Utiliser les explorations Looker dans les rapports SOAR

Compatible avec :

Les explorations Looker sont des outils d'analyse de données interactifs dans Google Security Operations qui vous permettent de créer des rapports et des visualisations personnalisés sans avoir à écrire de code complexe. Elles servent de base pour les rapports avancés et offrent un moyen flexible d'analyser vos données de sécurité. Ce document ne fournit pas d'informations sur la création et la modification des explorations Looker. Pour en savoir plus sur les explorations, consultez Créer et modifier des explorations Looker.

Explorer les rapports SOAR avancés

Vous trouverez les explorations Looker dans l'onglet "Rapports SOAR avancés". Chacune d'elles fournit des données et des fonctionnalités de visualisation spécialisées qui peuvent être utilisées pour créer des rapports avancés.

Les rapports SOAR avancés par défaut sont un ensemble de tableaux de bord et de rapports qui vous aident à suivre les performances du SOC, la gestion des requêtes, la charge de travail des analystes et l'efficacité de l'automatisation. Ces rapports fournissent des informations générales et détaillées sur vos environnements, et prennent en charge des cas d'utilisation allant de la surveillance quotidienne aux résumés destinés aux cadres.

De nombreux rapports nécessitent des indicateurs ou des configurations spécifiques pour garantir l'exactitude des données. Ces informations sont indiquées dans chaque description.

Cette section décrit ces rapports couramment utilisés. Chaque rapport inclut des tableaux de bord visuels qui permettent de prendre des décisions basées sur les données et d'améliorer en continu le SOC. Les performances des principaux rapports sont indiquées dans le tableau ci-dessous.


Type de rapport
Description

Alertes et entités
Surveille et analyse les entités, les alertes, les demandes et les incidents. Il fournit des métriques clés et des options de filtrage pour vous aider à comprendre vos données de sécurité. Vous pouvez :
  • Surveillez des métriques telles que le nombre de demandes, le temps de traitement moyen et le nombre d'incidents.
  • Filtrer les données à l'aide de dimensions telles que la priorité, l'étape et la cause première de la demande
  • Suivez l'efficacité du traitement des demandes grâce à des mesures temporelles telles que le délai de traitement et l'état du contrat de niveau de service.

Prérequis :
Utilisez l'indicateur Incident pour identifier les incidents dans les demandes.

Suivi de la charge de travail des analystes
Affiche la répartition de la charge de travail entre les analystes à un moment donné, ce qui vous aide à surveiller le personnel et les performances de votre SOC.
  • Analyse de la charge de travail : visualisez et analysez les charges de travail en suivant l'heure et le jour de la semaine.
  • Surveillance des performances : surveillez les performances sur différentes périodes.
  • Suivi individuel : suivez la charge de travail de chaque utilisateur par jour, semaine et mois.

Étuis
Surveille et analyse les demandes de leur création à leur clôture. Il fournit des informations complètes pour vous aider à suivre l'ensemble du cycle de vie de la demande. Vous pouvez :
  • Recherchez des dimensions clés, telles que la priorité, l'état, l'étape, l'environnement et la raison de la clôture de la demande.
  • Suivez des métriques telles que le nombre de demandes, le temps moyen d'attribution (MTTA) et le temps moyen de résolution (MTTR).
  • Affichez les informations sur les utilisateurs et les responsables, y compris leurs rôles et leur adresse e-mail, ainsi que les dates de début des tâches.

Demandes et alertes
Combine les données des cas et des alertes pour vous aider à analyser la façon dont les événements de sécurité sont traités dans les cas, y compris :
  • Dimensions clés : filtrez par priorité de la demande, étape, cause première, nom de la règle d'alerte et produit.
  • Options de filtrage : filtrez par actions de playbook et état des incidents.
  • Mesures : utilisez le nombre de cas d'utilisation et d'alertes pour mieux comprendre le flux des incidents de sécurité.

Historique des demandes
Suivez l'intégralité du cycle de vie des demandes, en obtenant une analyse détaillée de l'efficacité de leur traitement et des délais.
  • Suivi du cycle de vie : suivez les demandes depuis les transitions d'états jusqu'aux affectations d'analystes.
  • Insights détaillés : analysez les métriques temporelles pour différentes combinaisons de phases.
  • Fonctionnalités de filtrage : filtrez les demandes par nom, priorité, état et environnement.

