Usar Exploraciones de Looker en informes de SOAR

Disponible en:

Las Exploraciones de Looker son herramientas de análisis de datos interactivas de Google Security Operations que te permiten crear informes y visualizaciones personalizados sin escribir código complejo. Sirven de base para los informes avanzados y ofrecen una forma flexible de analizar los datos de seguridad. En este documento no se explica cómo crear y editar Exploraciones de Looker. Para obtener información sobre las exploraciones, consulta el artículo Crear y editar exploraciones de Looker.

Consultar informes de SOAR avanzados

Puede encontrar Exploraciones de Looker en la pestaña Informes SOAR avanzados. Cada una de ellas proporciona datos especializados y funciones de visualización que se pueden usar para crear informes avanzados.

Los informes avanzados de SOAR predeterminados son un conjunto de paneles e informes que ayudan a monitorizar el rendimiento del SOC, la gestión de casos, la carga de trabajo de los analistas y la eficiencia de la automatización. Estos informes proporcionan estadísticas generales y detalladas de tus entornos, lo que te permite monitorizar el rendimiento a diario y generar resúmenes para ejecutivos.

Muchos informes requieren marcas o configuraciones específicas para que los datos sean precisos, que se indican en cada descripción.

En esta sección se describen estos informes de uso habitual. Cada informe incluye paneles visuales que respaldan las decisiones basadas en datos y la mejora continua del centro de operaciones de seguridad. Después de la tabla, se muestra el rendimiento de los informes clave.


Tipo de informe
Descripción

Alertas y entidades
Monitoriza y analiza entidades, alertas, casos e incidentes. Proporciona métricas clave y opciones de filtrado para ayudarte a comprender tus datos de seguridad. Puedes hacer lo siguiente:
  • Monitoriza métricas como el número de casos, el tiempo medio de gestión y el número de incidencias.
  • Filtrar los datos por dimensiones como la prioridad del caso, la fase y la causa principal.
  • Monitoriza la eficiencia de la gestión de casos mediante métricas basadas en el tiempo, como el tiempo de gestión y el estado del SLA.

Requisito previo:
Usa la marca Incidente para identificar incidentes en los casos.

Analyst Case Load Tracker
Muestra la distribución de la carga de trabajo entre los analistas en un momento dado, lo que te ayuda a monitorizar la plantilla y el rendimiento de tu SOC.
  • Análisis de la carga de trabajo: visualiza y analiza las cargas de trabajo haciendo un seguimiento de la hora del día y del día de la semana.
  • Monitorización del rendimiento: monitoriza el rendimiento en diferentes periodos.
  • Seguimiento individual: monitoriza la carga de trabajo de cada usuario por día, semana y mes.

Casos
Monitoriza y analiza los casos desde su creación hasta su cierre. Proporciona información detallada para ayudarte a hacer un seguimiento de todo el ciclo de vida del caso. Puedes hacer lo siguiente:
  • Busca dimensiones clave, como la prioridad, el estado, la fase, el entorno y el motivo de cierre del caso.
  • Monitoriza métricas como el número de casos, el tiempo medio de asignación (MTTA) y el tiempo medio de resolución (MTTR).
  • Consulta los detalles de los usuarios y los asignados, incluidos sus roles y correos electrónicos, así como las fechas de inicio de las asignaciones.

Casos y alertas
Combina datos de casos y alertas para ayudarte a analizar cómo se procesan los eventos de seguridad en casos, incluidos los siguientes:
  • Dimensiones clave: filtra por prioridad del caso, fase, causa principal, nombre de la regla de alerta y producto.
  • Opciones de filtro: filtra por acciones de runbook y estado del incidente.
  • Métricas: usa el número de casos prácticos y alertas para obtener información valiosa sobre el flujo de incidentes de seguridad.

Historial del caso
Monitoriza todo el ciclo de vida de los casos y proporciona un análisis detallado de la eficiencia de la gestión de los casos y de los plazos de los procesos.
  • Seguimiento del ciclo de vida: sigue los casos desde las transiciones de fase hasta las asignaciones de analistas.
  • Estadísticas detalladas: analiza las métricas basadas en el tiempo en varias combinaciones de fases.
  • Funciones de filtro: filtra los casos por nombre, prioridad, estado y entorno.

