временных метрик и операционные индикаторы качества

Evaluating the effectiveness of cyber‑threat monitoring and response centers: limits of time‑based metrics and operational quality indicators

Пахомов

Валерий Владиславович

Pakhomov

Valeriy Vladislavovich

pedobiric@gmail.com aff-1

Российская академия народного хозяйства и государственной службы при Президенте Российской Федерации The Russian Presidential Academy of National Economy and Public Administration

01 01 2026

1 1

10.26102/2310-6018/2025.51.4.040

2026

This work is licensed under a Creative Commons Attribution 4.0 International License

В статье рассматриваются практики оценки эффективности центров мониторинга и реагирования на киберугрозы в условиях роста объемов телеметрии и усложнения атак. Показано, что распространенные показатели среднего времени обнаружения и среднего времени реагирования отражают преимущественно быстроту, но не отвечают на вопросы о достаточности данных для обоснованных выводов, наличии контекста расследования и повторяемости его шагов. Выполнено сопоставление международных руководств и обзорных отчетов с российскими нормативными требованиями и проведен анализ отраслевых публикаций. В качестве результата систематизированы источники данных центра мониторинга, выделены типовые узкие места в цепочке преобразования данных и ограничения классических временных метрик. Предложена простая рамка сравнения по трем направлениям: скорость, контекст, процесс. Новизна состоит во введении трех вычислимых индикаторов: полноты контекста (доля инцидентов, подтвержденных не менее чем тремя независимыми источниками), воспроизводимости расследований (доля шагов, выполненных по утвержденным сценариям с машиночитаемым журналированием) и устойчивости к пиковым нагрузкам (сопоставление соблюдения целевых сроков в пиковом и базовом режимах), а также интегрального показателя управляемости, объединяющего скорость, точность и полноту. Практическая значимость заключается в возможности расчета указанных индикаторов на имеющихся системах управления событиями информационной безопасности и в их включении в дашборды для аудита, планирования ресурсов и сопоставимости команд.

The paper examines practices for evaluating the effectiveness of cyber‑threat monitoring and response centers under growing telemetry volumes and increasingly complex attacks. It is shown that commonly used indicators such as mean time to detect and mean time to respond mainly capture speed while failing to assess whether available data are sufficient for sound conclusions, whether investigation context is present, and whether investigation steps are reproducible. The study compares international guidance and landscape reports with Russian regulatory requirements and analyzes industry publications. As a result, data sources used by monitoring centers are systematized, typical bottlenecks in the data value chain are identified, and limitations of classic time‑based metrics are highlighted. A simple three‑axis comparison framework is proposed: speed, context, and process. The contribution introduces three computable indicators: context completeness (share of incidents corroborated by at least three independent sources), investigation reproducibility (share of steps executed via approved playbooks with machine‑readable logging), and resilience to peak loads (comparison of service‑level target adherence in peak versus baseline periods), together with an integral manageability index combining speed, accuracy, and completeness. The practical value lies in the feasibility of calculating these indicators using existing security event management systems and incorporating them into monitoring dashboards for audit, resource planning, and cross‑team comparability.

SOC оценка эффективности MTTD MTTR полнота контекста воспроизводимость расследований устойчивость под нагрузкой SIEM SOAR XDR

SOC effectiveness assessment MTTD MTTR context completeness investigation reproducibility load resilience SIEM SOAR XDR

Исследование выполнено без спонсорской поддержки.

The study was performed without external funding.

References 1

Шабловский Я.К., Гельфанд А.М. Обзор технологии SOC (Security Operations Center). Инновации. Наука. Образование. 2021;(33):1316–1321.

Кузнецов А.В. Организация раздельного хранения данных о событиях безопасности. Вопросы кибербезопасности. 2024;(2):22–28. https://doi.org/10.21681/2311-3456-2024-2-22-28

Forsberg J., Frantti T. Technical Performance Metrics of a Security Operations Center. Computers & Security. 2023;135. https://doi.org/10.1016/j.cose.2023.103529

Agyepong E., Cherdantseva Yu., Reinecke Ph., Burnap P. A Systematic Method for Measuring the Performance of a Cyber Security Operations Centre Analyst. Computers & Security. 2023;124. https://doi.org/10.1016/j.cose.2022.102959

Шилова А.Д. Критерий безопасности сетевой инфраструктуры. Научно-технический вестник информационных технологий, механики и оптики. 2023;23(3):530–537. https://doi.org/10.17586/2226-1494-2023-23-3-530-537

Bridges R.A., Rice A.E., Oesch S., et al. Testing SOAR Tools in Use. Computers & Security. 2023;129. https://doi.org/10.1016/j.cose.2023.103201

Islam M.A. Application of Artificial Intelligence and Machine Learning in a Security Operations Center. Issues in Information Systems. 2023;24(4):311–327. https://doi.org/10.48009/4_iis_2023_124

González-Granadillo G., González-Zarzosa S., Diaz R. Security Information and Event Management (SIEM): Analysis, Trends, and Usage in Critical Infrastructures. Sensors. 2021;21(14). https://doi.org/10.3390/s21144759

Shaked A., Cherdantseva Yu., Burnap P., Maynard P. Operations-Informed Incident Response Playbooks. Computers & Security. 2023;134. https://doi.org/10.1016/j.cose.2023.103454

Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 1. Труды СПИИРАН. 2016;(4):5–27. https://doi.org/10.15622/sp.47.1

Федорченко А.В., Левшун Д.С., Чечулин А.А., Котенко И.В. Анализ методов корреляции событий безопасности в SIEM-системах. Часть 2. Труды СПИИРАН. 2016;(6):208–225. https://doi.org/10.15622/sp.49.11

Mahboubi A., Luong Kh., Aboutorab H., et al. Evolving Techniques in Cyber Threat Hunting: A Systematic Review. Journal of Network and Computer Applications. 2024;232. https://doi.org/10.1016/j.jnca.2024.104004

Афанасьева С.В., Кузьмина У.В. Основные проблемы при работе с центрами мониторинга информационной безопасности. Вестник УрФО. Безопасность в информационной сфере. 2023;(1):51–58. https://doi.org/10.14529/secur230105

Feng W., Cao Yu, Chen Y. Multi-Granularity User Anomalous Behavior Detection. Applied Sciences. 2025;15(1). https://doi.org/10.3390/app15010128

The authors declare that there are no conflicts of interest present.