Rapport client
Tableau de bord récapitulatif qui offre une vue d'ensemble de la couverture SOC dans les principaux domaines opérationnels.

Conditions préalables :
  • Utilisez l'indicateur Marquer comme important pour identifier les demandes importantes.
  • Utilisez le flag Incident pour identifier les incidents.
  • Définissez des cibles de SLA pour la clôture des demandes.
  • Tous les cas non malveillants sont considérés comme des faux positifs.

Tableau de bord exécutif
Conçu pour surveiller les indicateurs clés de performance (KPI), ce tableau de bord récapitule le nombre d'incidents, les délais de résolution, la conformité aux SLA et d'autres métriques clés.

Conditions préalables :
  • Utilisez le flag "Incidents" pour identifier les incidents.
  • Définissez des cibles de SLA pour la clôture des demandes.
  • Les demandes transmises doivent être identifiées à l'aide de l'indicateur Stage Escalated (Demande transmise).

Managed Detection Response
Idéal pour les rapports quotidiens, hebdomadaires ou mensuels. Suivez les alertes, la création de demandes, le tri, la résolution et les données SLA dans un format compact, par exemple :
  • Surveillance des SLA : utilisez le délai de tri et le flag SLA respecté pour surveiller la conformité avec les SLA et améliorer le traitement des demandes.
  • Hiérarchisation et examen : utilisez Priorité de la demande et Cause première de la clôture de la demande pour hiérarchiser les demandes et examiner les clôtures.

Conditions préalables :
  • Utilisez le flag Stage Escalated (Étape escaladée) pour identifier les demandes escaladées.
  • Le temps de tri est défini comme le temps nécessaire pour confirmer la réception d'une demande.

Surveillance mensuelle des menaces
Récapitulatif mensuel des alertes, des produits concernés, de leur niveau de gravité et d'autres indicateurs clés.

Tableau de bord MTTX
Tableau de bord de suivi du temps conçu pour afficher le temps écoulé entre les étapes clés du cycle de vie d'une demande, de sa création au début et à la fin de phases spécifiques de gestion des incidents. Vous pouvez personnaliser des paramètres tels que stages et timestamps.

Rapport sur la charge de travail des analystes
Visualise les métriques de charge de travail du SOC, telles que les distributions d'alertes et d'événements, les tendances d'ouverture et de fermeture des demandes, les performances du regroupement d'alertes et les tendances des faux positifs. Consultez les détails sur les performances.

Rapport sur les délais de traitement des performances
Suivez le temps moyen de détection (MTTD) et le temps moyen de résolution (MTTR) selon différentes dimensions (équipes, types d'alertes et étapes de réponse, par exemple) pour obtenir des informations sur l'efficacité opérationnelle. Consultez les détails et exemples de performances.

Rapport d'analyse du playbook
Mesure l'efficacité de l'automatisation et met en évidence la façon dont les actions basées sur les playbooks améliorent les performances du SOC et réduisent les délais de traitement. Consultez les détails sur les performances.

Rapport sur le ROI
Tableau de bord monopage qui quantifie le temps et les efforts économisés grâce à l'automatisation. Il inclut une répartition des actions automatiques et manuelles, ainsi que leur distribution dans les produits.

Rapport du centre des opérations de sécurité
Conçu pour les clients qui gèrent plusieurs locataires (par exemple, les MSP), ce rapport permet de changer de locataire et de filtrer les données de manière flexible. Ses graphiques concis sont bien adaptés aux récapitulatifs hebdomadaires ou mensuels.

Rapport sur la stratégie de sécurité et les performances des capteurs
Offre une visibilité sur les tendances des menaces et les performances des capteurs au fil du temps, ce qui permet d'identifier les faux positifs et d'affiner les configurations des capteurs. Consultez les détails sur les performances.

Performances globales du niveau Clearance Tracker
Également appelé Tableau de suivi global des demandes, ce tableau de bord suit le volume de demandes et leur résolution à différents niveaux de votre SOC.

Performances par niveau
Analyse l'efficacité des catégories de rôles SOC en suivant le nombre d'alertes sur une période spécifiée.
  • Dimensions clés : utilisez Nom du rôle SOC et Environnement pour filtrer et évaluer les performances de l'équipe.
  • Métriques : suivez le nombre d'alertes créées, clôturées et en attente pour mieux comprendre la répartition de la charge de travail et la gestion des alertes.