Informe de cliente
Un panel de control de resumen que ofrece una vista general de la cobertura de SOC en áreas operativas clave.

Requisitos previos:
  • Usa la marca Marcar como importante para identificar los casos importantes.
  • Use la marca Incidente para identificar los incidentes.
  • Define los objetivos de los acuerdos de nivel de servicio para el cierre de casos.
  • Todos los casos no maliciosos se consideran falsos positivos.

Panel de control para ejecutivos
Este panel de control, diseñado para monitorizar los indicadores clave de rendimiento (KPIs), resume el número de incidencias, los tiempos de resolución, el cumplimiento de los acuerdos de nivel de servicio y otras métricas clave.

Requisitos previos:
  • Usa la marca Incidentes para identificar incidentes.
  • Define los objetivos de los acuerdos de nivel de servicio para el cierre de casos.
  • Los casos escalados deben identificarse con la marca Stage Escalated (Fase de escalada).

Detección y respuesta gestionadas
Ideal para generar informes diarios, semanales o mensuales. Monitoriza las alertas, la creación de casos, la evaluación, la resolución y los datos de los acuerdos de nivel de servicio en un formato compacto, como los siguientes:
  • Monitorización del ANS: usa la opción Tiempo de triaje y la marca ANS cumplido para monitorizar el cumplimiento del ANS y mejorar la gestión de casos.
  • Priorización y revisión: usa Prioridad del caso y Causa raíz del cierre del caso para priorizar los casos y revisar los cierres.

Requisitos previos:
  • Usa la marca Etapa de derivación para identificar los casos derivados.
  • El tiempo de triaje se define como el tiempo que se tarda en confirmar un caso.

Monitorización mensual de amenazas
Un resumen mensual de las alertas, los productos afectados, la gravedad de las alertas y otros indicadores clave.

Panel de control de MTTX
Un panel de control de seguimiento del tiempo diseñado para mostrar el tiempo transcurrido entre las fases clave del ciclo de vida de un caso, desde la creación hasta el inicio y el final de las fases específicas de gestión de incidentes. Puede personalizar parámetros, como stages y timestamps.

Informe de carga de trabajo de analista
Visualiza métricas de carga de trabajo del SOC, como las distribuciones de alertas y eventos, las tendencias de casos abiertos y cerrados, el rendimiento de la agrupación de alertas y las tendencias de falsos positivos. Consulta los detalles del rendimiento.

Informe "Tiempos de respuesta"
Monitoriza el tiempo medio de detección (MTTD) y el tiempo medio de corrección (MTTR) en varias dimensiones, como equipos, tipos de alertas y fases de respuesta, lo que ofrece información valiosa sobre la eficiencia operativa. Consulta los detalles de rendimiento y los ejemplos.

Informe de análisis de la guía
Mide la eficacia de la automatización y destaca cómo las acciones basadas en runbooks mejoran el rendimiento del SOC y reducen los tiempos de gestión. Consulta los detalles del rendimiento.

Informe de retorno de la inversión
Un panel de control de una sola página que cuantifica el tiempo y el esfuerzo que se ahorran gracias a la automatización. Incluye un desglose de las acciones automáticas y manuales, así como su distribución entre los productos.

Informe del centro de operaciones de seguridad
Este informe se ha diseñado para clientes que gestionan varios clientes (por ejemplo, proveedores de servicios de seguridad gestionados) y permite cambiar de cliente y filtrar por periodos flexibles. Sus gráficos concisos son ideales para resúmenes semanales o mensuales.

Informe "Posición de seguridad y rendimiento de los sensores"
Ofrece visibilidad sobre las tendencias de las amenazas y el rendimiento de los sensores a lo largo del tiempo, lo que ayuda a identificar falsos positivos y a ajustar la configuración de los sensores. Consulta los detalles del rendimiento.

Rendimiento general del nivel de la herramienta de seguimiento de autorizaciones
También se denomina Monitor de autorizaciones general. Este panel de control monitoriza el volumen de casos y la resolución en los distintos niveles de tu SOC.

