管理和配置信息中心
本文档面向希望在 Google SecOps 中管理可视化工作区的安全分析师和管理员。它介绍了如何查看、创建、修改和共享信息中心,以监控安全指标。通过这种方法,您可以维护井然有序的报告环境,并与各个安全团队进行协作。成功完成此操作后,您可以顺畅地访问关键数据,并安全地共享内部安全可视化图表。
本文档介绍了如何管理信息中心。“信息中心”页面会显示精选信息中心和自定义信息中心的列表。“信息中心”页面会显示精选信息中心和自定义信息中心的列表。首次访问时,您只能看到精选信息中心。
常见使用场景
通过以下使用场景,了解信息中心管理如何支持您的运营工作流并提高团队协作效率。
集中安全监控
- 目标: 将多个信息中心整理成一个经过过滤的视图。
- 价值: 通过固定和搜索功能显示最相关的信息中心,提高分诊效率。
协作处理自定义可视化图表
- 目标: 与更广泛的 SOC 团队共享私有信息中心,或将其导出到其他实例。
- 价值: 实现组织内报告的标准化,并防止重复创建信息中心。
导出信息中心数据
- 目标: 将信息中心数据提取为可移植的格式,以进行离线分析。
- 价值: 提高同事和客户之间的协作效率。
主要术语
- 精选信息中心: Google SecOps 提供的内置预定义可视化图表。
- 自定义信息中心: 用户创建的可视化图表,可以是空白图表、重复图表或导入的 JSON 文件。
- 共享访问权限: 一种设置,可让 Google SecOps 实例中的所有用户都能看到信息中心。
- 私有访问权限: 一种设置,可将信息中心可见性限制为仅限所有者。
准备工作
在尝试执行这些任务之前,请确认您拥有以下 IAM 权限:
- 查看信息中心:
chronicle.nativeDashboards.list - 创建信息中心:
chronicle.nativeDashboards.create - 修改/共享信息中心:
chronicle.nativeDashboards.update - 删除信息中心:
chronicle.nativeDashboards.delete - 导出/下载:
chronicle.nativeDashboards.get - 复制信息中心:
chronicle.nativeDashboards.duplicate
如需详细了解角色和权限,请参阅探索精选信息中心和威胁检测。
整理信息中心列表
信息中心 页面会显示精选信息中心和自定义信息中心。您可以使用以下界面操作自定义查看和访问安全数据的方式:
- 排序: 点击列标题即可按升序或降序排序。
- 搜索: 在搜索字段中输入值(例如所有者 ID)即可查找特定信息中心。
- 固定: 点击 固定 即可将信息中心移到列表顶部。
- 刷新: 点击 刷新 即可使用当前数据更新列表。
过滤信息中心列表
如需通过向列表应用逻辑过滤条件来查找特定指标或所有者,请按如下方式缩小视图范围:
- 点击 过滤条件。
- 选择一个逻辑运算符,然后选择一列。
- 在仅显示 列表中选择一个值,然后选择相应的值。
- 可选:点击添加过滤条件 以添加多个过滤条件。
- 点击应用 即可应用所选过滤条件并过滤信息中心列表。
- 预期失败:列表未更新或显示错误。
- 纠正步骤:验证您是否拥有
chronicle.nativeDashboards.list权限。
删除过滤条件
移除有效过滤条件,以返回到可用信息中心的完整列表或应用新条件,具体操作如下:
- 点击 过滤条件。
- 点击要移除的特定过滤条件旁边的 删除 。
- 点击应用 即可移除过滤条件,并根据所选过滤条件更新信息中心列表。
- 预期失败:点击 删除 后,信息中心列表仍处于过滤状态。
- 纠正步骤:移除 过滤条件 后,点击 应用 即可触发列表刷新。
查看信息中心
访问您提取的遥测数据的完整可视化图表,即可开始数据分析,具体操作如下:
- 前往信息中心 页面。
- 点击信息中心名称即可打开视图。
- 预期失败:信息中心名称不可点击或导致权限错误。
- 纠正步骤:确认您拥有
chronicle.nativeDashboards.getIAM 权限。
创建新信息中心
您可以从空白画布开始创建信息中心,也可以复制现有的内置信息中心,或导入 JSON 文件。
从空白模板开始构建
如需针对独特的监控要求构建专用视图,请按以下步骤操作:
- 在信息中心 页面上,点击创建信息中心 。
- 在创建信息中心 窗口中,输入名称和说明。
- 在从现有信息中心开始 列表中,选择空白信息中心 。
- 在访问权限设置下,将访问权限设置为私有或共享。
- 私有: 仅您自己可见。这些信息中心对所有其他用户(包括 Google SecOps 和 Google Cloud 项目管理员)保持隐藏状态。
