管理和配置信息中心

支持的平台:

本文档适用于希望在 Google SecOps 中管理可视化工作区的安全分析师管理员。本文介绍了如何查看、创建、修改和共享信息中心,以监控安全指标。通过这种方法,您可以保持有条理的报告环境,并跨安全团队进行协作。成功完成此认证后,您将能够以更顺畅的方式访问关键数据,并安全地分享内部安全可视化图表。

本文档介绍了如何管理信息中心。“信息中心”页面会显示精选信息中心和自定义信息中心的列表。首次访问时,您只能看到精选信息中心。

常见使用场景

通过这些使用情形,您可以了解信息中心管理如何支持您的运营工作流程并改善团队协作。

集中进行安全监控

  • 目标:将多个信息中心整理成单个过滤视图。
  • 价值:通过固定和搜索最相关的信息中心,提高分诊效率。

协作处理自定义可视化图表

  • 目标:与更广泛的 SOC 团队共享私有信息中心,或将其导出到其他实例。
  • 价值:在整个组织内实现报告标准化,并防止创建冗余的控制面板。

主要术语

  • 精选信息中心:Google SecOps 提供的内置预定义可视化图表。
  • 自定义信息中心:用户创建的可视化图表,可以是空白图表、重复图表或导入的 JSON 图表。
  • 共享访问权限:一种设置,可让 Google SecOps 实例中的所有用户查看信息中心。
  • 不公开访问权限:一种设置,可将信息中心的公开范围限制为仅限所有者。

准备工作

在尝试执行这些任务之前,请确认您拥有以下 IAM 权限:

  • 查看信息中心chronicle.nativeDashboards.list
  • 创建信息中心chronicle.nativeDashboards.create
  • 修改/共享信息中心chronicle.nativeDashboards.update
  • 删除信息中心chronicle.nativeDashboards.delete
  • 导出/下载chronicle.nativeDashboards.get
  • 复制信息中心chronicle.nativeDashboards.duplicate

如需详细了解角色和权限,请参阅探索精选的信息中心和威胁检测

整理信息中心列表

信息中心页面会显示精选信息中心和自定义信息中心。您可以使用以下界面操作自定义安全数据的查看和访问方式:

  • 排序:点击列标题可按升序或降序排序。
  • 搜索:在搜索字段中输入值(例如所有者 ID),以查找特定信息中心。
  • 固定:点击 固定可将信息中心移至列表顶部。
  • 刷新:点击 刷新,即可使用当前数据更新列表。

过滤信息中心列表

如需通过向列表应用逻辑过滤条件来查找特定指标或所有者,请按以下方式缩小视图范围:

  1. 点击 过滤
  2. 选择一个逻辑运算符,然后选择一个列。
  3. 仅显示列表中选择一个值,然后选择相应的值。
  4. 可选:点击添加过滤条件以添加多个过滤条件。
  5. 点击应用以应用所选过滤条件并过滤信息中心列表。
    • 预期失败情况:列表未更新或显示错误。
    • 更正步骤:验证您是否拥有 chronicle.nativeDashboards.list 权限。

删除过滤条件

移除有效过滤条件,即可返回到可用信息中心的完整列表或应用新条件,具体操作如下:

  1. 点击 过滤
  2. 点击要移除的特定过滤条件旁边的删除
  3. 点击应用可移除过滤条件,并根据所选过滤条件更新信息中心列表。
    • 预期故障:点击删除后,信息中心列表仍处于过滤状态。
    • 更正步骤:移除 过滤条件后,点击应用以触发列表刷新。

查看信息中心

如需访问已提取的遥测数据的完整可视化图表以开始数据分析,请执行以下操作:

  1. 前往信息中心页面。
  2. 点击信息中心名称以打开相应视图。
    • 预期失败:信息中心名称无法点击或导致权限错误。
    • 纠正措施:确认您拥有 chronicle.nativeDashboards.get IAM 权限。

创建新信息中心

您可以从空白画布入手、复制现有的内置信息中心或导入 JSON 文件来创建信息中心。

从空白模板开始构建

如需根据独特的监控需求构建专用视图,请按照以下步骤操作:

  1. 信息中心页面上,点击创建信息中心
  2. 创建信息中心窗口中,输入名称和说明。
  3. 从现有信息中心开始列表中,选择空白信息中心
  4. 访问权限设置下,将访问权限设为不公开共享
    • 不公开:只有您自己可以看到。这些数据对所有其他用户(包括 Google SecOps 和 Google Cloud 项目管理员)保持隐藏状态。
    • 共享:Google SecOps 实例中的所有用户都可以访问。
  5. 点击创建。如需开始添加数据,请参阅向信息中心添加图表