Afficher les demandes du tableau de bord
Fournit une vue complète de la gestion et des performances des demandes, combinant des informations sur les demandes, les alertes, les entités, la progression des étapes et l'attribution des analystes. Cette vue permet d'effectuer des analyses approfondies à l'aide de dimensions et de métriques basées sur les tags. Cette exploration propose un large éventail de KPI de suivi des performances et d'options de recherche détaillées, y compris :
  • Dimensions de recherche : "Priorité de la demande", "Motif de clôture de la demande", "Analyste de la première/dernière prise en charge", "Nom de la règle d'alerte" et "Produit".
  • KPI : demandes clôturées automatiquement/manuellement, temps de détection moyen, temps de traitement moyen, temps de résolution moyen et récapitulatif des demandes par priorité.

Explorer l'analyse des performances pour les rapports SOAR avancés

Chaque rapport inclut des tableaux de bord visuels qui permettent de prendre des décisions basées sur les données et d'améliorer en continu le SOC.

Rapport sur les délais de traitement des performances

Ce rapport indique la durée pendant laquelle les demandes sont restées à différentes étapes du cycle de vie de la réponse. Il inclut des métriques telles que le temps moyen de détection (MTTD), le temps moyen de résolution (MTTR) et le temps de traitement moyen par rôle ou étape du SOC. Ces insights aident les équipes à identifier les retards, à évaluer l'efficacité opérationnelle et à améliorer les workflows de tri et de résolution des demandes.

  • Temps moyen de détection (MTTD) : temps moyen écoulé entre la création d'une demande et son attribution à un utilisateur.Format
     : days-hours-minutes-seconds
    Le widget affiche 0 si la demande n'est pas attribuée.
  • Délai moyen de résolution (MTTR) : durée moyenne entre la création de la demande et le passage à l'étape de résolution.
    Format : days-hours-minutes-seconds
    Le widget affiche N/A si aucune étape de résolution n'existe.
  • Temps de traitement moyen par rôle SOC : indique le temps moyen qu'un rôle SOC passe sur une demande, de l'attribution à la clôture ou à la réattribution.
  • Temps de traitement moyen par étape : affiche le temps moyen passé dans chaque étape, du moment où une étape commence jusqu'à ce que la demande soit clôturée ou passe à une autre étape.
  • Temps moyen de tri : affiche le temps de traitement moyen pour l'étape de tri par date et pour différentes règles.
  • Temps moyen de traitement de l'étape de tri : affiche le temps moyen de traitement de l'étape de tri par date.
  • Durée moyenne de traitement par rôle SOC et par date : affiche la durée moyenne de traitement par rôle SOC et par date.

Rapport sur la charge de travail des analystes

Le rapport Charge de travail des analystes vous permet de voir comment les alertes, les événements et les demandes sont répartis entre les règles, et comment ils affectent la charge de travail des analystes SOC. Il permet d'identifier les tendances en termes de volume d'alertes, d'état des demandes, de faux positifs et de temps passé à traiter les demandes. Les équipes peuvent ainsi optimiser l'effectif, l'ajustement des règles et l'efficacité de la réponse.

  • Répartition des alertes par règle : affiche la répartition et le pourcentage des alertes par type de règle.
  • Distribution des événements selon les règles : affiche le pourcentage d'événements par type de règle.
  • Cas ouverts/fermés : affiche la répartition du nombre de cas ouverts et fermés.
  • Demandes vs alertes : affiche la répartition entre le nombre de demandes et d'alertes.
  • Faux positifs vs temps de traitement : un graphique à double axe affiche le taux de faux positifs par rapport au temps de traitement moyen.
    • Le taux de faux positifs correspond au pourcentage de cas non malveillants sur l'ensemble des cas.
    • Le temps de traitement moyen mesure la durée entre la création et la clôture d'une demande.
    • Le graphique n'affiche que les informations concernant les demandes clôturées.

