管理及設定資訊主頁
本文適用於想在 Google SecOps 中管理視覺化工作區的安全分析師和管理員。本文說明如何查看、建立、編輯及共用資訊主頁,以便監控安全性指標。採用這種方法可維持有條不紊的報表環境,並與各個安全團隊協作。完成後,您就能順暢存取重要資料,並安全地分享內部安全視覺化內容。
本文說明如何管理資訊主頁。「資訊主頁」頁面會列出精選和自訂資訊主頁。首次存取時,只會看到精選資訊主頁。
常見用途
請參考這些用途,瞭解資訊主頁管理功能如何支援您的作業工作流程,並提升團隊協作效率。
集中監控安全性
- 目標:將多個資訊主頁整理成單一篩選檢視畫面。
- 價值:透過釘選和搜尋功能顯示最相關的資訊主頁,提升分流效率。
協作製作自訂圖表
- 目標:與更廣泛的 SOC 團隊共用私人資訊主頁,或將其匯出至其他執行個體。
- 價值:在整個機構中標準化報表,並防止建立多餘的資訊主頁。
重要術語
- 精選資訊主頁:Google SecOps 提供的內建預先定義視覺化內容。
- 自訂資訊主頁:使用者建立的視覺化內容,可以是空白、重複或匯入的 JSON。
- 共用存取權:這項設定可讓 Google SecOps 執行個體中的所有使用者查看資訊主頁。
- 私人存取權:這項設定會限制資訊主頁的瀏覽權限,只有擁有者才能查看。
事前準備
執行這些工作前,請確認您具備下列 IAM 權限:
- 查看資訊主頁:
chronicle.nativeDashboards.list - 建立資訊主頁:
chronicle.nativeDashboards.create - 編輯/共用資訊主頁:
chronicle.nativeDashboards.update - 刪除資訊主頁:
chronicle.nativeDashboards.delete - 匯出/下載:
chronicle.nativeDashboards.get - 重複的資訊主頁:
chronicle.nativeDashboards.duplicate
如要進一步瞭解角色和權限,請參閱「探索精選資訊主頁和威脅偵測結果」。
整理資訊主頁清單
「資訊主頁」頁面會顯示精選和自訂資訊主頁。您可以透過下列介面動作,自訂安全性資料的查看和存取方式:
- 排序:按一下資料欄標題,即可依遞增或遞減順序排序。
- 搜尋:在搜尋欄位中輸入值 (例如擁有者 ID),即可找出特定資訊主頁。
- 釘選:按一下「釘選」,即可將資訊主頁移至清單頂端。
- 重新整理:按一下「重新整理」,即可使用目前資料更新清單。
篩選資訊主頁清單
如要透過對清單套用邏輯篩選器,找出特定指標或擁有者,請按照下列步驟縮小檢視畫面:
- 按一下「篩選器」圖示 。
- 選取邏輯運算子和資料欄。
- 在「只顯示」清單中選取值,然後選取適當的值。
- 選用:按一下「新增篩選器」即可新增多個篩選器。
- 按一下「套用」,即可套用所選篩選條件並篩選資訊主頁清單。
- 預期失敗:清單不會更新或顯示錯誤。
- 修正步驟:確認您具備
chronicle.nativeDashboards.list權限。
刪除篩選器
如要返回完整的可用資訊主頁清單,或套用新條件,請移除有效篩選器,方法如下:
- 按一下「篩選器」圖示 。
- 找出要移除的篩選器,然後按一下旁邊的「刪除」。
- 按一下「套用」即可移除篩選器,並根據所選篩選器更新資訊主頁清單。
- 預期失敗:按一下「刪除」後,資訊主頁清單仍處於篩選狀態。
- 修正步驟:移除篩選器後,按一下「套用」,即可重新整理清單。
查看資訊主頁
存取已擷取的遙測資料完整視覺化圖表,開始進行資料分析,步驟如下:
- 前往「資訊主頁」頁面。
- 按一下資訊主頁名稱即可開啟檢視畫面。
- 預期會發生的錯誤:無法點選資訊主頁名稱,或導致權限錯誤。
- 修正步驟:確認您具備
chronicle.nativeDashboards.get身分與存取權管理權限。
建立新資訊主頁
您可以從空白畫布著手建立資訊主頁、複製現有的內建資訊主頁,或是匯入 JSON 檔案。
從空白範本開始建構
如要針對獨特的監控需求建立專屬檢視畫面,請按照下列步驟操作:
- 在「資訊主頁」頁面中,按一下「建立資訊主頁」。
- 在「建立資訊主頁」視窗中,輸入名稱和說明。
- 在「Start with Existing Dashboard」(使用現有資訊主頁) 清單中,選取「Blank Dashboard」(空白資訊主頁)。
- 在「存取設定」下方,將存取權設為「私人」或「共用」。
- 私人:只有您能看到。這些資料不會向其他使用者顯示,包括 Google SecOps 和 Google Cloud 專案管理員。
- 共用:Google SecOps 執行個體中的所有使用者都能存取。
- 點按「Create」(建立)。如要開始新增資料,請參閱「將圖表新增至資訊主頁」。