Rendimiento por nivel
Analiza la eficiencia de cualquier categoría de rol de SOC haciendo un seguimiento del número de alertas durante un periodo específico.
  • Dimensiones clave: use Nombre del rol de SOC y Entorno para filtrar y evaluar el rendimiento del equipo.
  • Métricas: monitoriza el número de alertas creadas, cerradas y pendientes para obtener información valiosa sobre la distribución de la carga de trabajo y la gestión de alertas.

Ver casos del panel de control
Ofrece una vista completa de la gestión y el rendimiento de los casos que combina detalles sobre casos, alertas, entidades, progreso de las fases y asignación de analistas. Esta vista permite hacer análisis detallados con dimensiones y métricas basadas en etiquetas. Esta exploración ofrece una amplia gama de métricas de rendimiento y opciones de búsqueda detalladas, entre las que se incluyen las siguientes:
  • Dimensiones de búsqueda: Prioridad de la incidencia, Motivo del cierre de la incidencia, Analista de primera/última gestión, Nombre de la regla de alerta y Producto.
  • KPIs: casos cerrados automáticamente o manualmente, tiempo medio de detección, tiempo medio de gestión, tiempo medio de corrección y resumen de casos por prioridad.

Analizar el rendimiento para generar informes de SOAR avanzados

Cada informe incluye paneles visuales que respaldan las decisiones basadas en datos y la mejora continua del centro de operaciones de seguridad.

Informe Tiempos de respuesta

Este informe destaca el tiempo que pasan los casos en las distintas fases del ciclo de vida de la respuesta. Incluye métricas como el tiempo medio de detección (MTTD), el tiempo medio de corrección (MTTR) y el tiempo medio de gestión por rol o fase del SOC. Estas estadísticas ayudan a los equipos a identificar retrasos, evaluar la eficiencia operativa y mejorar los flujos de trabajo de triaje y corrección de casos.

  • Tiempo medio de detección (MTTD): tiempo medio transcurrido desde la creación del caso hasta que se asigna a un usuario.
    Formato: days-hours-minutes-seconds
    El widget muestra 0 si el caso no está asignado.
  • Tiempo medio de corrección (MTTR): tiempo medio transcurrido desde la creación del caso hasta que pasa a la fase de corrección.
    Formato: days-hours-minutes-seconds
    El widget muestra N/A si no hay ninguna fase de corrección.
  • Tiempo medio de gestión por rol del SOC: muestra el tiempo medio que un rol del SOC dedica a un caso desde que se le asigna hasta que se cierra o se le reasigna.
  • Tiempo medio de gestión por fase: muestra el tiempo medio dedicado a cada fase, desde el momento en que empieza una fase hasta que se cierra el caso o pasa a otra fase.
  • Tiempo medio de triaje: muestra el tiempo medio de gestión de la fase de triaje por fecha en diferentes reglas.
  • Tiempo medio de preparación de la fase de triaje: muestra el tiempo medio de preparación de la fase de triaje por fecha.
  • Tiempo medio de gestión por rol de SOC y fecha: muestra el tiempo medio de gestión por rol de SOC y fecha.

Informe Carga de trabajo de analista

El informe Carga de trabajo del analista proporciona visibilidad sobre cómo se distribuyen las alertas, los eventos y los casos entre las reglas, y cómo influyen en la carga de trabajo del analista del SOC. Ayuda a identificar tendencias en el volumen de alertas, el estado de los casos, los falsos positivos y el tiempo dedicado a gestionar los casos, lo que permite a los equipos optimizar la dotación de personal, la configuración de reglas y la eficiencia de la respuesta.

  • Distribución de alertas entre reglas: muestra la distribución y el porcentaje de alertas por tipo de regla.
  • Distribución de eventos entre reglas: muestra el porcentaje de eventos por tipo de regla.
  • Casos abiertos y cerrados: muestra la distribución del número de casos abiertos y cerrados.
  • Casos frente a alertas: muestra la distribución entre el número de casos y alertas.
  • Falsos positivos frente a tiempo de gestión: un gráfico de doble eje muestra la tasa de falsos positivos en comparación con el tiempo medio de gestión.
    • La tasa de falsos positivos es el porcentaje de casos no maliciosos del total de casos.
    • El tiempo medio de gestión mide la duración desde la creación del caso hasta su cierre.
    • El gráfico solo muestra información de los casos cerrados.

