Menggunakan Eksplorasi Looker dalam laporan SOAR

Didukung di:

Eksplorasi Looker adalah alat analisis data interaktif di Google Security Operations yang memungkinkan Anda membuat laporan dan visualisasi kustom tanpa perlu menulis kode yang rumit. Tabel ini berfungsi sebagai dasar untuk pelaporan lanjutan, yang memberikan cara fleksibel untuk menganalisis data keamanan Anda. Dokumen ini tidak memberikan informasi tentang cara membuat dan mengedit Jelajah Looker. Untuk mengetahui detail tentang Jelajah, lihat Membuat dan mengedit Jelajah Looker.

Mempelajari laporan SOAR lanjutan

Anda dapat menemukan Eksplorasi Looker di tab Laporan SOAR Lanjutan, yang masing-masing menyediakan kemampuan visualisasi dan data khusus yang dapat digunakan untuk membuat laporan lanjutan.

Laporan SOAR lanjutan default adalah sekumpulan dasbor dan laporan untuk membantu melacak performa SOC, penanganan kasus, beban kerja analis, dan efisiensi otomatisasi. Laporan ini memberikan insight tingkat tinggi dan mendetail di seluruh lingkungan Anda, yang mendukung kasus penggunaan mulai dari pemantauan harian hingga ringkasan tingkat eksekutif.

Banyak laporan memerlukan tanda atau konfigurasi tertentu untuk memastikan data yang akurat, yang dicantumkan dalam setiap deskripsi.

Bagian ini menjelaskan laporan yang umum digunakan ini. Setiap laporan menyertakan dasbor visual yang mendukung keputusan berbasis data dan peningkatan SOC berkelanjutan. Performa tentang laporan utama mengikuti tabel.


Jenis Laporan
Deskripsi

Peringatan dan Entity
Memantau dan menganalisis entitas, pemberitahuan, kasus, dan insiden. Alat ini menyediakan metrik utama dan opsi pemfilteran untuk membantu Anda memahami data keamanan Anda. Anda dapat:
  • Pantau metrik seperti jumlah kasus, waktu penanganan rata-rata, dan jumlah insiden.
  • Memfilter data menggunakan dimensi seperti prioritas kasus, tahap, dan penyebab utama.
  • Lacak efisiensi penanganan kasus melalui pengukuran berbasis waktu seperti waktu penanganan dan status SLA.

Prasyarat:
Gunakan flag Incident untuk mengidentifikasi insiden dalam kasus.

Pelacak Beban Kasus Analis
Menampilkan distribusi beban kerja di seluruh analis pada waktu tertentu, membantu Anda memantau staf dan performa di SOC Anda.
  • Analisis Beban Kerja: Visualisasikan dan analisis jumlah kasus dengan melacak waktu dalam sehari dan hari dalam seminggu.
  • Performance Monitoring: Pantau performa di berbagai jangka waktu.
  • Pelacakan Individu: Lacak beban kerja setiap pengguna per hari, minggu, dan bulan.

Kasus
Memantau dan menganalisis kasus dari pembuatan hingga penutupan. Bagian ini memberikan detail komprehensif untuk membantu Anda melacak seluruh siklus proses kasus. Anda dapat:
  • Telusuri dimensi utama, seperti prioritas kasus, status, tahap, lingkungan, dan alasan penutupan.
  • Pantau metrik, seperti jumlah kasus, Rata-rata Waktu untuk Penugasan (MTTA), dan Rata-rata Waktu untuk Penyelesaian (MTTR).
  • Melihat detail pengguna dan penerima tugas, termasuk peran dan email mereka, beserta tanggal mulai tugas.

Kasus dan Peringatan
Menggabungkan data kasus dan peringatan untuk membantu Anda menganalisis cara pemrosesan peristiwa keamanan menjadi kasus, termasuk:
  • Dimensi Utama: Filter menurut prioritas kasus, tahap, penyebab utama, nama aturan pemberitahuan, dan produk.
  • Opsi Filter: Filter menurut tindakan playbook dan status insiden.
  • Metrik: Jumlah kasus penggunaan dan pemberitahuan untuk mendapatkan insight tentang alur insiden keamanan.

Histori Kasus
Melacak seluruh siklus proses kasus, memberikan analisis mendetail tentang efisiensi penanganan kasus dan linimasa proses.
  • Pelacakan Siklus Proses: Ikuti kasus dari transisi tahap hingga penugasan analis.
  • Insight Mendetail: Analisis metrik berbasis waktu di berbagai kombinasi fase.
  • Kemampuan Pemfilteran: Memfilter kasus berdasarkan nama, prioritas, status, dan lingkungan.