有了空白資訊主頁,您就可以在資訊主頁中新增圖表。
複製現有資訊主頁
如要節省時間,您可以複製預先定義的精選資訊主頁,或複製現有的共用資訊主頁做為起點。
如要複製現有資訊主頁,請按照下列步驟操作:
- 在「資訊主頁」頁面中,按一下資訊主頁名稱旁的「選單」圖示 。
- 按一下「複製」。
- 預期失敗:選單中缺少「複製」選項。
- 修正步驟:確認您具備
chronicle.nativeDashboards.duplicate權限。
編輯現有資訊主頁
控管資料的元資料和篩選器設定。建立完成後,系統會自動開啟「編輯資訊主頁」頁面。
- 在「資訊主頁」頁面中,按一下「選單」,然後按一下「編輯資訊主頁」。
- 按一下「編輯詳細資料」,即可更新資訊主頁名稱、說明或存取設定。
- 按一下 [儲存]。
- 按一下「篩選器」即可編輯資訊主頁層級的篩選器。詳情請參閱「資訊主頁中的篩選器」。
- 在「管理篩選器」畫面中,按一下「編輯」圖示 即可修改特定圖表。
- 預期失敗:編輯圖示沒有回應。
修正步驟:確認您具備
chronicle.nativeDashboards.update身分與存取權管理權限。
- 預期失敗:編輯圖示沒有回應。
修正步驟:確認您具備
變更資訊主頁存取權
根據預設,新資訊主頁會設為私人。只要是團隊成員,且有權在 Google SecOps 中查看資訊主頁,就能看到共用資訊主頁。只有資訊主頁擁有者可以變更這項設定。
- 選取要共用的資訊主頁。
- 按一下資訊主頁名稱旁的「選單」圖示 。
- 依序點選「共用」 >「儲存」。
- 預期失敗:系統會停用「分享」選項。
- 修正步驟:確認您是資訊主頁的原始擁有者,且具備
chronicle.nativeDashboards.update權限。
刪除資訊主頁
如要刪除資訊主頁,請按照下列步驟操作:
- 在「資訊主頁」頁面中,按一下資訊主頁名稱旁的「選單」圖示 。
- 按一下「Delete」(刪除)。
- 按一下「確認」。
- 預期會失敗:您無法刪除其他使用者建立的共用資訊主頁。
- 修正步驟:請聯絡擁有者或具有
chronicle.nativeDashboards.delete權限的管理員。
匯入或匯出資訊主頁
使用 JSON 規格在執行個體之間移動資訊主頁設定,或備份複雜的版面配置。
匯出為 JSON
將資訊主頁設定 (包括版面配置和篩選器設定) 下載到本機檔案。
- 在「資訊主頁」頁面中,按一下資訊主頁名稱旁的「選單」圖示 。
- 按一下 [匯出]。檔案會下載到您的電腦。
- 注意:請勿手動修改匯出的 JSON 檔案。如果變更程式碼,就無法順利重新匯入。
從 JSON 匯入
上傳有效的 JSON 設定檔,即可立即建立資訊主頁。
- 在「資訊主頁」頁面上,依序點選「建立資訊主頁」>「從 JSON 匯入」。
- 瀏覽並選取 JSON 檔案。 注意:系統不支援匯入使用 Looker 功能建立的資訊主頁。
- 按一下「編輯」即可更新名稱、說明和存取權設定。
- 依序點選「儲存」>「匯入」。
下載報表
所有圖表載入完畢後,即可將資訊主頁資料匯出為可攜式格式,進行離線分析。請按照下列規範,選擇符合需求的格式:
PDF 和 PNG:這些格式只會擷取畫面上顯示的資料。如果資料超出可視區域,系統不會顯示完整圖表資料集。
CSV (資訊主頁層級):系統會產生 ZIP 檔案,內含資訊主頁上每個圖表的個別 CSV 檔案。
CSV (圖表層級):您可以將特定圖表的報表下載為 CSV 檔案,擷取完整資料集。
下載資訊主頁報表
- 在「資訊主頁」頁面中,按一下資訊主頁或圖表名稱旁的「選單」圖示 。
- 按一下「下載報表」。
- 選取檔案類型:CSV、PDF 或 PNG。
疑難排解
解決常見的介面問題、權限錯誤或資料載入延遲問題。
錯誤修正
您可以透過下表找出並修正管理資訊主頁時遇到的常見問題。
| 錯誤 | 問題 | 修正 |
|---|---|---|
| 下載已停用 | 「下載報表」按鈕仍處於停用狀態。 | 等待所有圖表載入完畢。只有在完整資料集完成轉譯後,按鈕才會啟用。 |
| 匯入失敗 | 無法上傳 JSON 檔案,或顯示結構定義錯誤。 | 確認檔案未經過編輯。系統不支援使用 Looker 專屬功能的資訊主頁。 |
| 資訊主頁遺失 | 無法查看隊友分享的資訊主頁。 | 檢查「資訊主頁」清單篩選器。確認「共用」檢視畫面處於啟用狀態,並清除搜尋條件。 |
驗證和測試
請按照下列步驟操作,確認資訊主頁設定正確,且目標對象可存取:
- 開啟新建立或匯入的資訊主頁,確認所有圖表都已載入。
- 在「編輯詳細資料」選單中查看「存取權設定」,確認瀏覽權限為「私人」或「共用」。
- 測試「下載報表」功能,確認產生的檔案包含預期資料集。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。