有了空白信息中心后,您可以向信息中心添加图表

复制现有信息中心

为节省时间,您可以复制预定义的精选信息中心或现有的共享信息中心作为起点。

如需复制现有信息中心,请执行以下操作:

  1. 信息中心页面上,点击信息中心名称旁边的菜单
  2. 点击复制
    • 预期失败:菜单中缺少复制选项。
    • 更正步骤:确认您拥有 chronicle.nativeDashboards.duplicate 权限。

修改现有信息中心

控制可视化图表的元数据和过滤条件设置。创建完成后,系统会自动打开修改信息中心页面。

  1. 信息中心页面上,点击 菜单,然后点击修改信息中心
  2. 点击修改详细信息,以更新信息中心的名称、说明或访问权限设置。
  3. 点击保存
  4. 点击过滤条件以修改信息中心级过滤条件。如需了解详情,请参阅信息中心内的过滤条件
  5. 管理过滤条件界面上,点击 修改以修改特定图表。
    • 预期故障:编辑图标无响应。 纠正措施:确认您拥有 chronicle.nativeDashboards.update IAM 权限。

更改信息中心访问权限

默认情况下,新信息中心处于不公开状态。有权在 Google SecOps 中查看信息中心的所有团队成员都可以看到共享信息中心。只有信息中心所有者才能更改此设置。

  1. 选择要分享的信息中心。
  2. 点击信息中心名称旁边的菜单
  3. 依次点击分享 > 保存
    • 预期失败:分享选项处于停用状态。
    • 更正步骤:确保您是信息中心的原所有者,并且拥有 chronicle.nativeDashboards.update 权限。

删除信息中心

要删除信息中心,请执行以下操作:

  1. 信息中心页面上,点击信息中心名称旁边的菜单
  2. 点击删除
  3. 点击确认
    • 预期失败:您无法删除其他用户创建的共享信息中心。
    • 更正步骤:请与所有者或具有 chronicle.nativeDashboards.delete 权限的管理员联系。

导入或导出信息中心

使用 JSON 规范在实例之间移动信息中心配置,或备份复杂的布局。

导出为 JSON

将您的信息中心配置(包括布局和过滤条件设置)下载到本地文件中。

  1. 信息中心页面上,点击信息中心名称旁边的菜单
  2. 点击导出。文件会下载到您的计算机上。
    • 注意:请勿手动修改导出的 JSON 文件。更改代码会阻止成功重新导入。

从 JSON 文件导入

上传有效的 JSON 配置文件,即可立即创建信息中心。

  1. 信息中心页面上,依次点击创建信息中心 > 从 JSON 导入
  2. 浏览并选择您的 JSON 文件。 注意:不支持导入使用 Looker 功能构建的信息中心。
  3. 点击修改以更新名称、说明和访问权限设置。
  4. 依次点击保存 > 导入

下载报告

在所有图表加载完毕后,将信息中心数据提取为可移植的格式,以供离线分析。请根据以下准则选择适合您需求的格式:

  • PDF 和 PNG:这些格式仅捕获屏幕上可见的数据。如果数据超出可见区域,则不会包含完整图表数据集。

  • CSV(信息中心级):这会生成一个 ZIP 文件,其中包含信息中心上每个图表的单独 CSV 文件。

  • CSV(图表级):您可以单独下载特定图表的报告(以 CSV 文件形式),以捕获其完整的数据集。

下载信息中心报告

  1. 信息中心页面上,点击信息中心或图表名称旁边的菜单
  2. 点击下载报告
  3. 选择文件类型:CSVPDFPNG

问题排查

解决常见的界面问题、权限错误或数据加载延迟问题。

错误修正

您可以使用下表来识别和解决信息中心管理期间遇到的常见问题。

错误 问题 修复
下载已停用 下载报告按钮仍处于停用状态。 等待所有图表完成加载。只有在完整数据集呈现后,该按钮才会激活。
导入失败 JSON 文件无法上传或显示架构错误。 验证文件是否未被修改。不支持具有 Looker 特定功能的信息中心。
信息中心缺失 无法看到队友分享的信息中心。 检查信息中心列表过滤条件。验证“共享”视图是否处于有效状态,并清除搜索条件。

验证和测试

请按照以下步骤操作,确认信息中心已正确配置,并且目标受众群体可以访问:

  1. 打开新创建或导入的信息中心,验证所有图表是否都已加载。
  2. 修改详细信息菜单中查看访问权限设置,确认公开范围(不公开共享)。
  3. 测试下载报告功能,确认生成的文件包含预期的数据集。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。