Laporan Pelanggan
Dasbor ringkasan yang menawarkan tampilan umum cakupan SOC di seluruh area operasional utama.

Prasyarat:
  • Gunakan tanda Tandai sebagai Penting untuk mengidentifikasi kasus penting.
  • Gunakan tanda Insiden untuk mengidentifikasi insiden.
  • Tentukan target SLA untuk penutupan kasus.
  • Semua kasus non-malicious dianggap sebagai positif palsu.

Dasbor Eksekutif
Dirancang untuk memantau indikator performa utama (KPI), dasbor ini merangkum jumlah insiden, waktu penyelesaian, kepatuhan terhadap SLA, dan metrik utama lainnya.

Prasyarat:
  • Gunakan tanda Insiden untuk mengidentifikasi insiden.
  • Tentukan target SLA untuk penutupan kasus.
  • Kasus yang ditingkatkan harus diidentifikasi menggunakan tanda Stage Escalated.

Managed Detection Response
Ideal untuk pelaporan harian, mingguan, atau bulanan. Melacak pemberitahuan, pembuatan kasus, triase, penyelesaian, dan data SLA dalam format ringkas, seperti:
  • Pemantauan SLA: Gunakan tanda Waktu Penyelarasan dan SLA Terpenuhi untuk memantau kepatuhan SLA dan meningkatkan penanganan kasus.
  • Prioritas dan Peninjauan: Gunakan Prioritas Kasus dan Penyebab Utama Penutupan Kasus untuk memprioritaskan kasus dan meninjau penutupan.

Prasyarat:
  • Gunakan tanda Stage Escalated untuk mengidentifikasi kasus yang ditingkatkan.
  • Waktu penyeleksian didefinisikan sebagai waktu saat kasus diakui.

Pemantauan Ancaman Bulanan
Ringkasan bulanan tentang pemberitahuan, produk yang terpengaruh, tingkat keparahan pemberitahuan, dan indikator utama lainnya.

Dasbor MTTX
Dasbor pelacakan waktu yang dirancang untuk menampilkan waktu yang telah berlalu di antara tahap siklus proses kasus utama—dari pembuatan hingga awal dan akhir fase penanganan insiden tertentu. Anda dapat menyesuaikan parameter, seperti stages dan timestamps.

Laporan Beban Kerja Analis
Memvisualisasikan metrik beban kerja SOC, seperti distribusi pemberitahuan dan peristiwa, tren kasus terbuka dan tertutup, performa pengelompokan pemberitahuan, dan tren positif palsu. Lihat detail performa.

Laporan Waktu Penanganan Performa
Melacak rata-rata waktu deteksi (MTTD) dan rata-rata waktu perbaikan (MTTR) di berbagai dimensi seperti tim, jenis pemberitahuan, dan tahap respons, sehingga memberikan insight tentang efisiensi operasional. Lihat detail performa dan contoh.

Laporan Analisis Playbook
Mengukur efektivitas otomatisasi dan menunjukkan cara tindakan berbasis playbook meningkatkan performa SOC dan mengurangi waktu penanganan. Lihat detail performa.

Laporan ROI
Dasbor satu halaman yang mengukur waktu dan upaya yang dihemat melalui otomatisasi. Laporan ini mencakup perincian tindakan otomatis versus manual dan distribusinya di seluruh produk.

Laporan Pusat Operasi Keamanan
Dibuat untuk klien yang mengelola beberapa tenant (misalnya, MSSP), laporan ini mendukung peralihan tenant dan pemfilteran waktu yang fleksibel. Diagram ringkasnya sangat cocok untuk ringkasan mingguan atau bulanan.

Laporan Performa Sensor dan Postur Keamanan
Memberikan visibilitas ke dalam tren ancaman dan performa sensor dari waktu ke waktu, sehingga membantu mengidentifikasi positif palsu dan menyesuaikan konfigurasi sensor. Lihat detail performa.

Performa tingkat keseluruhan Pelacak Izin
Juga disebut Pelacak Izin Secara Keseluruhan, dasbor ini melacak volume dan penyelesaian kasus di berbagai tingkat dalam SOC Anda.

Performa Tingkatan
Menganalisis efisiensi kategori Peran SOC dengan melacak jumlah pemberitahuan selama jangka waktu tertentu.
  • Dimensi Utama: Gunakan Nama Peran SOC dan Lingkungan untuk memfilter dan menilai performa tim.
  • Metrik: Lacak jumlah pemberitahuan yang dibuat, ditutup, dan menunggu keputusan untuk mendapatkan insight tentang distribusi beban kerja dan pengelolaan pemberitahuan.

