ダッシュボードを管理、構成する

以下でサポートされています。

このドキュメントは、Google SecOps 内で可視化ワークスペースを管理するセキュリティ アナリスト管理者 を対象としています。セキュリティ指標をモニタリングするためのダッシュボードの表示、作成、編集、共有の方法について説明します。この方法に沿って、整理されたレポート環境を維持し、セキュリティ チーム間で連携できます。この方法を完了すると、重要なデータに効率的にアクセスし、内部セキュリティの可視化を安全に共有できます。

このドキュメントでは、ダッシュボードを管理する方法について説明します。[ダッシュボード] ページには、キュレートされたダッシュボードとカスタム ダッシュボードの両方のリストが表示されます。初めてアクセスしたときは、キュレートされたダッシュボードのみが表示されます。

一般的なユースケース

これらのユースケースを使用して、ダッシュボード管理が運用ワークフローをどのようにサポートし、チームのコラボレーションをどのように改善するかを理解してください。

セキュリティ モニタリングを一元化する

  • 目的: 複数のダッシュボードを 1 つのフィルタされたビューに整理します。
  • 価値: 固定と検索によって最も関連性の高いダッシュボードを表面化することで、トリアージの効率が向上します。

カスタム可視化で共同作業を行う

  • 目的: 非公開のダッシュボードをより広範な SOC チームと共有するか、他のインスタンスにエクスポートします。
  • 価値: 組織全体でレポート作成を標準化し、冗長なダッシュボードの作成を防ぎます。

主な用語

  • キュレートされたダッシュボード: Google SecOps が提供する組み込みの事前定義された可視化。
  • カスタム ダッシュボード: ユーザーが作成した可視化。空白、重複、インポートされた JSON にすることができます。
  • 共有アクセス: Google SecOps インスタンス内のすべてのユーザーにダッシュボードを表示する設定。
  • 非公開アクセス: ダッシュボードの表示をオーナーのみに制限する設定。

始める前に

これらのタスクを行う前に、次の IAM 権限があることを確認してください。

  • ダッシュボードを表示する: chronicle.nativeDashboards.list
  • ダッシュボードを作成する: chronicle.nativeDashboards.create
  • ダッシュボードを編集/共有する: chronicle.nativeDashboards.update
  • ダッシュボードを削除する: chronicle.nativeDashboards.delete
  • エクスポート/ダウンロード: chronicle.nativeDashboards.get
  • ダッシュボードを複製する: chronicle.nativeDashboards.duplicate

ロールと権限の詳細については、キュレートされたダッシュボードと脅威の検出を調べるをご覧ください。

ダッシュボード リストを整理する

[ダッシュボード] ページには、キュレートされたダッシュボードとカスタム ダッシュボードの両方が表示されます。セキュリティ データの表示方法とアクセス方法をカスタマイズするには、次のインターフェース操作を使用します。

  • 並べ替え: 列見出しをクリックすると、昇順または降順で並べ替えられます。
  • 検索: 検索フィールドに値(オーナー ID など)を入力して、特定のダッシュボードを検索します。
  • 固定: [固定] をクリックして、ダッシュボードをリストの先頭に移動します。
  • 更新: 更新 をクリックして、リストを最新のデータで更新します。

ダッシュボード リストをフィルタする

リストに論理フィルタを適用して特定の指標またはオーナーを検索するには、次のように表示を絞り込みます。

  1. Click [Filter].
  2. 論理演算子を選択し、列を選択します。
  3. [表示する項目] リストで値を選択し、適切な値を選択します。
  4. 省略可: [フィルタを追加] をクリックして、複数のフィルタを追加します。
  5. [適用] をクリックして、選択したフィルタを適用し、ダッシュボードのリストをフィルタします。
    • 想定される失敗: リストが更新されないか、エラーが表示されます。
    • 修正手順: chronicle.nativeDashboards.list 権限があることを確認します。

