Utilizzare le esplorazioni di Looker nei report SOAR

Supportato in:

Le esplorazioni di Looker sono strumenti interattivi di analisi dei dati in Google Security Operations che ti consentono di creare report e visualizzazioni personalizzati senza scrivere codice complesso. Forniscono le basi per i report avanzati, offrendo un modo flessibile per analizzare i dati di sicurezza. Questo documento non fornisce informazioni su come creare e modificare le esplorazioni di Looker. Per informazioni dettagliate sulle esplorazioni, vedi Creare e modificare le esplorazioni di Looker.

Esplorare i report SOAR avanzati

Puoi trovare le esplorazioni di Looker nella scheda Report SOAR avanzati, ognuna delle quali fornisce dati specializzati e funzionalità di visualizzazione che possono essere utilizzate per creare report avanzati.

I report SOAR avanzati predefiniti sono un insieme di dashboard e report che consentono di monitorare le prestazioni del SOC, la gestione dei casi, il carico di lavoro degli analisti e l'efficienza dell'automazione. Questi report forniscono informazioni dettagliate e di alto livello nei tuoi ambienti, supportando casi d'uso che vanno dal monitoraggio giornaliero ai riepiloghi a livello dirigenziale.

Molti report richiedono flag o configurazioni specifici per garantire dati accurati, che sono indicati in ogni descrizione.

Questa sezione descrive questi report di uso comune. Ogni report include dashboard visive che supportano decisioni basate sui dati e il miglioramento continuo del SOC. Dopo la tabella, vengono visualizzate le informazioni sul rendimento dei report chiave.


Tipo di report
Descrizione

Avvisi ed entità
Monitora e analizza entità, avvisi, casi e incidenti. Fornisce metriche chiave e opzioni di filtro per aiutarti a comprendere i tuoi dati di sicurezza. Puoi:
  • Monitora metriche come il conteggio dei casi, il tempo medio di gestione e il conteggio degli incidenti.
  • Filtra i dati utilizzando dimensioni come priorità, fase e causa principale della richiesta.
  • Monitora l'efficienza della gestione delle richieste tramite misure basate sul tempo, come il tempo di gestione e lo stato dell'SLA.

Prerequisito:
utilizza il flag Incidente per identificare gli incidenti nelle richieste.

Analyst Case Load Tracker
Mostra la distribuzione del carico di lavoro tra gli analisti in un determinato momento, aiutandoti a monitorare il personale e il rendimento nel SOC.
  • Analisi del carico di lavoro: visualizza e analizza i carichi di lavoro monitorando l'ora del giorno e il giorno della settimana.
  • Monitoraggio del rendimento: monitora il rendimento in diversi periodi di tempo.
  • Monitoraggio individuale:monitora il carico di lavoro di ogni utente al giorno, alla settimana e al mese.

Custodie
Monitora e analizza le richieste dalla creazione alla chiusura. Fornisce dettagli completi per aiutarti a monitorare l'intero ciclo di vita della richiesta. Puoi:
  • Cerca dimensioni chiave, come priorità, stato, fase, ambiente e motivo di chiusura della richiesta.
  • Monitora metriche come il numero di richieste, il tempo medio di assegnazione (MTTA) e il tempo medio di risoluzione (MTTR).
  • Visualizza i dettagli dell'utente e dell'assegnatario, inclusi i ruoli e l'email, nonché le date di inizio dell'assegnazione.

Casi e avvisi
Combina i dati di casi e avvisi per aiutarti ad analizzare in che modo gli eventi di sicurezza vengono elaborati nei casi, tra cui:
  • Dimensioni chiave: filtra per priorità della richiesta, fase, causa principale, nome regola di avviso e prodotto.
  • Opzioni di filtro: filtra in base alle azioni del playbook e allo stato dell'incidente.
  • Misure: utilizza i conteggi di casi d'uso e avvisi per ottenere informazioni sul flusso degli incidenti di sicurezza.

Case History
Monitora l'intero ciclo di vita delle richieste, fornendo un'analisi dettagliata dell'efficienza della gestione delle richieste e delle tempistiche dei processi.
  • Monitoraggio del ciclo di vita:segui le richieste di assistenza dalle transizioni di fase alle assegnazioni degli analisti.
  • Approfondimenti dettagliati:analizza le metriche basate sul tempo in varie combinazioni di fasi.
  • Funzionalità di filtro:filtra le richieste in base a nome, priorità, stato e ambiente.

Customer Report
Una dashboard di riepilogo che offre una visione generale della copertura SOC nelle aree operative chiave.