Melihat Kasus Dasbor
Memberikan tampilan komprehensif tentang pengelolaan dan performa kasus yang menggabungkan detail kasus, pemberitahuan, entitas, progres tahap, dan penugasan analis. Tampilan ini mendukung analisis mendalam menggunakan dimensi dan metrik berbasis tag. Eksplorasi ini menawarkan berbagai KPI pelacakan performa dan opsi penelusuran mendetail, termasuk:
  • Dimensi penelusuran: Prioritas Kasus, Alasan Kasus Ditutup, Analis Penanganan Pertama/Terakhir, Nama Aturan Pemberitahuan, dan Produk.
  • KPI: Kasus yang Ditutup Secara Otomatis/Manual, Waktu Deteksi Rata-Rata, Waktu Penanganan Rata-Rata, Waktu Perbaikan Rata-Rata, dan Ringkasan Kasus menurut Prioritas.

Menjelajahi analisis performa untuk laporan SOAR lanjutan

Setiap laporan menyertakan dasbor visual yang mendukung keputusan berbasis data dan peningkatan SOC berkelanjutan.

Laporan Waktu Penanganan Performa

Laporan ini menyoroti durasi kasus di berbagai tahap siklus proses respons. Laporan ini mencakup metrik, seperti rata-rata waktu untuk mendeteksi (MTTD), rata-rata waktu untuk memperbaiki (MTTR), dan rata-rata waktu penanganan menurut peran atau tahap SOC. Insight ini membantu tim mengidentifikasi keterlambatan, menilai efisiensi operasional, serta meningkatkan alur kerja triase dan perbaikan kasus.

  • Rata-rata waktu deteksi (MTTD): Waktu rata-rata sejak pembuatan kasus hingga kasus ditetapkan kepada pengguna.
    Format: days-hours-minutes-seconds
    Widget menampilkan 0 jika kasus tidak ditetapkan.
  • Rata-rata waktu untuk memperbaiki (MTTR): Rata-rata waktu sejak pembuatan kasus hingga kasus tersebut berpindah ke tahap perbaikan.
    Format: days-hours-minutes-seconds
    Widget menampilkan N/A jika tidak ada tahap perbaikan.
  • Waktu Penanganan rata-rata menurut peran SOC: Menampilkan waktu rata-rata yang dihabiskan peran SOC untuk menangani kasus dari penugasan hingga penutupan atau penugasan ulang.
  • Waktu penanganan rata-rata menurut tahap: Menampilkan waktu rata-rata yang dihabiskan di setiap tahap, mulai dari saat tahap dimulai hingga kasus ditutup atau dipindahkan ke tahap lain.
  • Waktu rata-rata untuk menyeleksi: Menampilkan waktu penanganan rata-rata untuk tahap Seleksi menurut tanggal di berbagai aturan
  • Rata-rata waktu pemrosesan tahap triase: Menampilkan rata-rata waktu pemrosesan tahap triase menurut tanggal.
  • Waktu penanganan rata-rata per peran SOC per tanggal: Menampilkan waktu penanganan rata-rata per peran SOC menurut tanggal.

Laporan Beban Kerja Analis

Laporan Beban Kerja Analis memberikan visibilitas tentang cara pemberitahuan, peristiwa, dan kasus didistribusikan di seluruh aturan dan dampaknya terhadap beban kerja analis SOC. Metrik ini membantu mengidentifikasi tren volume pemberitahuan, status kasus, positif palsu, dan waktu yang dihabiskan untuk menangani kasus, sehingga tim dapat mengoptimalkan staf, penyesuaian aturan, dan efisiensi respons.

  • Distribusi notifikasi di seluruh aturan: Menampilkan distribusi dan persentase notifikasi per jenis aturan.
  • Distribusi Peristiwa di seluruh aturan: Menampilkan persentase peristiwa per jenis aturan.
  • Kasus terbuka vs. tertutup: Menampilkan distribusi jumlah kasus terbuka dan tertutup.
  • Kasus vs. pemberitahuan: Menampilkan distribusi antara jumlah kasus dan pemberitahuan.
  • Positif palsu vs. waktu penanganan: Grafik sumbu ganda menampilkan rasio positif palsu dibandingkan dengan waktu penanganan rata-rata.
    • Rasio positif palsu adalah persentase kasus tidak berbahaya dari semua kasus.
    • Waktu penanganan rata-rata mengukur durasi dari pembuatan kasus hingga penutupan kasus.
    • Grafik hanya menampilkan informasi untuk kasus yang ditutup.

