zavetsec/SOCMetrics

# ZavetSec-SOCMetrics     

`ZavetSec-SOCMetrics.html` — 一款独立工具，可直接根据事件数据计算 SOC 的效能指标。 您只需记录事实和时间戳 — **中位数、p90、SLA 及分析数据将自动计算**： 涵盖每个时间阶段、TP/FP 比例、重开率、找到的 root cause、检测来源，以及按类型、severity 和 MITRE ATT&CK 技术的细分。 无后端。无构建。无网络请求。仅需一个可在浏览器中打开的文件。 ## 快速开始 1. 下载 `ZavetSec-SOCMetrics.html`。 2. 在浏览器中打开该文件。 3. 录入第一个事件。 完全离线运行 — 甚至可以从 U 盘或在隔离的主机上运行。 ## 关键指标 - MTTD / MTTA / MTTR - 基于 severity 的 SLA - TPR / FPR / Root Cause - MITRE ATT&CK 覆盖率 - 按周 / 月 / 季度的分析 ## 适用人群 - SOC L1 / L2 / L3 团队 - DFIR 及事件响应团队 - MSSP 及外包 SOC - SOC 负责人和 CISO - 需要本地化指标工具，而不希望在 SIEM 中构建报表的人员 ## 功能特性 - **基于事件。** 录入的是事实而非预先计算的平均值 — 计算交由工具完成。 - **真实的统计。** 采用中位数和 p90，而非仅使用平均数（平均数容易受异常值干扰）。 - **自动化 SLA。** SLA 达标率会根据时间戳和设定的 severity 阈值自动计算。 - **MITRE ATT&CK。** 每种事件类型均关联至特定技术；数据细分可构建覆盖率图谱。 - **可编辑的目录。** 可直接在界面中添加 / 修改 / 删除事件类型和技术。 - **本地化与隐私。** 所有数据均存储在您的浏览器中（IndexedDB）。没有任何数据会离开本页面。 - **便携性。** 支持导出 JSON / CSV 以及导入 JSON，方便备份与迁移。 - **零依赖。** 单个 `.html` 文件，采用 ZavetSec 的深绿色美学设计，支持离线运行。 ## 指标 **时间（中位数 · 平均数 · p90）：** | 指标 | 区间 | 层级 | |---|---|---| | MTTD — 检测前 | 检测到 − 受感染 | SOC | | MTTA — 响应 | 开始处理 − 检测到 | L1 | | 升级前时间 | 已升级 − 开始处理 | L1 | | 主机隔离前时间 | 已隔离 − 检测到 | L2 | | 分流（收集 + 分析）| 分流 − 已升级 | L2 | | 报告准备耗时 | 报告 − 分流 | L2 | | L3 结论耗时 | 已结论 − 报告 | L3 | | MTTR — 完整周期 | 已结论 − 检测到 | SOC | **比例与结果：** 自有检测捕获率、True Positive Rate (TPR)、False Positive Rate (FPR)、需返工的事件比例、找到的 root cause、开始处理 SLA 达标情况、隔离 SLA 达标情况。 **细分：** 按事件类型、按 MITRE 技术、按 severity。 ## 为什么不用 Excel - 数据是在事件级别录入的，而不是聚合后的数值； - 中位数和 p90 会自动计算； - SLA 达标率会根据时间戳和设定的阈值自动计算； - 包含 MITRE ATT&CK 关联以及基于技术的细分； - 没有意外破坏公式计算的风险； - 工具完全自主并支持离线运行。 ## 工作原理 1. **事件** — 录入事件：选择类型（系统会自动匹配对应的 MITRE 技术和默认 severity），指明来源和结论，并填写可用的时间戳。只有“检测到”是必填项，其余字段可根据事件处理进度逐步补充。 2. **Dashboard** — 选择分组方式（周 / 月 / 季度 / 全部时间），并根据需要按类型和 severity 进行过滤。所有指标、分布和细分项都会自动重新计算。 3. **类型 / MITRE** — 管理事件类型目录及其与 ATT&CK 的映射。 4. **SLA 阈值** — 设定基于 severity 的阈值（以分钟为单位）；系统将根据这些数值计算 SLA 达标情况。 5. **备份** — 导出 JSON / CSV 或导入 JSON 备份。 处理层级由所处阶段决定（开始处理 → L1，隔离/分流/报告 → L2，得出结论 → L3）— 无需记录具体人员姓名。 ## 数据与隐私 - 所有数据均通过 **IndexedDB** 在本地存储，并绑定至您浏览器中的该文件。 - 绝不进行任何网络传输 — 工具内根本没有任何网络请求代码。 - 数据绑定至创建它的浏览器/配置文件。请定期执行 **备份 → 导出 JSON**。 - 清理浏览器数据将会删除已保存的事件 — 请务必提前导出。 ## 项目原则 - 指标源自事件，而非聚合数据。 - 默认注重隐私。 - 将离线作为设计原则。 - 零依赖。 - 透明且可验证的计算方式。 ## 关于 MITRE 映射 默认的“类型 → 技术”目录是一个合理的起点，而非绝对的标准。部分类别合理地涵盖了多种技术；请根据您团队检测规则和 playbook 的组织方式来调整目录。 ## 仓库结构 ``` ZavetSec-SOCMetrics.html — сам инструмент (один файл) README.md LICENSE CHANGELOG.md docs/ dashboard.png — скриншот дашборда ``` ## 免责声明 本工具按“原样”提供，不作任何保证。它是一款用于衡量和优化流程的工具 — 既不能检测威胁，也无法替代您的 SIEM/EDR。使用者需对工具的使用及录入的数据自行承担所有责任。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。 — **ZavetSec** · 单文件 DFIR/SOC 工具包 · [github.com/zavetsec](https://github.com/zavetsec)

标签：MTTD, MTTR, 后端开发, 多模态安全, 安全度量, 安全运营, 库, 应急响应, 扫描框架, 数据可视化