Usa Explorar de Looker en los informes de SOAR

Compatible con:

Los Exploradores de Looker son herramientas interactivas de análisis de datos en Google Security Operations que te permiten crear informes y visualizaciones personalizados sin escribir código complejo. Sirven como base para la generación de informes avanzados y proporcionan una forma flexible de analizar tus datos de seguridad. En este documento, no se proporciona información sobre cómo crear y editar exploraciones de Looker. Para obtener detalles sobre las exploraciones, consulta Cómo crear y editar exploraciones de Looker.

Explora informes avanzados de SOAR

Puedes encontrar las Exploraciones de Looker en la pestaña Informes SOAR avanzados. Cada una proporciona datos especializados y capacidades de visualización que se pueden usar para crear informes avanzados.

Los informes avanzados predeterminados de SOAR son un conjunto de paneles e informes que ayudan a hacer un seguimiento del rendimiento del SOC, el manejo de casos, la carga de trabajo de los analistas y la eficiencia de la automatización. Estos informes proporcionan estadísticas detalladas y de alto nivel en todos tus entornos, y admiten casos de uso que van desde la supervisión diaria hasta los resúmenes a nivel ejecutivo.

Muchos informes requieren marcas o configuraciones específicas para garantizar la precisión de los datos, que se indican en cada descripción.

En esta sección, se describen estos informes de uso frecuente. Cada informe incluye paneles visuales que respaldan las decisiones basadas en datos y la mejora continua del SOC. Después de la tabla, se muestra el rendimiento de los informes clave.


Tipo de informe
Descripción

Alertas y entidades
Supervisa y analiza entidades, alertas, casos e incidentes. Proporciona métricas clave y opciones de filtrado para ayudarte a comprender tus datos de seguridad. Puedes hacer lo siguiente:
  • Supervisar métricas como la cantidad de casos, el tiempo promedio de atención y la cantidad de incidentes
  • Filtrar los datos con dimensiones como la prioridad del caso, la etapa y la causa raíz
  • Realiza un seguimiento de la eficiencia en el manejo de casos a través de medidas basadas en el tiempo, como el tiempo de manejo y el estado del ANS.

Requisito previo:
Usa la marca Incidente para identificar incidentes en los casos.

Herramienta de seguimiento de la carga de casos de los analistas
Muestra la distribución de la carga de trabajo entre los analistas en un momento determinado, lo que te ayuda a supervisar el personal y el rendimiento en tu SOC.
  • Análisis de la carga de trabajo: Visualiza y analiza la carga de casos haciendo un seguimiento de la hora del día y el día de la semana.
  • Performance Monitoring: Supervisa el rendimiento en diferentes períodos.
  • Seguimiento individual: Realiza un seguimiento de la carga de trabajo de cada usuario por día, semana y mes.

Casos
Supervisa y analiza los casos desde su creación hasta su cierre. Proporciona detalles integrales para ayudarte a hacer un seguimiento de todo el ciclo de vida del caso. Puedes hacer lo siguiente:
  • Buscar dimensiones clave, como la prioridad, el estado, la etapa, el entorno y el motivo de cierre del caso
  • Realiza un seguimiento de las métricas, como la cantidad de casos, el tiempo promedio de asignación (MTTA) y el tiempo promedio de resolución (MTTR).
  • Ver los detalles del usuario y del asignatario, incluidos sus roles y correo electrónico, junto con las fechas de inicio de la asignación

Casos y alertas
Combina datos de casos y alertas para ayudarte a analizar cómo se procesan los eventos de seguridad en casos, lo que incluye lo siguiente:
  • Dimensiones clave: Filtra por prioridad del caso, etapa, causa raíz, nombre de la regla de alerta y producto.
  • Opciones de filtro: Filtra por acciones de la guía y estado del incidente.
  • Medidas: Recuentos de casos de uso y alertas para obtener estadísticas sobre el flujo de incidentes de seguridad

Historial de casos
Realiza un seguimiento de todo el ciclo de vida de los casos y proporciona un análisis detallado de la eficiencia en el manejo de casos y los cronogramas de los procesos.
  • Seguimiento del ciclo de vida: Sigue los casos desde las transiciones de etapa hasta las asignaciones de analistas.
  • Estadísticas detalladas: Analiza las métricas basadas en el tiempo en varias combinaciones de fases.
  • Capacidades de filtrado: Filtra casos por nombre, prioridad, estado y entorno.