Rapport sur la posture de sécurité et les performances des capteurs

Le rapport Posture de sécurité et performances des capteurs se concentre sur l'efficacité des règles de détection et des capteurs de sécurité dans votre environnement. Il indique la répartition des alertes par règle et par produit, suit le volume d'alertes au fil du temps et visualise les taux de faux positifs. Ces insights vous aident à évaluer la couverture de détection, à identifier les règles bruyantes ou les produits sous-performants, et à affiner votre stratégie de sécurité.

  • % d'alertes par règle : affiche la répartition et le pourcentage des alertes par type de règle.
  • Nombre d'alertes par règle et par date : affiche le nombre d'alertes par type de règle au fil du temps.
  • % d'alertes par produit : affiche la répartition et le pourcentage d'alertes par produit.
  • Nombre d'alertes par produit et par date : indique le nombre d'alertes par produit et par date.
  • Taux de faux positifs par produit : affiche le taux de faux positifs par type de produit.
    • Le taux de faux positifs correspond au pourcentage de cas non malveillants sur l'ensemble des cas.
    • Le graphique n'affiche que des informations sur les demandes clôturées.

Analyse du playbook

Le rapport Analyse des playbooks évalue l'efficacité de l'automatisation à l'aide de playbooks. Il met en évidence les alertes les plus fréquemment automatisées, les principales alertes clôturées par l'automatisation, et compare les taux de faux positifs et les délais de traitement des alertes avec et sans automatisation de playbook. Utilisez ces insights pour évaluer l'impact de l'automatisation sur la résolution des demandes et identifier les opportunités d'étendre la couverture des playbooks.

  • Top 10 des alertes automatiques : affiche les 10 règles avec le pourcentage le plus élevé d'alertes automatiques.Une alerte automatique est une alerte associée automatiquement à un playbook.
  • Top 10 des alertes clôturées par l'automatisation : affiche les 10 règles dont le pourcentage d'alertes clôturées automatiquement par un playbook est le plus élevé. Le graphique n'affiche que les informations concernant les demandes clôturées.
  • Faux positifs vs délai de traitement pour les alertes non automatisées : Pour les alertes sans playbook associé automatiquement, ce widget comporte un graphique à double axe qui affiche le taux de faux positifs par rapport au délai de traitement moyen.
    • Le graphique n'affiche que des informations sur les demandes clôturées.
    • Ce graphique n'inclut que les données des demandes clôturées. Il sera vide si aucune alerte sans playbook n'est disponible.

Gérer les rapports SOAR avancés dans Looker

Attribuer des accès et des autorisations

Sur la page Autorisations, vous pouvez attribuer les autorisations suivantes aux utilisateurs :

  • Afficher : cochez la case Afficher les rapports avancés pour autoriser l'accès à l'onglet Rapports avancés.
  • Modifier : cochez la case Autoriser la modification des rapports avancés pour autoriser la création, la modification, la duplication, le partage, le téléchargement et la suppression des rapports avancés.

Les rapports avancés sont accessibles à tous les utilisateurs de la plate-forme dans l'onglet Rapports, sans aucune configuration préalable.

Gérer les rapports avancés

Les dossiers suivants sont disponibles dans l'onglet Rapports avancés :

  • Par défaut (administrateurs uniquement) : rapports prédéfinis qui ne peuvent pas être modifiés directement. Toutefois, vous pouvez les dupliquer dans un autre dossier pour les modifier.
  • Personnel : rapports que vous créez vous-même à l'aide des composants Looker. Vous pouvez également dupliquer et enregistrer des rapports depuis les dossiers Par défaut ou Partagés.
  • Partagés : rapports que vous avez créés et partagés avec d'autres utilisateurs, ou que d'autres utilisateurs ont créés et partagés avec vous.

Vous pouvez gérer vos rapports avancés en les partageant avec d'autres utilisateurs, en les dupliquant dans différents dossiers ou environnements, ou en renommant les rapports que vous avez créés ou copiés. Cette section explique comment effectuer ces actions dans l'interface Rapports avancés.

Partager un rapport

  1. Cliquez sur Partager Partager.
  2. Sélectionnez les environnements avec lesquels partager le rapport.
  3. Facultatif : Cochez la case correspondante pour accorder l'accès aux utilisateurs en lecture seule.

Rapports en double

  1. Cliquez sur  content_copy Dupliquer le rapport.
  2. Sélectionnez le dossier de destination et les environnements requis.
  3. Facultatif : renommez le rapport dupliqué.