Laporan Performa Sensor dan Postur Keamanan

Laporan Kondisi Keamanan dan Performa Sensor berfokus pada efektivitas aturan deteksi dan sensor keamanan di seluruh lingkungan Anda. Halaman ini menunjukkan cara distribusi pemberitahuan menurut aturan dan produk, melacak volume pemberitahuan dari waktu ke waktu, dan memvisualisasikan rasio positif palsu. Insight ini membantu mengevaluasi cakupan deteksi, mengidentifikasi aturan yang berisik atau produk yang berperforma buruk, dan menyempurnakan postur keamanan Anda.

  • % Notifikasi menurut Aturan: Menampilkan distribusi dan persentase notifikasi menurut jenis aturan.
  • Jumlah notifikasi menurut aturan menurut Tanggal: Menampilkan jumlah notifikasi menurut jenis aturan dari waktu ke waktu.
  • % notifikasi menurut produk: Menampilkan distribusi dan persentase notifikasi menurut produk.
  • Jumlah pemberitahuan menurut produk menurut tanggal: Menampilkan jumlah pemberitahuan menurut produk menurut tanggal.
  • Rasio positif palsu vs. produk: Menampilkan rasio positif palsu menurut jenis produk.
    • Rasio positif palsu adalah persentase kasus tidak berbahaya dari semua kasus.
    • Grafik hanya menampilkan informasi tentang kasus yang telah ditutup.

Analisis Playbook

Laporan Analisis Playbook mengevaluasi efektivitas otomatisasi melalui playbook. Bagian ini menyoroti pemberitahuan yang paling sering diotomatiskan, pemberitahuan teratas yang ditutup oleh otomatisasi, dan membandingkan rasio positif palsu serta waktu penanganan untuk pemberitahuan dengan dan tanpa otomatisasi playbook. Gunakan insight ini untuk menilai dampak otomatisasi terhadap penyelesaian kasus dan mengidentifikasi peluang untuk memperluas cakupan playbook.

  • 10 pemberitahuan otomatis teratas: Menampilkan 10 aturan teratas dengan persentase pemberitahuan otomatis tertinggi.Pemberitahuan otomatis adalah pemberitahuan yang ditautkan ke playbook secara otomatis.
  • 10 pemberitahuan teratas yang ditutup oleh otomatisasi: Menampilkan 10 aturan teratas dengan persentase pemberitahuan tertinggi yang ditutup secara otomatis oleh playbook. Grafik hanya menampilkan informasi untuk kasus yang ditutup.
  • Positif palsu vs. waktu penanganan untuk pemberitahuan non-otomatis: Untuk pemberitahuan tanpa playbook yang dilampirkan secara otomatis, widget ini memiliki grafik sumbu ganda yang menampilkan rasio positif palsu dibandingkan dengan waktu penanganan rata-rata.
    • Grafik hanya menampilkan informasi tentang kasus yang telah ditutup.
    • Grafik ini hanya menyertakan data untuk kasus tertutup dan akan kosong jika tidak ada pemberitahuan tanpa playbook.

Mengelola laporan SOAR lanjutan di Looker

Menetapkan akses dan izin

Di halaman Izin, Anda dapat menetapkan izin berikut kepada pengguna:

  • Lihat: Centang kotak Lihat Laporan Lanjutan untuk memberikan akses melihat laporan di tab Laporan Lanjutan.
  • Edit: Centang kotak Izinkan pengeditan Laporan lanjutan untuk memberikan akses guna membuat, mengedit, menduplikasi, membagikan, mendownload, dan menghapus laporan lanjutan.

Laporan lanjutan dapat diakses oleh semua pengguna platform melalui tab Laporan tanpa penyiapan sebelumnya.

Mengelola laporan lanjutan

Folder berikut di tab Laporan Lanjutan tersedia:

  • Default (Khusus Admin): Laporan standar yang tidak dapat diedit secara langsung. Namun, Anda dapat menduplikasinya ke folder lain untuk pengeditan.
  • Pribadi: Laporan yang Anda buat sendiri menggunakan komponen Looker. Anda juga dapat menduplikasi dan menyimpan laporan dari folder Default atau Dibagikan.
  • Dibagikan: Laporan yang Anda buat dan bagikan kepada orang lain atau laporan yang dibuat dan dibagikan orang lain kepada Anda.

Anda dapat mengelola laporan lanjutan dengan membagikannya kepada pengguna lain, menduplikasinya ke folder atau lingkungan yang berbeda, atau mengganti nama laporan yang telah Anda buat atau salin. Bagian ini menjelaskan cara melakukan tindakan ini di antarmuka Laporan Lanjutan.