Informe de clientes
Un panel de resumen que ofrece una vista general de la cobertura del SOC en las principales áreas operativas.

Requisitos previos:
  • Usa la marca Marcar como importante para identificar los casos importantes.
  • Usa la marca Incidente para identificar incidentes.
  • Define objetivos de ANS para el cierre de casos.
  • Todos los casos no maliciosos se consideran falsos positivos.

Panel ejecutivo
Diseñado para supervisar los indicadores clave de rendimiento (KPI), este panel resume los recuentos de incidentes, los tiempos de resolución, el cumplimiento del ANS y otras métricas clave.

Requisitos previos:
  • Usa la marca Incidents para identificar incidentes.
  • Define objetivos de ANS para el cierre de casos.
  • Los casos derivados se deben identificar con la marca Stage Escalated.

Detección y respuesta gestionadas
Ideal para informes diarios, semanales o mensuales. Realiza un seguimiento de las alertas, la creación de casos, la clasificación, la resolución y los datos del ANS en un formato compacto, como los siguientes:
  • Supervisión del ANS: Usa las marcas Tiempo de clasificación y Se cumplió el ANS para supervisar el cumplimiento del ANS y mejorar el manejo de casos.
  • Priorización y revisión: Usa Case Priority y Close Case Root Cause para priorizar los casos y revisar los cierres.

Requisitos previos:
  • Usa la marca Stage Escalated para identificar los casos derivados.
  • El tiempo de clasificación se define como el momento en que se confirma la recepción de un caso.

Monitoreo mensual de amenazas
Un resumen mensual de las alertas, los productos afectados, la gravedad de las alertas y otros indicadores clave.

Panel de MTTX
Un panel de seguimiento del tiempo diseñado para mostrar el tiempo transcurrido entre las etapas clave del ciclo de vida de un caso, desde su creación hasta el inicio y el final de las fases específicas de gestión de incidentes. Puedes personalizar parámetros, como stages y timestamps.

Informe de carga de trabajo del analista
Visualiza las métricas de carga de trabajo del SOC, como las distribuciones de alertas y eventos, las tendencias de casos abiertos y cerrados, el rendimiento de la agrupación de alertas y las tendencias de falsos positivos. Consulta los detalles de rendimiento.

Informe de tiempos de procesamiento del rendimiento
Realiza un seguimiento del tiempo promedio de detección (MTTD) y el tiempo promedio de corrección (MTTR) en varias dimensiones, como equipos, tipos de alertas y etapas de respuesta, lo que ofrece estadísticas sobre la eficiencia operativa. Consulta los detalles y ejemplos de rendimiento.

Informe de análisis de la guía
Mide la eficacia de la automatización y destaca cómo las acciones basadas en guías mejoran el rendimiento del SOC y reducen los tiempos de procesamiento. Consulta los detalles de rendimiento.

Informe de ROI
Un panel de una sola página que cuantifica el tiempo y el esfuerzo ahorrados gracias a la automatización. Incluye un desglose de las acciones automatizadas y manuales, y su distribución en los productos.

Informe del Centro de operaciones de seguridad
Creado para los clientes que administran varios inquilinos (por ejemplo, los MSSP), este informe admite el cambio de inquilino y el filtrado flexible por período. Sus gráficos concisos son adecuados para los resúmenes semanales o mensuales.

Informe de rendimiento de la postura de seguridad y los sensores
Proporciona visibilidad de las tendencias de amenazas y el rendimiento de los sensores a lo largo del tiempo, lo que ayuda a identificar falsos positivos y a ajustar la configuración de los sensores. Consulta los detalles de rendimiento.

Rendimiento general del nivel del Rastreador de autorizaciones
También se conoce como el Panel de seguimiento general de la resolución. Este panel hace un seguimiento del volumen de casos y la resolución en los diferentes niveles de tu SOC.

