什么是MTTD?

平均检测时间(Mean time to detect，简称MTTD)是DevOps团队在组织内检测问题(如软件缺陷或硬件故障)所需的平均时间。

MTTD是事件管理的关键性能指标之一。显然，组织越早发现问题越好。事故经常会导致系统停机，这通常会造成损失每分钟5600美元根据Gartner的数据。

尽管MTTD不是DevOps团队可用的唯一度量标准，但它是最容易跟踪和度量的指标之一，对于任何想要避免系统中断等问题的组织来说，它都是必不可少的度量标准。

计算MTTD:

使用日志、帮助台和/或入侵检测系统等工具跟踪所有事件(下面将详细介绍这些工具)。
确定MTTD计算的目标以及您想要计算它的目的。MTTD通常是在特定时间段内为特定设施或系统计算的，例如隔夜、每周、每月或每年。也可以为特定的技术人员或团队计算。
使用前面提到的工具来计算您所选择的时间范围内每个事件的开始时间和检测时间。
用总事件检测时间除以事件数。

例如，假设一家大型汽车零部件制造商的24x7运营支持团队每周跟踪整个工厂的MTTD。在2022年2月7日至11日的一周内，发生了四起事件。利用系统日志，团队确定了每个事件的开始时间和检测时间，并将其记录在如下表格中:

平均检测时间计算为:

(118 + 53 + 148 + 85)/4

MTTD = 101分钟

然后，汽车零部件制造商可以使用这个数字来比较特定周与其他周或与前一年同一周的MTTD。如果他们计算了某个团队的MTTD，他们就可以使用这个结果来衡量团队的表现。一些公司选择从表中删除异常值，许多公司还将按严重程度对事件进行分级，以查看MTTD是否根据问题的严重程度而变化。

监视MTTD主要涉及跟踪任何可以作为事件或问题的东西，这在不同的组织中可能有很大的不同。

监控MTTD所需的主要工具包括:

日志日志是自动生成的，并带有时间戳的与特定计算机系统或软件应用程序相关的事件文档。例如，web服务器的访问日志列出了人们从网站请求的所有单独文件，包括HTML文件和任何其他传输的相关文件。另一个例子是数据库日志，它记录了数据库中的所有活动，包括对记录的所有更改。

帮助台:座席是集中的帮助中心，为产品用户提供与产品有关的任何帮助，特别是IT问题。它们可以是通过SaaS应用程序运行的物理或在线呼叫中心或票务系统。帮助台有一个知识库，可以保存客户问题的记录，包括问题是什么、何时发现的以及如何解决的。

入侵检测系统入侵检测系统(IDS)是一种监视网络流量以发现可疑活动并在发现此类活动时发出警报的系统。IDS的主要功能是报告和异常检测，但是一些入侵检测系统可以在检测到恶意活动时采取行动，包括阻止从可疑IP地址发送的流量。

什么是“好的”MTTD取决于公司、它的产品、行业以及公司想要阻止或拦截的特定威胁或入侵。显然，最好的MTTD是零，这意味着您甚至在威胁行为者有机会造成伤害之前就抓住了它。

当然，零MTTD是很难实现的。根据波耐蒙研究所该标准为MTTD提供了行业标准基准，发现和控制数据泄露的平均时间在2020年为280天，在2019年为279天。

要弄清楚什么是适合您的特定公司的MTTD，您不仅应该查看所有公司的总体平均水平，还应该尝试获取您所在行业的其他公司如何使用MTTD的信息。此外，您需要计算您的公司平均数据泄露的成本，以及您的公司在不给公司造成严重财务困难的情况下，每次泄露可以承受多少损失。

你可以采取不同的步骤来降低MTTD:

其他可以帮助组织降低MTTD的方法包括安全编排、自动化和响应(SOAR)技术，以及事件响应计划。

任何需要保持系统或网络正常运行和安全的公司都可以从定期测量MTTD中受益。

MTTD应始终在事件发生会造成损害的时候进行测量。例如，对于只在夜间运行的制造工厂，您可能只希望在夜间检查事故。把白天的数据包括进来是没有意义的。

MTTD反映了团队发现潜在安全事件所需的时间。但是，检测之后的下一步是响应。

平均响应时间(Mean time to response，简称MTTR)是指一旦发现威胁，控制、补救和/或根除威胁所需的时间。