フィルタを削除する

使用可能なダッシュボードの完全なリストに戻るか、新しい条件を適用するには、次のようにアクティブなフィルタを削除します。

  1. Click [Filter].
  2. 削除するフィルタの横にある [**削除**] をクリックします。
  3. [適用] をクリックしてフィルタを削除し、選択したフィルタに基づいてダッシュボード リストを更新します。
    • 想定される失敗: [削除] をクリックしても、ダッシュボード リストがフィルタされたままになります。
    • 修正手順: [適用] を削除したら、[フィルタ] をクリックしてリストの更新をトリガーします。

ダッシュボードを表示する

取り込んだテレメトリーの完全な可視化にアクセスして、次のようにデータ分析を開始します。

  1. [ダッシュボード] ページに移動します。
  2. ダッシュボード名をクリックしてビューを開きます。
    • 想定される失敗: ダッシュボード名をクリックできないか、権限エラーが発生します。
    • 修正手順: chronicle.nativeDashboards.get IAM 権限があることを確認します。

新しいダッシュボードを作成する

空白のキャンバスから開始するか、既存の組み込みダッシュボードをコピーするか、JSON ファイルをインポートしてダッシュボードを作成できます。

空白のテンプレートから作成する

独自のモニタリング要件に合わせて特別なビューを作成するには、次の手順を行います。

  1. [ダッシュボード] ページで、[ダッシュボードを作成] をクリックします。
  2. [ダッシュボードを作成] ウィンドウで、名前と説明を入力します。
  3. [既存のダッシュボードから開始] リストで、[空白のダッシュボード] を選択します。
  4. [アクセス設定] で、アクセスを [非公開] または [共有] に設定します。
    • 非公開: 自分にのみ表示されます。Google SecOps や Google Cloud プロジェクト管理者など、他のすべてのユーザーには表示されません。
    • 共有: Google SecOps インスタンス内のすべてのユーザーがアクセスできます。
  5. [作成] をクリックします。データの追加を開始するには、ダッシュボードにグラフを追加するをご覧ください。

空白のダッシュボードで、ダッシュボードにグラフを追加できます

既存のダッシュボードをコピーする

時間を節約するために、事前定義されたキュレートされたダッシュボードまたは既存の共有ダッシュボードをコピーして、開始点として使用できます。

既存のダッシュボードのコピーを作成するには、次の操作を行います。

  1. [ダッシュボード] ページで、ダッシュボード名の横にある [メニュー] をクリックします。
  2. [重複] をクリックします。
    • 想定される失敗: メニューに [重複] オプションが表示されません。
    • 修正手順: chronicle.nativeDashboards.duplicate 権限があることを確認します。

既存のダッシュボードを編集する

可視化のメタデータとフィルタ設定を制御します。作成後、[ダッシュボードを編集] ページが自動的に開きます。

  1. [ダッシュボード] ページで、[メニュー] をクリックし、[ダッシュボードを編集] をクリックします。
  2. [詳細を編集] をクリックして、ダッシュボードの名前、説明、アクセス設定を更新します。
  3. [保存] をクリックします。
  4. [**フィルタ**] をクリックして、ダッシュボード レベルのフィルタを編集します。詳細については、ダッシュボードのフィルタをご覧ください。
  5. [フィルタを管理] 画面で、 [編集] をクリックして特定のグラフを変更します。
    • 想定される失敗: 編集アイコンが応答しません。 修正手順: chronicle.nativeDashboards.update IAM 権限があることを確認します。

ダッシュボードのアクセスを変更する

デフォルトでは、新しいダッシュボードは非公開です。共有ダッシュボードは、Google SecOps でダッシュボードを表示できるチームのすべてのメンバーに表示されます。この設定を変更できるのはダッシュボードのオーナーのみです。

  1. 共有するダッシュボードを選択します。
  2. ダッシュボード名の横にある [Menu] をクリックします。
  3. [共有] > [保存] をクリックします。
    • 想定される失敗: [共有] オプションが無効になっています。
    • 修正手順: ダッシュボードの元のオーナーであり、chronicle.nativeDashboards.update 権限があることを確認します。