Informe sobre el estado de seguridad y el rendimiento de los sensores

El informe Estado de seguridad y rendimiento de los sensores se centra en la eficacia de las reglas de detección y los sensores de seguridad de tu entorno. Muestra cómo se distribuyen las alertas por regla y producto, hace un seguimiento del volumen de alertas a lo largo del tiempo y visualiza las tasas de falsos positivos. Estas estadísticas te ayudan a evaluar la cobertura de detección, identificar reglas ruidosas o productos con un rendimiento inferior y ajustar tu postura de seguridad.

  • Porcentaje de alertas por regla: muestra la distribución y el porcentaje de alertas por tipo de regla.
  • Número de alertas por regla por fecha: muestra el número de alertas por tipo de regla a lo largo del tiempo.
  • Porcentaje de alertas por producto: muestra la distribución y el porcentaje de alertas por producto.
  • Número de alertas por producto y fecha: muestra el número de alertas por producto y fecha.
  • Tasa de falsos positivos frente al producto: muestra la tasa de falsos positivos por tipo de producto.
    • La tasa de falsos positivos es el porcentaje de casos no maliciosos del total de casos.
    • El gráfico solo muestra información sobre los casos cerrados.

Análisis de la guía

El informe Análisis de guías evalúa la eficacia de la automatización mediante guías. Destaca las alertas que se automatizan con más frecuencia, las principales alertas cerradas mediante automatización y compara las tasas de falsos positivos y los tiempos de gestión de las alertas con y sin automatización de guías. Usa estas estadísticas para evaluar el impacto de la automatización en la resolución de casos e identificar oportunidades para ampliar la cobertura de las guías.

  • 10 principales alertas automatizadas: muestra las 10 reglas con el mayor porcentaje de alertas automatizadas.Una alerta automatizada es aquella que se vincula automáticamente a una guía.
  • Las 10 principales alertas cerradas por automatización: muestra las 10 reglas con el mayor porcentaje de alertas que se han cerrado automáticamente mediante un cuaderno de estrategias. El gráfico solo muestra información de los casos cerrados.
  • Falsos positivos frente al tiempo de gestión de las alertas no automatizadas: en el caso de las alertas que no tienen una guía adjunta automáticamente, este widget incluye un gráfico de dos ejes que muestra la tasa de falsos positivos en comparación con el tiempo de gestión medio.
    • El gráfico solo muestra información sobre los casos cerrados.
    • Este gráfico solo incluye datos de casos cerrados y estará vacío si no hay alertas sin guiones.

Gestionar informes de SOAR avanzados en Looker

Asignar acceso y permisos

En la página Permisos, puedes asignar los siguientes permisos a los usuarios:

  • Ver: selecciona la casilla Ver informes avanzados para conceder acceso a la pestaña Informes avanzados.
  • Editar: selecciona la casilla Permitir editar informes avanzados para conceder acceso a la creación, edición, duplicación, uso compartido, descarga y eliminación de informes avanzados.

Todos los usuarios de la plataforma pueden acceder a los informes avanzados a través de la pestaña Informes sin necesidad de realizar ninguna configuración previa.

Gestionar informes avanzados

En la pestaña Informes avanzados están disponibles las siguientes carpetas:

  • Predeterminado (solo administradores): informes predefinidos que no se pueden editar directamente. Sin embargo, puedes duplicarlos en otra carpeta para editarlos.
  • Personales: informes que creas tú mismo con los componentes de Looker. También puede duplicar y guardar informes de las carpetas Predeterminada o Compartidos.
  • Compartidos: informes que ha creado y compartido con otros usuarios, o que otros usuarios han creado y compartido con usted.

Puede gestionar sus informes avanzados compartiéndolos con otros usuarios, duplicándolos en diferentes carpetas o entornos, o cambiando el nombre de los informes que haya creado o copiado. En esta sección se describe cómo realizar estas acciones en la interfaz Informes avanzados.