Renommer des rapports Looker

Vous ne pouvez renommer que les rapports que vous avez dupliqués et qui se trouvent dans votre dossier personnel ou partagé.

  1. Ouvrez le rapport que vous souhaitez renommer.
  2. Cliquez sur more_vertActions du tableau de bord, puis sélectionnez Modifier le tableau de bord.
  3. Cliquez dans le champ du nom du rapport, saisissez un nouveau nom, puis cliquez sur Enregistrer.

Utiliser des champs personnalisés dans les rapports avancés

Vous pouvez utiliser les champs personnalisés créés dans Google SecOps dans les rapports avancés pour obtenir des insights plus approfondis sur vos demandes et vos alertes. Pour savoir comment utiliser les champs personnalisés dans les rapports Looker, y compris les formules LookML et les techniques de filtrage, consultez Gérer les champs personnalisés.

Créer un rapport avec les explorations SOAR

Les explorations SOAR vous permettent de définir et de visualiser des données spécifiques en sélectionnant les champs concernés. Bien qu'elles soient semblables aux tableaux de bord Looker standards, les explorations SOAR incluent des champs supplémentaires spécifiques à SOAR. Pour en savoir plus, consultez Ajouter une visualisation de graphique à un tableau de bord.
Pour créer un rapport à l'aide de SOAR Explores, procédez comme suit :

  1. Accédez à Tableaux de bord et rapports > Rapports SOAR.
  2. Cliquez sur Rapports avancés.
  3. Cliquez sur Ajouter Ajouter un rapport.
  4. Dans la boîte de dialogue Créer un rapport, saisissez le nom du rapport, sélectionnez un dossier et choisissez un environnement.
  5. Cliquez sur Créer pour afficher le nouveau rapport.
  6. Sélectionnez le rapport, puis cliquez sur Modifier le tableau de bord.
  7. Cliquez sur Ajouter sous le nom du rapport.
  8. Dans la liste, sélectionnez Visualization (Visualisation).
  9. Dans la boîte de dialogue Choisir une exploration, sélectionnez l'exploration SOAR appropriée pour accéder aux champs de données spécifiques à votre rapport.
  10. Dans l'onglet Tous les champs, sélectionnez les dimensions et les mesures qui vous intéressent pour votre rapport.
  11. Personnalisez le rapport selon vos besoins, puis cliquez sur Enregistrer. La vignette de visualisation est ajoutée au tableau de bord.

Remarque : Pour modifier chaque vignette du tableau de bord, cliquez sur Modifier dans la vignette du tableau de bord.

Conseils de dépannage

L'erreur suivante peut s'afficher sur la page Rapports avancés :
You are not authenticated to view this page.

Si vous êtes authentifié et que cette erreur s'affiche, il est possible que votre navigateur bloque les cookies Looker.
Pour activer les cookies Looker dans votre navigateur et accéder aux rapports avancés, suivez les instructions spécifiques à votre navigateur.

Pour activer les cookies Looker et accéder à la page Rapports avancés dans Google Chrome, procédez comme suit :

  1. Effectuez un clic droit n'importe où sur la page, puis sélectionnez Inspecter.
  2. Cliquez sur l'un des rapports, puis copiez l'URL dans le presse-papiers.
  3. Dans Chrome, accédez à Paramètres > Confidentialité et sécurité > Cookies tiers.
  4. Dans Autorisés à utiliser des cookies tiers, cliquez sur Ajouter et collez l'URL Looker.

Vous devriez maintenant pouvoir accéder aux rapports avancés et les consulter.

Limites et problèmes connus

Les rapports avancés SOAR présentent les problèmes connus et les limites suivants :

  • Suppression de rapports : l'option Placer dans la corbeille du menu Actions du tableau de bord ne fonctionne pas. Pour supprimer un rapport, cliquez sur Supprimer le rapport au-dessus du rapport.
  • Tester maintenant dans la livraison planifiée : l'action Tester maintenant ne fonctionne pas. Pour tester l'envoi de rapports, cliquez sur Envoyer maintenant dans la boîte de dialogue Programmes.
  • Limitation concernant la fusion des requêtes : les rapports utilisant l'action Fusionner les requêtes ne peuvent pas être exportés ni importés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.