![](https://habrastorage.org/getpro/habr/upload_files/cd1/d5b/9f6/cd1d5b9f6cc03db68ccc561dec89d9f4.png)
Ева Беляева, Руководитель отдела развития производственного департамента Security Vision.
Максим Лунев, Аналитик отдела аналитики производственного департамента Security Vision
Что это и зачем
В случае, когда требуется оперативно (и вдумчиво) оценить ситуацию в целом и ответить на сложные комплексные вопросы, на помощь приходит визуализация. В нашем случае речь пойдет о метриках эффективности по большей части в области ИБ, но на самом деле все нижесказанное применимо и к бизнес-сегменту, так как логика настройки BI-решений схожая.
Визуализация результатов работы позволяет как дать оценку работы систем или людей, так и проиллюстрировать необходимость запроса, к примеру, потребность отдела в новых вакансиях или отказ от того или иного средства защиты.
В нашей статье мы рассмотрим, какие варианты обычно предлагаются из коробок, на какие вопросы они отвечают, и к каким лучшим практикам в итоге пришли мы, наследуя их от продукта к продукту.
Каковы потребности?
Современный мир похож на калейдоскоп: все меняется с невероятной быстротой и то, что было вот только что актуальным, через мгновение считается устаревшим. Более того, количество информации в единицу времени стало таким плотным, что не запутаться в ней становится отдельным вызовом. А при ведении бизнеса ошибки в трактовке данных могут стоить очень дорого.
В таких обстоятельствах ценность визуальной аналитики возрастает кратно. Выражение «лучше один раз увидеть» по-прежнему актуально. Остается сделать так, чтобы то, что мы видим, было понятно, информативно и позволяло быстро делать выводы.
Прежде чем создавать визуальную аналитику, давайте ответим на несколько простых, но ключевых вопросов:
Для кого это нужно?
Посмотрите на бизнес глазами ваших клиентов – и полдела сделано. Руководитель группы начинает каждое утро с анализа ключевых показателей своей команды, а топ-менеджер организации сможет уделить внимание дашборду два раза в год. Сотрудник за пультом управления и вовсе постоянно бросает взгляд то на одну, то на другую диаграмму.
С такими простыми вводными сразу вырисовывается несколько категорий целевой аудитории, и для каждой из них необходим свой набор аналитики.
Для чего это нужно?
Создавая аналитические инструменты, всегда нужно помнить, что любой дашборд, график или отчет должны отвечать на какой-то вопрос. Правильно сформулируйте этот вопрос – и вот уже вырисовывается набор метрик, которые нам необходимы. К примеру, работа по сменам требует понимания эффективности каждой смены – и рождается отчет, взглянув на который, становится понятно, кто как работал.
Что предлагают другие
Многообразие классов решений по ИБ на рынке также пестрит широким набором встроенных в продукт метрик, дашбордов, отчётов. Что встречается чаще всего?
Все включено
В некоторых продуктах производитель уже подумал за нас и заложил всё, по его мнению, самое нужное и важное. Из коробки будут доступны десятки, если не сотни, преднастроенных визуальных макетов с ограниченным скоупом метрик.
Это достаточно удобно в случае, когда хочется взять систему и сразу начать работу без траты времени на кастомизацию. Или когда нет собственных аналитических макетов, к которым привыкла команда, что удобно отображают предметную область и метрики именно вашей компании.
Такие отчёты или дашборды поменять зачастую нельзя (иногда можно поиграть с представлениями: как-то иначе скомпоновать, выполнить несложные фильтрации и выбор визуального отображения данных). Но обычно вендора учитывают наиболее распространенные запросы рынка, и всё настроенное в общем случае оказывается нужным и актуальным.
Правда, в этой парадигме встречаются случаи, когда производитель придерживается логики «один запрос – один отчёт», а визуально в режиме реального времени даёт только лишь технические показатели самой системы.
Не спорим, в каких-то случаях, если речь идёт об IT, процессах или мониторинге, такой подход оправдан, но в случае с SOC обязательно потребуется кастомизация.
Сделай сам
Главное, чтобы с этой кастомизацией не переборщили. Будет сложно работать, если вдруг окажется, что у вас нет ничего, настроенного из коробки (или почти ничего).
За визуализацию отвечает подробный и детальный конструктор, нужно только, чтобы он не был слишком монструозным, тяжёлым и сложным как для запросов, так и для отрисовки. И это здорово, если вы встроили в него обычный html и вам не приходится буквально программировать интерфейс, для чего понадобится знание не только, к примеру, SQL-запросов, но и некоторых языков программирования. Порог входа специалиста по настройке визуала сразу возрастает, а время, которое заказчики обычно тратят, чтобы подогнать инфографику под себя, умножается в разы. Такие квалифицированные кадры, зато, смогут не только «сделать красиво», но и наполнить метрики сложной и актуальной аналитикой; в ряде компаний существуют целые отделы BI- и не только специалистов, создающие отчеты в рамках оказания консалтинговых услуг. Со временем, конечно, при таком подходе можно воплотить практически всё, что угодно.
Именно такой подход встречается у опенсорс-решений, заточенных изначально под несколько иной функционал, но сейчас не редкость и то, что у некоторых вендоров мира ИБ-подход оказывается несколько схожим.