ダッシュボードを削除する

ダッシュボードを削除するには、次のようにします。

  1. [ダッシュボード] ページで、ダッシュボード名の横にある [メニュー] をクリックします。
  2. [削除] をクリックします。
  3. [確認] をクリックします。
    • 想定される失敗: 他のユーザーが作成した共有ダッシュボードを削除できません。
    • 修正手順: chronicle.nativeDashboards.delete 権限を持つオーナーまたは管理者に連絡してください。

ダッシュボードをインポートまたはエクスポートする

JSON 仕様を使用して、インスタンス間でダッシュボード構成を移動したり、複雑なレイアウトをバックアップしたりします。

JSON にエクスポートする

レイアウトやフィルタ設定など、ダッシュボードの構成をローカル ファイルにダウンロードします。

  1. [ダッシュボード] ページで、ダッシュボード名の横にある [メニュー] をクリックします。
  2. [エクスポート] をクリックします。ファイルがマシンにダウンロードされます。
    • 注: エクスポートした JSON ファイルは手動で変更しないでください。コードを変更すると、再インポートできなくなります。

JSON からインポートする

有効な JSON 構成ファイルをアップロードして、ダッシュボードを即座に作成します。

  1. [ダッシュボード] ページで、[ダッシュボードを作成] > [JSON からインポート] をクリックします。
  2. JSON ファイルを参照して選択します。 注: Looker の機能を使用して作成されたダッシュボードは、インポートできません。
  3. [編集] をクリックして、名前、説明、アクセス設定を更新します。
  4. [Save] [>] [Import] をクリックします。

レポートをダウンロードする

すべてのグラフの読み込みが完了したら、ダッシュボード データをオフライン分析用のポータブル形式で抽出します。ニーズに適した形式を選択するには、次のガイドラインを使用します。

  • PDF と PNG: これらの形式では、画面に表示されているデータのみがキャプチャされます。データが表示領域を超えている場合、グラフのデータセット全体は含まれません。

  • CSV(ダッシュボード レベル): ダッシュボードのグラフごとに個別の CSV ファイルを含む ZIP ファイルが生成されます。

  • CSV(グラフ レベル): 特定のグラフのレポートを CSV ファイルとして個別にダウンロードして、データセット全体をキャプチャできます。

ダッシュボード レポートをダウンロードする

  1. [**ダッシュボード**] ページで、ダッシュボード名またはグラフ名の横にある [**メニュー**] をクリックします。
  2. [レポートをダウンロード] をクリックします。
  3. ファイル形式を選択します(CSVPDFPNG )。

トラブルシューティング

一般的なインターフェースの問題、権限エラー、データの読み込みの遅延を解決します。

エラーの修復

この表を使用して、ダッシュボードの管理中に発生する一般的な問題を特定して修正します。

エラー 問題 修正
ダウンロードが無効 [レポートをダウンロード] ボタンが無効のままです。 すべてのグラフの読み込みが完了するまで待ちます。ボタンは、データセット全体がレンダリングされた後にのみ有効になります。
インポートに失敗しました JSON ファイルをアップロードできないか、スキーマ エラーが表示されます。 ファイルが編集されていないことを確認します。Looker 固有の機能を持つダッシュボードはサポートされていません。
ダッシュボードが見つからない チームメンバーが共有したダッシュボードが表示されません。 [ダッシュボード] リストのフィルタを確認します。[共有] ビューがアクティブになっていることを確認し、検索条件をクリアします。

検証とテスト

ダッシュボードが正しく構成され、目的のユーザーがアクセスできることを確認するには、次の手順を行います。

  1. 新しく作成またはインポートしたダッシュボードを開いて、すべてのグラフが読み込まれることを確認します。
  2. [詳細を編集] メニューの [アクセス設定] を確認して、公開設定([非公開] または [共有])を確認します。
  3. [レポートをダウンロード] 機能でテストして、生成されたファイルに想定されるデータセットが含まれていることを確認します。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。