Rendimiento por nivel
Analiza la eficiencia de las categorías de roles del SOC haciendo un seguimiento de la cantidad de alertas durante un período específico.
  • Dimensiones clave: Usa SOC Role Name y Environment para filtrar y evaluar el rendimiento del equipo.
  • Métricas: Realiza un seguimiento de la cantidad de alertas creadas, cerradas y pendientes para obtener estadísticas sobre la distribución de la carga de trabajo y la administración de alertas.

Ver casos del panel
Proporciona una vista integral de la administración y el rendimiento de los casos que combina detalles de casos, alertas, entidades, progresión de etapas y asignación de analistas. Esta vista admite análisis detallados con dimensiones y métricas basadas en etiquetas. Este Explorador ofrece una amplia variedad de KPIs de seguimiento del rendimiento y opciones de búsqueda detalladas, incluidos los siguientes:
  • Dimensiones de búsqueda: Prioridad del caso, motivo de cierre del caso, analista de primera o última atención, nombre de la regla de alerta y producto.
  • KPIs: Casos cerrados automáticamente o de forma manual, tiempo promedio de detección, tiempo promedio de gestión, tiempo promedio de corrección y resumen de casos por prioridad.

Explora el análisis de rendimiento para los informes avanzados de SOAR

Cada informe incluye paneles visuales que respaldan las decisiones basadas en datos y la mejora continua del SOC.

Informe de Tiempos de procesamiento del rendimiento

En este informe, se destaca el tiempo que los casos pasan en las distintas etapas del ciclo de vida de la respuesta. Incluye métricas, como el tiempo promedio de detección (MTTD), el tiempo promedio de corrección (MTTR) y el tiempo promedio de procesamiento por rol o etapa del SOC. Estas estadísticas ayudan a los equipos a identificar demoras, evaluar la eficiencia operativa y mejorar los flujos de trabajo de clasificación y corrección de casos.

  • Tiempo promedio de detección (MTTD): Es el tiempo promedio desde la creación del caso hasta que se le asigna a un usuario.
    Formato: days-hours-minutes-seconds
    El widget muestra 0 si el caso no está asignado.
  • Tiempo promedio de corrección (MTTR): Es el tiempo promedio desde la creación del caso hasta que pasa a la etapa de corrección.
    Formato: days-hours-minutes-seconds
    El widget muestra N/A si no existe una etapa de corrección.
  • Tiempo de gestión promedio por rol del SOC: Muestra el tiempo promedio que un rol del SOC dedica a un caso desde la asignación hasta el cierre o la reasignación.
  • Tiempo de gestión promedio por etapa: Muestra el tiempo promedio dedicado a cada etapa, desde el momento en que comienza una etapa hasta que se cierra el caso o se traslada a una etapa diferente.
  • Tiempo promedio de clasificación: Muestra el tiempo promedio de procesamiento de la etapa de clasificación por fecha en diferentes reglas.
  • Tiempo promedio de preparación de la etapa de clasificación: Muestra el tiempo promedio de preparación de la etapa de clasificación por fecha.
  • Tiempo de respuesta promedio por rol de SOC y por fecha: Muestra el tiempo de respuesta promedio por rol de SOC y por fecha.

Informe de carga de trabajo del analista

El informe Carga de trabajo del analista proporciona visibilidad sobre cómo se distribuyen las alertas, los eventos y los casos en las reglas, y cómo afectan la carga de trabajo del analista del SOC. Ayuda a identificar tendencias en el volumen de alertas, el estado de los casos, los falsos positivos y el tiempo dedicado a la gestión de casos, lo que permite a los equipos optimizar la dotación de personal, el ajuste de reglas y la eficiencia de la respuesta.

  • Distribución de alertas en las reglas: Muestra la distribución y el porcentaje de alertas por tipo de regla.
  • Distribución de eventos en las reglas: Muestra el porcentaje de eventos por tipo de regla.
  • Casos abiertos vs. cerrados: Muestra la distribución de la cantidad de casos abiertos y cerrados.
  • Casos vs. alertas: Muestra la distribución entre la cantidad de casos y alertas.
  • Falsos positivos vs. tiempo de respuesta: Un gráfico de doble eje muestra la tasa de falsos positivos en comparación con el tiempo de respuesta promedio.
    • La tasa de falsos positivos es el porcentaje de casos no maliciosos entre todos los casos.
    • El tiempo de gestión promedio mide la duración desde la creación hasta el cierre del caso.
    • En el gráfico, se muestra información solo para los casos cerrados.

