Ева Беляева, Руководитель Отдела развития производственного департамента Security Vision
Максим Лунев, аналитик Отдела аналитики производственного департамента Security Vision
Что это и зачем
В случае, когда требуется оперативно (и вдумчиво) оценить ситуацию в целом и ответить на сложные комплексные вопросы, на помощь приходит визуализация. В нашем случае речь пойдет о метриках эффективности по большей части в области ИБ, но на самом деле все нижесказанное применимо и к бизнес-сегменту, так как логика настройки BI-решений схожая.
Визуализация результатов работы позволяет как дать оценку работы систем или людей, так и проиллюстрировать необходимость запроса, к примеру, потребность отдела в новых вакансиях или отказ от того или иного средства защиты.
В нашей статье мы рассмотрим, какие варианты обычно предлагаются из коробок, на какие вопросы они отвечают, и к каким лучшим практикам в итоге пришли мы, наследуя их от продукта к продукту.
Каковы потребности?
Современный мир похож на калейдоскоп: все меняется с невероятной быстротой и то, что было вот только что актуальным, через мгновение считается устаревшим. Более того, количество информации в единицу времени стало таким плотным, что не запутаться в ней становится отдельным вызовом. А при ведении бизнеса ошибки в трактовке данных могут стоить очень дорого.
В таких обстоятельствах ценность визуальной аналитики возрастает кратно. Выражение «лучше один раз увидеть» по-прежнему актуально. Остается сделать так, чтобы то, что мы видим, было понятно, информативно и позволяло быстро делать выводы.
Прежде чем создавать визуальную аналитику, давайте ответим на несколько простых, но ключевых вопросов:
Для кого это нужно?
Посмотрите на бизнес глазами ваших клиентов – и полдела сделано. Руководитель группы начинает каждое утро с анализа ключевых показателей своей команды, а топ-менеджер организации сможет уделить внимание дашборду два раза в год. Сотрудник за пультом управления и вовсе постоянно бросает взгляд то на одну, то на другую диаграмму.
С такими простыми вводными сразу вырисовывается несколько категорий целевой аудитории, и для каждой из них необходим свой набор аналитики.
Для чего это нужно?
Создавая аналитические инструменты, всегда нужно помнить, что любой дашборд, график или отчет должны отвечать на какой-то вопрос. Правильно сформулируйте этот вопрос – и вот уже вырисовывается набор метрик, которые нам необходимы. К примеру, работа по сменам требует понимания эффективности каждой смены – и рождается отчет, взглянув на который, становится понятно, кто как работал.
Что предлагают другие
Многообразие классов решений по ИБ на рынке также пестрит широким набором встроенных в продукт метрик, дашбордов, отчётов. Что встречается чаще всего?
Все включено
В некоторых продуктах производитель уже подумал за нас и заложил всё, по его мнению, самое нужное и важное. Из коробки будут доступны десятки, если не сотни, преднастроенных визуальных макетов с ограниченным скоупом метрик.
Это достаточно удобно в случае, когда хочется взять систему и сразу начать работу без траты времени на кастомизацию. Или, когда нет собственных аналитических макетов, к которым привыкла команда, что удобно отображают предметную область и метрики именно вашей компании.
Такие отчёты или дашборды поменять зачастую нельзя (иногда можно поиграть с представлениями: как-то иначе скомпоновать, выполнить несложные фильтрации и выбор визуального отображения данных). Но обычно вендора учитывают наиболее распространенные запросы рынка, и всё настроенное в общем случае оказывается нужным и актуальным.
Правда, в этой парадигме встречаются случаи, когда производитель придерживается логики «один запрос – один отчёт», а визуально в режиме реального времени даёт только лишь технические показатели самой системы.
Не спорим, в каких-то случаях, если речь идёт об IT, процессах или мониторинге, такой подход оправдан, но в случае с SOC обязательно потребуется кастомизация.
Сделай сам
Главное, чтобы с этой кастомизацией не переборщили. Будет сложно работать, если вдруг окажется, что у вас нет ничего, настроенного из коробки (или почти ничего).
За визуализацию отвечает подробный и детальный конструктор, нужно только, чтобы он не был слишком монструозным, тяжёлым и сложным как для запросов, так и для отрисовки. И это здорово, если вы встроили в него обычный html и вам не приходится буквально программировать интерфейс, для чего понадобится знание не только, к примеру, SQL-запросов, но и некоторых языков программирования. Порог входа специалиста по настройке визуала сразу возрастает, а время, которое заказчики обычно тратят, чтобы подогнать инфографику под себя, умножается в разы. Такие квалифицированные кадры, зато, смогут не только «сделать красиво», но и наполнить метрики сложной и актуальной аналитикой; в ряде компаний существуют целые отделы BI- и не только специалистов, создающие отчеты в рамках оказания консалтинговых услуг. Со временем, конечно, при таком подходе можно воплотить практически всё, что угодно.
