什么是MTTD?

平均检测时间(Mean time to detect, MTTD)是DevOps团队在组织内检测一个问题(如软件错误或硬件故障)所需的平均时间。

MTTD是事件管理的关键绩效指标之一。显然，组织越早发现问题越好。事故经常会导致系统停机，这通常会造成损失每分钟5600元Gartner的数据显示。

虽然MTTD不是DevOps团队可用的唯一指标，但它是最容易跟踪和测量的指标之一，对于任何想要避免系统中断等问题的组织来说，它都是必不可少的指标。

如何计算MTTD:一步一步

计算MTTD:

1. 使用日志、帮助台和/或入侵检测系统等工具跟踪所有事件(下面将详细介绍这些工具)。
2. 确定MTTD计算的目标以及计算的目的。MTTD通常是针对某个设施或系统在特定时间段内计算的，例如隔夜、每周、每月或每年。也可以针对特定的技术人员或团队进行计算。
3. 使用前面提到的工具来计算您所选择的时间范围内每个事件的开始时间和检测时间。
4. 将总事件检测时间除以事件数。

例如，假设一家大型汽车零部件制造商的24x7运营支持团队每周跟踪整个设施的MTTD。在2022年2月7日至11日的一周内，发生了四起事件。利用系统日志，团队确定了每个事件的开始时间和检测时间，并将其记录在如下表格中:

平均检测时间计算为:

(118 + 53 + 148 + 85)/4

MTTD = 101分钟

然后，汽车零部件制造商可以使用这个数字将这个特定周的MTTD与其他周或前一年同一周进行比较。如果他们计算了某个团队的MTTD，他们就可以用这个结果来衡量团队在一段时间内的表现。一些公司选择从表中删除异常值，许多公司还会根据严重程度对事件进行分级，以查看MTTD是否根据问题的严重程度而变化。

你需要什么工具来监控MTTD?

监视MTTD主要包括跟踪任何有资格作为事件或问题的内容，这些内容可能因组织而异。

监控MTTD所需的主要工具包括:

日志:日志是自动生成的带有时间戳的文件，记录与特定计算机系统或软件应用程序有关的事件。例如，web服务器的访问日志列出了人们从网站请求的所有个人文件，包括HTML文件和任何其他传输的相关文件。另一个例子是数据库日志，它记录数据库中的所有活动，包括对记录的所有更改。

帮助台:抱抱式办公桌是产品用户的集中帮助中心，他们可以在任何与产品有关的问题上获得帮助，尤其是IT问题。它们可以是通过SaaS应用程序运行的实体或在线呼叫中心或票务系统。帮助台拥有一个知识库，用于保存客户问题的记录，包括问题是什么、何时发现问题以及如何解决问题。

入侵检测系统:入侵检测系统(IDS)是一种监控网络流量的可疑活动，并在发现可疑活动时发出警报的系统。IDS的主要功能是报告和异常检测，但一些入侵检测系统在检测到恶意活动时可以采取措施，包括阻止来自可疑IP地址的流量。

什么是好的MTTD?

什么是“好的”MTTD取决于公司、产品、行业以及公司想要防止或拦截的特定威胁或入侵。显然，最好的MTTD是零，这意味着你可以在威胁者有机会造成伤害之前抓住他。

当然，实现零MTTD是非常困难的。根据波耐蒙研究所根据MTTD的行业标准基准，识别和遏制数据泄露的平均时间在2020年为280天，在2019年为279天。

为了弄清楚什么样的MTTD对你的特定公司来说是好的，你不仅应该看所有公司的总体平均水平，还应该努力获得你所在行业的其他公司在MTTD方面的信息。此外，您还需要计算数据泄露对您的公司的平均成本，以及在不给公司造成严重经济困难的情况下，您的公司可以承受每次数据泄露的损失。

你可以采取多种措施来降低MTTD:

• 投资于最好的网络安全人才和解决方案。
• 确保所有内部团队保持一致，并就潜在的网络威胁进行沟通。
• 准确和一致地记录事件，并保持一个可靠和全面的事件日志。
• 对于每一个事件，总是检查它的原因，以及如何预防它或更快地发现它。

其他可以帮助组织降低MTTD的方法包括安全编排、自动化和响应(SOAR)技术以及事件响应计划。

谁应该使用MTTD，何时使用?

任何有系统或网络需要保持正常运行和安全的公司都可以从定期测量MTTD中受益。

MTTD应始终在事件发生将造成损害时进行测量。例如，对于只在夜间运行的制造工厂，您只希望在夜间检查事故。把白天的数据也包括进来是没有意义的。

探测之后的下一个度量是什么?

MTTD反映团队发现潜在安全事件所需的时间。但是，检测之后的下一步是响应。

平均响应时间(Mean time to response, MTTR)是发现威胁后控制、补救和/或根除威胁所需的时间。

了解更多关于MTTR的信息．