Informe de rendimiento de la posición de seguridad y los sensores

El informe Estado de seguridad y rendimiento de los sensores se enfoca en la eficacia de las reglas de detección y los sensores de seguridad en todo tu entorno. Muestra cómo se distribuyen las alertas por regla y producto, hace un seguimiento del volumen de alertas a lo largo del tiempo y visualiza las tasas de falsos positivos. Estas estadísticas ayudan a evaluar la cobertura de detección, identificar reglas ruidosas o productos con bajo rendimiento, y ajustar tu postura de seguridad.

  • % of alerts by Rule: Muestra la distribución y el porcentaje de alertas por tipo de regla.
  • Cantidad de alertas por regla y por fecha: Muestra la cantidad de alertas por tipo de regla a lo largo del tiempo.
  • Porcentaje de alertas por producto: Muestra la distribución y el porcentaje de alertas por producto.
  • Cantidad de alertas por producto y fecha: Muestra la cantidad de alertas por producto y fecha.
  • Tasa de falsos positivos en comparación con el producto: Muestra la tasa de falsos positivos por tipo de producto.
    • La tasa de falsos positivos es el porcentaje de casos no maliciosos entre todos los casos.
    • En el gráfico, solo se muestra información sobre los casos cerrados.

Análisis de la guía

El informe Análisis de guías evalúa la eficacia de la automatización a través de guías. En él, se destacan las alertas que se automatizan con mayor frecuencia, las principales alertas que se cierran con la automatización y se comparan las tasas de falsos positivos y los tiempos de procesamiento de las alertas con y sin automatización de guías. Utiliza estas estadísticas para evaluar el impacto de la automatización en la resolución de casos y, luego, identifica oportunidades para ampliar la cobertura de las guías.

  • Las 10 principales alertas automáticas: Muestra las 10 reglas con el mayor porcentaje de alertas automáticas.Una alerta automática es aquella que se vincula a una guía automáticamente.
  • Las 10 principales alertas cerradas por automatización: Muestra las 10 reglas principales con el mayor porcentaje de alertas que se cerraron automáticamente con un playbook. En el gráfico, se muestra información solo para los casos cerrados.
  • Falsos positivos frente al tiempo de respuesta para las alertas no automatizadas: En el caso de las alertas sin una guía adjunta automáticamente, este widget tiene un gráfico de doble eje que muestra la tasa de falsos positivos en comparación con el tiempo de respuesta promedio.
    • En el gráfico, solo se muestra información sobre los casos cerrados.
    • Este gráfico incluye datos solo para los casos cerrados y estará vacío si no hay alertas sin guías.

Administra informes avanzados de SOAR en Looker

Asigna acceso y permisos

En la página Permisos, puedes asignar a los usuarios los siguientes permisos:

  • Ver: Selecciona la casilla de verificación Ver informes avanzados para otorgar acceso a la visualización de informes en la pestaña Informes avanzados.
  • Editar: Selecciona la casilla de verificación Permitir la edición de informes avanzados para otorgar acceso a la creación, edición, duplicación, uso compartido, descarga y eliminación de informes avanzados.

Todos los usuarios de la plataforma pueden acceder a los informes avanzados a través de la pestaña Informes sin necesidad de realizar ninguna configuración previa.

Administra informes avanzados

Las siguientes carpetas están disponibles en la pestaña Informes avanzados:

  • Predeterminado (solo administradores): Informes predefinidos que no se pueden editar directamente. Sin embargo, puedes duplicarlos en otra carpeta para editarlos.
  • Personales: Informes que creas tú mismo con los componentes de Looker. También puedes duplicar y guardar informes de las carpetas Predeterminada o Compartida.
  • Compartidos: Informes que creaste y compartiste con otras personas, o que otras personas crearon y compartieron contigo

Puedes administrar tus informes avanzados compartiéndolos con otros usuarios, duplicándolos en diferentes carpetas o entornos, o cambiándoles el nombre a los informes que creaste o copiaste. En esta sección, se describe cómo realizar estas acciones en la interfaz de Informes avanzados.