Prerequisiti:
  • Utilizza il flag Contrassegna come importante per identificare i casi importanti.
  • Utilizza il flag Incidente per identificare gli incidenti.
  • Definisci i target SLA per la chiusura delle richieste.
  • Tutti i casi non dannosi sono considerati falsi positivi.

Dashboard per i dirigenti
Progettato per monitorare gli indicatori chiave di prestazione (KPI), questo dashboard riepiloga il numero di incidenti, i tempi di risoluzione, la conformità SLA e altre metriche chiave.

Prerequisiti:
  • Utilizza il flag Incidenti per identificare gli incidenti.
  • Definisci i target SLA per la chiusura delle richieste.
  • I casi riassegnati devono essere identificati utilizzando il flag Stage Escalated.

Managed Detection Response
Ideale per report giornalieri, settimanali o mensili. Monitora avvisi, creazioni di richieste, triage, risoluzione e dati SLA in un formato compatto, ad esempio:
  • Monitoraggio SLA: utilizza i flag Tempo di triage e SLA rispettato per monitorare la conformità agli SLA e migliorare la gestione delle richieste.
  • Prioritizzazione e revisione:utilizza Priorità richiesta e Causa principale chiusura richiesta per dare la priorità alle richieste e rivedere le chiusure.

Prerequisiti:
  • Utilizza il flag Stage Escalated per identificare i casi di riassegnazione.
  • Il tempo di triage è definito come il tempo in cui viene confermata una richiesta.

Monitoraggio mensile delle minacce
Un riepilogo mensile di avvisi, prodotti interessati, gravità degli avvisi e altri indicatori chiave.

Dashboard MTTX
Una dashboard di monitoraggio del tempo progettata per mostrare il tempo trascorso tra le fasi chiave del ciclo di vita della richiesta, dalla creazione all'inizio e alla fine di fasi specifiche di gestione degli incidenti. Puoi personalizzare i parametri, ad esempio stages e timestamps.

Report sul carico di lavoro degli analisti
Visualizza le metriche del carico di lavoro del SOC, come le distribuzioni di avvisi ed eventi, le tendenze dei casi aperti e chiusi, il rendimento del raggruppamento degli avvisi e le tendenze dei falsi positivi. Visualizza i dettagli sul rendimento.

Report sui tempi di gestione del rendimento
Monitora il tempo medio di rilevamento (MTTD) e il tempo medio di correzione (MTTR) in varie dimensioni, come team, tipi di avvisi e fasi di risposta, offrendo informazioni sull'efficienza operativa. Consulta i dettagli sul rendimento e gli esempi.

Report di analisi della guida pratica
Misura l'efficacia dell'automazione ed evidenzia in che modo le azioni basate su playbook migliorano il rendimento del SOC e riducono i tempi di gestione. Visualizza i dettagli sul rendimento.

Report sul ROI
Una dashboard di una sola pagina che quantifica il tempo e l'impegno risparmiati grazie all'automazione. Include una suddivisione delle azioni automatizzate rispetto a quelle manuali e la loro distribuzione tra i prodotti.

Report del Security Operations Center
Creato per i clienti che gestiscono più tenant (ad esempio, MSSP), questo report supporta il cambio di tenant e il filtro flessibile dell'ora. I suoi grafici concisi sono adatti ai riepiloghi settimanali o mensili.

Report su postura di sicurezza e rendimento dei sensori
Fornisce visibilità sulle tendenze delle minacce e sul rendimento dei sensori nel tempo, contribuendo a identificare i falsi positivi e a perfezionare le configurazioni dei sensori. Visualizza i dettagli sul rendimento.

Rendimento complessivo del livello di Clearance Tracker
Chiamato anche Overall Clearance Tracker, questo dashboard monitora il volume e la risoluzione dei casi nei diversi livelli del tuo SOC.

Rendimento del livello
Analizza l'efficienza di qualsiasi categoria di ruolo SOC monitorando il conteggio degli avvisi in un periodo di tempo specificato.
  • Dimensioni chiave:utilizza Nome ruolo SOC e Ambiente per filtrare e valutare il rendimento del team.
  • Metriche:monitora il numero di avvisi creati, chiusi e in attesa per ottenere informazioni sulla distribuzione del carico di lavoro e sulla gestione degli avvisi.

Visualizza le richieste della dashboard
Fornisce una visione completa della gestione e del rendimento dei casi che combina dettagli su casi, avvisi, entità, progressione delle fasi e assegnazione degli analisti. Questa visualizzazione supporta l'analisi approfondita utilizzando dimensioni e metriche basate sui tag. Questo Explore offre un'ampia gamma di KPI di monitoraggio del rendimento e opzioni di ricerca dettagliate, tra cui:
  • Dimensioni di ricerca: priorità della richiesta, motivo della chiusura della richiesta, primo/ultimo analista che ha gestito la richiesta, nome della regola di avviso e prodotto.
  • KPI: casi chiusi automaticamente/manualmente, tempo di rilevamento medio, tempo di gestione medio, tempo di correzione medio e riepilogo dei casi per priorità.