Compartir informes

  1. Haz clic en compartir Compartir.
  2. Selecciona los entornos con los que quieras compartir el informe.
  3. Opcional: Marca la casilla correspondiente para dar acceso de solo lectura a los usuarios.

Informes duplicados

  1. Haz clic en content_copy Duplicar informe.
  2. Selecciona la carpeta de destino y los entornos necesarios.
  3. Opcional: Cambia el nombre del informe duplicado.

Cambiar el nombre de los informes de Looker

Solo puedes cambiar el nombre de los informes que hayas duplicado y que se encuentren en tu carpeta personal o compartida.

  1. Abre el informe cuyo nombre quieras cambiar.
  2. Haz clic en more_vertAcciones del panel de control y selecciona Editar panel de control.
  3. Haga clic en el campo del nombre del informe, introduzca un nombre nuevo y haga clic en Guardar.

Usar campos personalizados en informes avanzados

Puede usar los campos personalizados creados en Google SecOps en informes avanzados para obtener información más detallada sobre sus casos y alertas. Para saber cómo usar los campos personalizados en los informes de Looker, incluidas las fórmulas de LookML y las técnicas de filtrado, consulte el artículo Gestionar campos personalizados.

Crear un informe con exploraciones de SOAR

Las exploraciones de SOAR te permiten definir y visualizar datos específicos seleccionando los campos pertinentes. Aunque son similares a los paneles de control estándar de Looker, las Exploraciones de SOAR incluyen campos adicionales específicos de SOAR. Para obtener más información, consulta el artículo Añadir una visualización de gráfico a un panel de control.
Para crear un informe con Exploraciones de SOAR, sigue estos pasos:

  1. Vaya a Paneles de control e informes > Informes de SOAR.
  2. Haga clic en Informes avanzados.
  3. Haz clic en Añadir Añadir informe.
  4. En el cuadro de diálogo Crear informe, introduce un nombre para el informe, selecciona una carpeta y elige un entorno.
  5. Haga clic en Crear para mostrar el nuevo informe.
  6. Seleccione el informe y haga clic en Editar panel.
  7. Haga clic en Añadir, situado debajo del nombre del informe.
  8. En la lista, selecciona Visualización.
  9. En el cuadro de diálogo Elige una exploración, selecciona la exploración de SOAR pertinente para acceder a los campos de datos específicos de tu informe.
  10. En la pestaña Todos los campos, seleccione las dimensiones y las medidas que sean relevantes para su informe.
  11. Personaliza el informe según sea necesario y haz clic en Guardar. El mosaico de visualización se añade al panel de control.

Nota: Para editar cada tarjeta del panel de control, haz clic en Editar en la tarjeta del panel de control.

Consejos para solucionar problemas

Puede que aparezca el siguiente error en la página Informes avanzados:
You are not authenticated to view this page.

Si te has autenticado y ves este error, es posible que tu navegador esté bloqueando las cookies de Looker.
Para habilitar las cookies de Looker en tu navegador y acceder a informes avanzados, debes seguir los pasos correspondientes a tu navegador.

Para habilitar las cookies de Looker y acceder a la página Informes avanzados en Google Chrome, sigue estos pasos:

  1. Haz clic con el botón derecho en cualquier parte de la página y selecciona Inspeccionar.
  2. Haz clic en uno de los informes y copia la URL en el portapapeles.
  3. En Chrome, ve a Configuración > Privacidad y seguridad > Cookies de terceros.
  4. En Con permiso para usar cookies de terceros, haga clic en Añadir y pegue la URL de Looker.

Ahora debería poder acceder a los informes avanzados y verlos.

Limitaciones y problemas conocidos

Los informes avanzados de SOAR tienen los siguientes problemas conocidos y limitaciones:

  • Eliminar informes: la opción Mover a la papelera del menú Acciones del panel de control no funciona. Para eliminar un informe, haga clic en Eliminar informe encima del informe.
  • Probar ahora en la entrega programada: la acción Probar ahora no funciona. Para probar el envío de informes, haz clic en Enviar ahora en el cuadro de diálogo Programaciones.
  • Limitación de las consultas de combinación: los informes que usan la acción Combinar consultas no se pueden exportar ni importar.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.