- 共享: Google SecOps 实例中的所有用户均可访问。
- 点击创建 。如需开始添加数据,请参阅向信息中心添加图表。
创建空白信息中心后,您可以向信息中心添加图表。
复制现有信息中心
如需节省时间,您可以复制预定义的精选信息中心或现有的共享信息中心作为起点。
如需复制现有信息中心,请执行以下操作:
- 在信息中心 页面上,点击信息中心名称旁边的 菜单 。
- 点击复制 。
- 预期失败:菜单中缺少复制 选项。
- 纠正步骤:确认您拥有
chronicle.nativeDashboards.duplicate权限。
修改现有信息中心
控制可视化图表的元数据和过滤条件设置。创建后,系统会自动打开修改信息中心 页面。
- 在信息中心 页面上,依次点击 菜单 和修改信息中心 。
- 点击修改详细信息 即可更新信息中心名称、说明或访问权限设置。
- 点击保存 。
- 点击 过滤条件 即可修改信息中心级过滤条件。如需了解详情,请参阅信息中心中的过滤条件。
- 在管理过滤条件屏幕上,点击 修改即可修改特定图表。
- 预期失败:修改图标无响应。
纠正步骤:确认您拥有
chronicle.nativeDashboards.updateIAM 权限。
- 预期失败:修改图标无响应。
纠正步骤:确认您拥有
更改信息中心访问权限
默认情况下,新信息中心是私有的。有权在 Google SecOps 中查看信息中心的所有团队成员都可以看到共享信息中心。只有信息中心所有者才能更改此设置。
- 选择要共享的信息中心。
- 点击信息中心名称旁边的 菜单 。
- 依次点击共享 > 保存 。
- 预期失败:共享 选项已停用。
- 纠正步骤:确保您是信息中心的原始所有者,并且拥有
chronicle.nativeDashboards.update权限。
删除信息中心
如需删除信息中心,请执行以下操作:
- 在信息中心 页面上,点击信息中心名称旁边的 菜单 。
- 点击删除 。
- 点击确认 。
- 预期失败:您无法删除其他用户创建的共享信息中心。
- 纠正步骤:与拥有
chronicle.nativeDashboards.delete权限的所有者或管理员联系。
导入或导出信息中心
使用 JSON 规范在实例之间移动信息中心配置,或备份复杂的布局。
导出为 JSON 文件
将信息中心配置(包括布局和过滤条件设置)下载到本地文件。
- 在信息中心 页面上,点击信息中心名称旁边的 菜单 。
- 点击导出 。文件会下载到您的计算机。
- 注意: 请勿手动修改导出的 JSON 文件。更改代码会阻止成功重新导入。
从 JSON 文件导入
上传有效的 JSON 配置文件,即可立即创建信息中心。
- 在信息中心 页面上,依次点击创建信息中心 > 从 JSON 文件导入。
- 浏览并选择您的 JSON 文件。 注意: 不支持导入使用 Looker 功能构建的信息中心。
- 点击修改 即可更新名称、说明和访问权限设置。
- 依次点击保存 > 导入。
下载报告
所有图表加载完毕后,将信息中心数据提取为可移植的格式,以进行离线分析。请按照以下准则选择适合您需求的格式:
PDF 和 PNG:这些格式仅捕获屏幕上可见的数据。如果数据超出可见区域,则不会包含完整的图表数据集。
CSV(信息中心级):这会生成一个 ZIP 文件,其中包含信息中心内每个图表的单独 CSV 文件。
CSV(图表级):您可以单独下载特定图表的报告作为 CSV 文件,以捕获其完整数据集。
下载信息中心报告
- 在信息中心 页面上,点击信息中心或图表名称旁边的 菜单 。
- 点击下载报告 。
- 选择文件类型:CSV、PDF 或 PNG。
问题排查
解决常见的界面问题、权限错误或数据加载延迟问题。
错误修复
使用下表识别和修复在信息中心管理期间遇到的常见问题。
| 错误 | 问题 | 修复 |
|---|---|---|
| 下载已停用 | 下载报告 按钮仍处于停用状态。 | 等待所有图表加载完毕。只有在完整数据集呈现后,该按钮才会启用。 |
| 导入失败 | JSON 文件无法上传或显示架构错误。 | 验证文件是否已修改。不支持具有 Looker 特定功能的信息中心。 |
| 信息中心缺失 | 队友共享的信息中心不可见。 | 检查信息中心 列表过滤条件。验证“共享”视图是否处于有效状态,并清除搜索条件。 |
验证和测试
请按照以下步骤确认信息中心已正确配置,并且目标受众可以访问:
- 打开新创建或导入的信息中心,验证所有图表是否加载完毕。
- 检查修改详细信息 菜单中的访问权限设置 ,确认可见性(私有 或共享 )。
- 测试下载报告 功能,确认生成的文件包含预期的数据集。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。