Esplorare l'analisi del rendimento per report SOAR avanzati

Ogni report include dashboard visive che supportano decisioni basate sui dati e il miglioramento continuo del SOC.

Report sui tempi di gestione del rendimento

Questo report evidenzia la durata delle varie fasi del ciclo di vita della risposta delle richieste. Include metriche come il tempo medio di rilevamento (MTTD), il tempo medio di correzione (MTTR) e il tempo medio di gestione per ruolo o fase del SOC. Queste informazioni aiutano i team a identificare i ritardi, valutare l'efficienza operativa e migliorare i flussi di lavoro di triage e correzione delle richieste.

  • Tempo medio di rilevamento (MTTD): il tempo medio che intercorre dalla creazione della richiesta fino all'assegnazione a un utente.
    Formato: days-hours-minutes-seconds
    Il widget mostra 0 se la richiesta non è assegnata.
  • Tempo medio di risoluzione (MTTR): il tempo medio che intercorre dalla creazione della richiesta fino al passaggio alla fase di risoluzione.
    Formato: days-hours-minutes-seconds
    Il widget mostra N/A se non esiste una fase di risoluzione.
  • Tempo medio di gestione per ruolo SOC: mostra il tempo medio che un ruolo SOC dedica a una richiesta dall'assegnazione alla chiusura o alla riassegnazione.
  • Tempo medio di gestione per fase: mostra il tempo medio trascorso in ogni fase, dal momento in cui inizia una fase fino a quando la richiesta viene chiusa o passa a una fase diversa.
  • Tempo medio di triage: mostra il tempo medio di gestione per la fase di triage per data in base a regole diverse
  • Tempo medio di gestione della fase di triage: mostra il tempo medio di gestione della fase di triage per data.
  • Tempo medio di gestione per ruolo del SOC per data: mostra il tempo medio di gestione per ruolo del SOC per data.

Report sul carico di lavoro degli analisti

Il report Carico di lavoro dell'analista fornisce visibilità su come vengono distribuiti avvisi, eventi e casi tra le regole e sul loro impatto sul carico di lavoro dell'analista del SOC. Aiuta a identificare le tendenze nel volume degli avvisi, nello stato dei casi, nei falsi positivi e nel tempo dedicato alla gestione dei casi, consentendo ai team di ottimizzare l'organico, la messa a punto delle regole e l'efficienza della risposta.

  • Distribuzione degli avvisi tra le regole:mostra la distribuzione e la percentuale di avvisi per tipo di regola.
  • Distribuzione degli eventi tra le regole:mostra la percentuale di eventi per tipo di regola.
  • Richieste aperte e chiuse:mostra la distribuzione del numero di richieste aperte e chiuse.
  • Richieste e avvisi:mostra la distribuzione tra il numero di richieste e avvisi.
  • Falsi positivi e tempo di gestione: un grafico a due assi mostra la percentuale di falsi positivi rispetto al tempo di gestione medio.
    • Il tasso di falsi positivi è la percentuale di casi non dannosi sul totale dei casi.
    • Il tempo di gestione medio misura la durata dalla creazione della richiesta alla chiusura.
    • Il grafico mostra le informazioni solo per le richieste chiuse.

Report su postura di sicurezza e prestazioni dei sensori

Il report Stato di sicurezza e prestazioni dei sensori si concentra sull'efficacia delle regole di rilevamento e dei sensori di sicurezza nel tuo ambiente. Mostra la distribuzione degli avvisi per regola e prodotto, monitora il volume degli avvisi nel tempo e visualizza i tassi di falsi positivi. Queste informazioni aiutano a valutare la copertura del rilevamento, identificare regole rumorose o prodotti con un rendimento insufficiente e ottimizzare la postura di sicurezza.

  • % di avvisi per regola:mostra la distribuzione e la percentuale di avvisi per tipo di regola.
  • Numero di avvisi per regola per data:mostra il numero di avvisi per tipo di regola nel tempo.
  • Percentuale di avvisi per prodotto: mostra la distribuzione e la percentuale di avvisi per prodotto.
  • Numero di avvisi per prodotto per data: mostra il numero di avvisi per prodotto per data.
  • Tasso di falsi positivi per prodotto:mostra il tasso di falsi positivi per tipo di prodotto.
    • Il tasso di falsi positivi è la percentuale di casi non dannosi sul totale dei casi.
    • Il grafico mostra solo le informazioni sui casi chiusi.

