SOAR 信息中心概览

支持的平台:

本文档介绍了 Google Security Operations SOAR 中的 SOAR 信息中心页面,以及如何管理这些信息中心,并通过信息中心(包括各种微件)概览指定数据。这些 widget 可以显示任何指定的 SOC 环境或案例发生时间的数据。一个信息中心最多可包含 12 个 widget,这些 widget 可以采用饼图、条形图和表格等格式显示数据。如需显示与 SOC 状态相关的数据,您可以添加 SOAR 信息中心 widget

使用预定义的信息中心监控活动

Google Security Operations 提供以下预定义的可自定义信息中心,可帮助您监控和报告 SOC 活动:

  • Playbook 信息中心:playbook 性能概览,包括总体状态、分布、提醒处理和运行时指标。
  • SOC 状态:SOC 当前状态的概览,重点突出显示了与支持请求、提醒、突发事件和分析师活动相关的重要指标。

按数据自定义信息中心

您可以根据以下条件对 widget 进行分组,从而自定义信息中心的数据显示:

  • 与支持请求关联的分析师或 playbook
  • 商品或相关实体
  • 重要或不重要的支持请求

您可以应用内置过滤条件(例如标记、支持请求状态、支持请求优先级、支持请求阶段和支持请求关闭原因)来过滤显示的数据。

使用情形:向新信息中心添加新微件

本部分介绍了向新信息中心添加新 widget 的步骤。该 widget 提供了一个饼图(默认格式),显示了过去 6 个月内在所有环境中导致攻击的前五种产品。此演示按攻击次数降序排列。在此示例中,未应用任何过滤条件。在此场景中,未应用任何过滤条件。

  1. 前往信息中心和报告 > SOAR 信息中心
  2. 点击 filter_alt 过滤条件,然后将时间设置为过去 6 个月,并将环境设置为所有环境
  3. 依次点击 keyboard_arrow_down 查看所有信息中心 add 创建新信息中心
  4. 输入 Attacks 作为新信息中心的名称,然后点击创建
  5. 在新信息中心内,依次点击 添加 添加
  6. 微件设置对话框中,输入 Top 5 Attacks by Products 作为标题。
  7. 选择微件宽度
  9. 在数据显示中,系统默认设置为饼图。保留此设置。
  10. 按如下所示配置饼图字段:
    • 数量:提醒
    • 计算字段:计数
    • 分组依据:产品
    • 结果数量:5
    • 排序依据:降序
  11. 点击保存

新 widget 会以 Attacks 的形式添加到信息中心。

该饼图显示了过去 6 个月内与所有环境中的攻击相关联的前五种产品。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。