Например, ряд решений класса BI построен именно так: пользователю дается большой запас математических формул, запросов в какую угодно систему, а под капотом – движок, поддерживающий чаще всего python или java, или что-то более экзотическое; гибкость таких систем не сравнится ни с чем, любой блок или кнопка в таком случае ограничены лишь фантазией.
Приятное с полезным
Существует также и комплексный подход – немного сложных и не очень готовых примеров из коробки, настроенных под «среднего по больнице» заказчика.
Конструктор, как мы заметили из опыта, в этом случае не такой низкоуровневый – он представляет собой no-code набор визуальных представлений, для тюнинга которых нужны знания только из профессиональной области (и хороший аналитик). Преднастроенные отчёты и дашборды могут подойти большинству с небольшими правками, остальные же с лёгкостью быстро настроят отрисовку недостающих метрик.
На рынке сейчас несколько производителей, практикующих такой подход, даже отечественных. Мы из этих.
Наши лучшие практики
Итак, осталось ответить на еще один вопрос:
Как это осуществить?
На основании накопленного опыта в создании IT-продуктов у нас выработался эффективный подход к созданию целевых аналитических инструментов.
Главным и, одновременно, самым сложным остается выбор ключевых метрик для каждого конкретного процесса. Они должны быть максимально простыми и однозначно трактоваться (Помните о принципе Эдварда Тафта «немного чернил на небольшом пространстве»?). Лучше дать возможность пользователю «провалиться» в диаграмму (drill-down), чем усложнять ее нагромождением данных.
Также нужно правильно выбрать период анализа данных: нужна нам информация за всю историю, за конкретный период времени или срез данных на текущий момент.
И не забыть про мелочи, в которых кроется тот самый дьявол: правильные названия диаграмм и графиков, подписанные оси (с единицами измерения), понятная легенда – все это обеспечит понятность, четкость и недвусмысленность нашей аналитики.
Учитывая все вышесказанное, мы в наших решениях создаем набор встроенных отчетов и дашбордов с возможностью применения ролевой модели, чтобы каждый сотрудник видел только актуальные для себя метрики.
Примеры наших дашбордов:
Операционный дашборд описывает все, что происходит прямо сейчас в вашей организации. Сотруднику будет достаточно нескольких секунд, чтобы оценить происходящее и, при необходимости, принять нужные меры
Аналитический дашборд предоставляет данные для более размеренного и вдумчивого анализа, который поможет выявить скрытые закономерности и паттерны и внести соответствующие коррективы в бизнес-процессы
![](https://habrastorage.org/getpro/habr/upload_files/ec1/492/4da/ec14924daee4488057b59b79a284f320.png)
Стратегический дашборд позволяет взглянуть на ключевые показатели за длительный период времени, удостоверится, что компания идет в правильном направлении, при необходимости подправить курс или выработать дополнительную стратегию развития
Для области ИБ актуальны многие метрики, связанные с географическим расположением (откуда идет атака, какой офис атакуется и так далее), поэтому мы не забыли про интерактивную карту
![](https://habrastorage.org/getpro/habr/upload_files/fce/ff1/781/fceff1781594bdf6faecd867f0d8be4d.png)
Примеры наших отчетов:
Сводные комплексные отчеты за конкретный период (неделя, месяц), которые наполнены большим количеством виджетов. Такие отчеты удобно генерировать по расписанию, чтобы в определенное время они приходили на электронную почту определенному сотруднику
Небольшие отчеты по принципу «один запрос – один отчет». Такие отчеты позволяют максимально быстро получить информацию о конкретной метрике
В каждом нашем решении мы также предусматриваем возможность в любой момент времени выгрузить непосредственно из интерфейса отчет по конкретному объекту. Это позволяет получить «моментальный снимок» текущего состояния любой сущности.
![](https://habrastorage.org/getpro/habr/upload_files/b8c/2a0/812/b8c2a0812c802609e7fb229b07d6f34c.png)
Также, помимо классических примеров подачи информации, мы взяли за правило наполнять и сами карточки объектов полезной инфографикой, будь то статистика связей или даже полноценный Kill Chain атаки.
Такие мини-дашборды зарекомендовали себя как полезный инструмент как в расследовании, так и в представлении результатов своей работы помимо основной отчетности.
![](https://habrastorage.org/getpro/habr/upload_files/a33/f75/5bc/a33f755bc95f7006cd70076b5ba5e1f1.png)
Важно помнить, что в любой из преднастроенных аналитических инструментов можно вносить любые правки, максимально адаптируя их под свои нужды, не обладая при этом специфическими навыками. А если «коробочные вариант» совсем не покрывает какие‑либо специфические случаи, то на помощь придет наш конструктор, с помощью которого можно быстро создать необходимое аналитическое представление.
Заключение
Подводя итоги, скажем, что запросы в качественной визуализации постоянно растут, поэтому мы не стоим на месте, постоянно расширяем набор наших аналитических инструментов, а также не забываем про дизайн и оформление.
Asterris
В статье про лучшие практики визуализации всего пара картинок с абсолютно скучными стандартными графиками?????
Или в суровой России даже визуализация должна быть суровой и текстовой? ????
evebelka
так вам все секреты и покажи)
на самом деле тут больше даже не про картинки, а про сам подход - и инструменты для его реализации