Именно такой подход встречается у опенсорс-решений, заточенных изначально под несколько иной функционал, но сейчас не редкость и то, что у некоторых вендоров мира ИБ-подход оказывается несколько схожим.
Например, ряд решений класса BI построен именно так: пользователю дается большой запас математических формул, запросов в какую угодно систему, а под капотом – движок, поддерживающий чаще всего python или java, или что-то более экзотическое; гибкость таких систем не сравнится ни с чем, любой блок или кнопка в таком случае ограничены лишь фантазией.
Приятное с полезным
Существует также и комплексный подход – немного сложных и не очень готовых примеров из коробки, настроенных под «среднего по больнице» заказчика.
Конструктор, как мы заметили из опыта, в этом случае не такой низкоуровневый – он представляет собой no-code набор визуальных представлений, для тюнинга которых нужны знания только из профессиональной области (и хороший аналитик). Преднастроенные отчёты и дашборды могут подойти большинству с небольшими правками, остальные же с лёгкостью быстро настроят отрисовку недостающих метрик.
На рынке сейчас несколько производителей, практикующих такой подход, даже отечественных. Мы из этих.
Наши лучшие практики
Итак, осталось ответить на еще один вопрос:
Как это осуществить?
На основании накопленного опыта в создании IT-продуктов у нас выработался эффективный подход к созданию целевых аналитических инструментов.
Главным и, одновременно, самым сложным остается выбор ключевых метрик для каждого конкретного процесса. Они должны быть максимально простыми и однозначно трактоваться (Помните о принципе Эдварда Тафта «немного чернил на небольшом пространстве»?). Лучше дать возможность пользователю «провалиться» в диаграмму (drill-down), чем усложнять ее нагромождением данных.
Также нужно правильно выбрать период анализа данных: нужна нам информация за всю историю, за конкретный период времени или срез данных на текущий момент.
И не забыть про мелочи, в которых кроется тот самый дьявол: правильные названия диаграмм и графиков, подписанные оси (с единицами измерения), понятная легенда – все это обеспечит понятность, четкость и недвусмысленность нашей аналитики.
Учитывая все вышесказанное, мы в наших решениях создаем набор встроенных отчетов и дашбордов с возможностью применения ролевой модели, чтобы каждый сотрудник видел только актуальные для себя метрики.
Примеры наших дашбордов:
· Операционный дашборд описывает все, что происходит прямо сейчас в вашей организации. Сотруднику будет достаточно нескольких секунд, чтобы оценить происходящее и, при необходимости, принять нужные меры
· Аналитический дашборд предоставляет данные для более размеренного и вдумчивого анализа, который поможет выявить скрытые закономерности и паттерны и внести соответствующие коррективы в бизнес-процессы
· Стратегический дашборд позволяет взглянуть на ключевые показатели за длительный период времени, удостоверится, что компания идет в правильном направлении, при необходимости подправить курс или выработать дополнительную стратегию развития
· Для области ИБ актуальны многие метрики, связанные с географическим расположением (откуда идет атака, какой офис атакуется и так далее), поэтому мы не забыли про интерактивную карту
Примеры наших отчетов:
· Сводные комплексные отчеты за конкретный период (неделя, месяц), которые наполнены большим количеством виджетов. Такие отчеты удобно генерировать по расписанию, чтобы в определенное время они приходили на электронную почту определенному сотруднику
· Небольшие отчеты по принципу «один запрос – один отчет». Такие отчеты позволяют максимально быстро получить информацию о конкретной метрике
· В каждом нашем решении мы также предусматриваем возможность в любой момент времени выгрузить непосредственно из интерфейса отчет по конкретному объекту. Это позволяет получить «моментальный снимок» текущего состояния любой сущности.
Также, помимо классических примеров подачи информации, мы взяли за правило наполнять и сами карточки объектов полезной инфографикой, будь то статистика связей или даже полноценный Kill Chain атаки.
Такие мини-дашборды зарекомендовали себя как полезный инструмент как в расследовании, так и в представлении результатов своей работы помимо основной отчетности.
Важно помнить, что в любой из преднастроенных аналитических инструментов можно вносить любые правки, максимально адаптируя их под свои нужды, не обладая при этом специфическими навыками. А если «коробочные вариант» совсем не покрывает какие-либо специфические случаи, то на помощь придет наш конструктор, с помощью которого можно быстро создать необходимое аналитическое представление.
Заключение
Подводя итоги, скажем, что запросы в качественной визуализации постоянно растут, поэтому мы не стоим на месте, постоянно расширяем набор наших аналитических инструментов, а также не забываем про дизайн и оформление.