Membagikan laporan

  1. Klik bagikan Bagikan.
  2. Pilih lingkungan yang akan diajak berbagi laporan.
  3. Opsional: Centang kotak yang sesuai untuk memberikan akses kepada pengguna hanya lihat.

Duplikasikan laporan

  1. Klik content_copy Duplikasikan Laporan.
  2. Pilih folder tujuan dan lingkungan yang diperlukan.
  3. Opsional: Ganti nama laporan duplikat.

Mengganti nama laporan Looker

Anda hanya dapat mengganti nama laporan yang telah diduplikasi, yang berada di folder pribadi atau folder bersama Anda.

  1. Buka laporan yang ingin Anda ganti namanya.
  2. Klik more_vertTindakan dasbor, lalu pilih Edit dasbor.
  3. Klik kolom nama laporan, masukkan nama baru, lalu klik Simpan.

Menggunakan kolom kustom dalam laporan lanjutan

Anda dapat menggunakan kolom kustom yang dibuat di Google SecOps dalam laporan lanjutan untuk mendapatkan insight yang lebih mendalam tentang kasus dan pemberitahuan Anda. Untuk mempelajari cara menggunakan kolom kustom dalam laporan Looker, termasuk formula LookML dan teknik pemfilteran, lihat Mengelola kolom kustom.

Membuat laporan dengan Eksplorasi SOAR

Eksplorasi SOAR memungkinkan Anda menentukan dan memvisualisasikan data tertentu dengan memilih kolom yang relevan. Meskipun mirip dengan dasbor Looker standar, Eksplorasi SOAR mencakup kolom tambahan khusus SOAR. Untuk mengetahui informasi selengkapnya, lihat Menambahkan visualisasi diagram ke dasbor.
Untuk membuat laporan menggunakan SOAR Explores, ikuti langkah-langkah berikut:

  1. Buka Dasbor dan Laporan > Laporan SOAR.
  2. Klik Laporan Lanjutan.
  3. Klik tambahkan Tambahkan laporan.
  4. Dalam dialog Buat laporan baru, masukkan nama laporan, pilih folder, dan pilih lingkungan.
  5. Klik Buat dan tampilkan laporan baru.
  6. Pilih laporan, lalu klik Edit Dasbor.
  7. Klik Tambahkan, yang berada di bawah nama laporan.
  8. Dalam daftar, pilih Visualisasi.
  9. Dalam dialog Pilih Eksplorasi, pilih Eksplorasi SOAR yang relevan untuk mengakses kolom data khusus untuk laporan Anda.
  10. Di tab Semua Kolom, pilih dimensi dan ukuran yang relevan dengan laporan Anda.
  11. Sesuaikan laporan sesuai kebutuhan, lalu klik Simpan. Kartu visualisasi ditambahkan ke dasbor.

Catatan: Untuk mengedit setiap kartu dasbor, klik Edit di kartu dari dasbor.

Tips pemecahan masalah

Error berikut dapat muncul di halaman Laporan lanjutan:
You are not authenticated to view this page.

Jika Anda diautentikasi dan melihat error ini, browser Anda mungkin memblokir cookie Looker.
Untuk mengaktifkan cookie Looker di browser Anda guna mengakses laporan lanjutan, bergantung pada browser Anda.

Untuk mengaktifkan cookie Looker dan mengakses halaman Laporan lanjutan di Google Chrome, ikuti langkah-langkah berikut:

  1. Klik kanan di mana saja di halaman, lalu pilih Periksa.
  2. Klik salah satu laporan dan salin URL ke papan klip Anda.
  3. Di Chrome, buka Setelan > Privasi dan Keamanan > Cookie pihak ketiga.
  4. Di bagian Diizinkan menggunakan cookie pihak ketiga, klik Tambahkan dan tempelkan URL Looker.

Sekarang Anda dapat mengakses dan melihat laporan lanjutan.

Masalah umum dan batasan

Laporan lanjutan SOAR memiliki masalah umum dan batasan berikut:

  • Menghapus laporan: Opsi Pindahkan ke sampah di menu Tindakan dasbor tidak berfungsi. Untuk menghapus laporan, klik Hapus Laporan di atas laporan.
  • Uji sekarang dalam pengiriman terjadwal: Tindakan Uji sekarang tidak berfungsi. Untuk menguji pengiriman laporan, klik Kirim sekarang dalam dialog Jadwal.
  • Batasan gabungan kueri: Laporan yang menggunakan tindakan Gabungkan kueri tidak dapat diekspor atau diimpor.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.