Comparte informes

  1. Haz clic en compartir Compartir.
  2. Selecciona los entornos con los que quieres compartir el informe.
  3. Opcional: Marca la casilla correspondiente para otorgar acceso a los usuarios con permiso de solo lectura.

Informes duplicados

  1. Haz clic en content_copy Duplicar informe.
  2. Selecciona la carpeta de destino y los entornos requeridos.
  3. Opcional: Cambia el nombre del informe duplicado.

Cambia el nombre de los informes de Looker

Solo puedes cambiar el nombre de los informes que duplicaste y que se encuentran en tu carpeta personal o compartida.

  1. Abre el informe cuyo nombre deseas cambiar.
  2. Haz clic en more_vertAcciones del panel y selecciona Editar panel.
  3. Haz clic en el campo del nombre del informe, ingresa un nombre nuevo y haz clic en Guardar.

Cómo usar campos personalizados en informes avanzados

Puedes usar los campos personalizados creados en Google SecOps dentro de los informes avanzados para obtener estadísticas más detalladas sobre tus casos y alertas. Para obtener información sobre cómo usar campos personalizados en los informes de Looker, incluidas las fórmulas de LookML y las técnicas de filtrado, consulta Administra campos personalizados.

Crea un informe con las Exploraciones de SOAR

Las Exploraciones de SOAR te permiten definir y visualizar datos específicos seleccionando los campos pertinentes. Si bien son similares a los paneles estándar de Looker, los Exploradores de SOAR incluyen campos adicionales específicos de SOAR. Para obtener más información, consulta Cómo agregar una visualización de gráfico a un panel.
Para crear un informe con SOAR Explores, sigue estos pasos:

  1. Ve a Paneles y informes > Informes de SOAR.
  2. Haz clic en Informes avanzados.
  3. Haz clic en agregar Agregar informe.
  4. En el diálogo Crear informe nuevo, ingresa un nombre para el informe, selecciona una carpeta y elige un entorno.
  5. Haz clic en Crear para mostrar el informe nuevo.
  6. Selecciona el informe y haz clic en Editar panel.
  7. Haz clic en Agregar, que se encuentra debajo del nombre del informe.
  8. En la lista, selecciona Visualización.
  9. En el diálogo Elige una exploración, selecciona la exploración de SOAR pertinente para acceder a los campos de datos específicos de tu informe.
  10. En la pestaña Todos los campos, selecciona las dimensiones y las medidas pertinentes para tu informe.
  11. Personaliza el informe según sea necesario y haz clic en Guardar. El mosaico de visualización se agrega al panel.

Nota: Para editar cada tarjeta del panel, haz clic en Editar en la tarjeta del panel.

Sugerencias para solucionar problemas

Es posible que aparezca el siguiente error en la página Informes avanzados:
You are not authenticated to view this page.

Si te autenticaste y ves este error, es posible que tu navegador esté bloqueando las cookies de Looker.
Para habilitar las cookies de Looker en tu navegador y acceder a los informes avanzados, sigue los pasos que se indican a continuación según el navegador que uses.

Para habilitar las cookies de Looker y acceder a la página Informes avanzados en Google Chrome, sigue estos pasos:

  1. Haz clic con el botón derecho en cualquier lugar de la página y selecciona Inspeccionar.
  2. Haz clic en uno de los informes y copia la URL en el portapapeles.
  3. En Chrome, ve a Configuración > Privacidad y seguridad > Cookies de terceros.
  4. En Pueden usar cookies de terceros, haz clic en Agregar y pega la URL de Looker.

Ahora deberías poder acceder a los informes avanzados y verlos.

Problemas conocidos y limitaciones

Los informes avanzados de SOAR tienen los siguientes problemas y limitaciones conocidos:

  • Borrar informes: La opción Mover a la papelera del menú Acciones del panel no funciona. Para borrar un informe, haz clic en Borrar informe sobre el informe.
  • Probar ahora en la entrega programada: La acción Probar ahora no funciona. Para probar la entrega de informes, haz clic en Enviar ahora en el diálogo Programaciones.
  • Limitación de la acción Combinar consultas: Los informes que usan la acción Combinar consultas no se pueden exportar ni importar.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.