Analisi del playbook

Il report Analisi dei playbook valuta l'efficacia dell'automazione tramite i playbook. Evidenzia gli avvisi automatizzati più frequenti, gli avvisi principali chiusi dall'automazione e confronta i tassi di falsi positivi e i tempi di gestione degli avvisi con e senza l'automazione dei playbook. Utilizza questi approfondimenti per valutare l'impatto dell'automazione sulla risoluzione delle richieste e identificare opportunità per ampliare la copertura dei playbook.

  • I 10 avvisi automatici più importanti:mostra le 10 regole con la percentuale più alta di avvisi automatici.Un avviso automatico è un avviso collegato automaticamente a un playbook.
  • I 10 avvisi principali chiusi dall'automazione:mostra le 10 regole principali con la percentuale più alta di avvisi chiusi automaticamente da un playbook. Il grafico mostra le informazioni solo per le richieste chiuse.
  • Falsi positivi e tempo di gestione per gli avvisi non automatizzati: Per gli avvisi senza un playbook collegato automaticamente, questo widget ha un grafico a doppio asse che mostra il tasso di falsi positivi rispetto al tempo di gestione medio.
    • Il grafico mostra solo le informazioni sui casi chiusi.
    • Questo grafico include solo i dati relativi alle richieste chiuse e sarà vuoto se non sono presenti avvisi senza playbook.

Gestire i report SOAR avanzati in Looker

Assegnare l'accesso e le autorizzazioni

Nella pagina Autorizzazioni puoi assegnare agli utenti le seguenti autorizzazioni:

  • Visualizza: seleziona la casella di controllo Visualizza report avanzati per concedere l'accesso alla visualizzazione dei report nella scheda Report avanzati.
  • Modifica: seleziona la casella di controllo Consenti la modifica dei report avanzati per concedere l'accesso alla creazione, alla modifica, alla duplicazione, alla condivisione, al download e all'eliminazione dei report avanzati.

I report avanzati sono accessibili a tutti gli utenti della piattaforma tramite la scheda Report senza alcuna configurazione preliminare.

Gestire i report avanzati

Nella scheda Report avanzati sono disponibili le seguenti cartelle:

  • Predefinito (solo amministratori): report predefiniti che non possono essere modificati direttamente. Tuttavia, puoi duplicarli in una cartella diversa per modificarli.
  • Personali: report che crei tu stesso utilizzando i componenti di Looker. Puoi anche duplicare e salvare i report dalle cartelle Predefinita o Condivisa.
  • Condivisi: report che hai creato e condiviso con altri o che altri hanno creato e condiviso con te.

Puoi gestire i report avanzati condividendoli con altri utenti, duplicandoli in cartelle o ambienti diversi o rinominando i report che hai creato o copiato. Questa sezione descrive come eseguire queste azioni nell'interfaccia dei report avanzati.

Condividere i report

  1. Fai clic su Condividi Condividi.
  2. Seleziona gli ambienti con cui condividere il report.
  3. (Facoltativo) Seleziona la casella corrispondente per concedere l'accesso agli utenti di sola visualizzazione.

Report duplicati

  1. Fai clic su content_copy Duplica report.
  2. Seleziona la cartella di destinazione e gli ambienti richiesti.
  3. (Facoltativo) Rinomina il report duplicato.

Rinomina i report di Looker

Puoi rinominare solo i report che hai duplicato e che si trovano nella tua cartella personale o condivisa.

  1. Apri il report che vuoi rinominare.
  2. Fai clic su more_vertAzioni della dashboard e seleziona Modifica dashboard.
  3. Fai clic nel campo del nome del report, inserisci un nuovo nome e fai clic su Salva.

Utilizzare i campi personalizzati nei report avanzati

Puoi utilizzare i campi personalizzati creati in Google SecOps nei report avanzati per ottenere approfondimenti più dettagliati su casi e avvisi. Per scoprire come utilizzare i campi personalizzati nei report di Looker, incluse le formule LookML e le tecniche di filtraggio, consulta Gestire i campi personalizzati.

Creare un report con le esplorazioni SOAR

SOAR Explores ti consente di definire e visualizzare dati specifici selezionando i campi pertinenti. Sebbene simili alle dashboard Looker standard, le esplorazioni SOAR includono campi aggiuntivi specifici di SOAR. Per maggiori informazioni, vedi Aggiungere una visualizzazione a grafico a una dashboard.
Per creare un report utilizzando SOAR Explores:

  1. Vai a Dashboard e report > Report SOAR.
  2. Fai clic su Report avanzati.
  3. Fai clic su Aggiungi Aggiungi report.
  4. Nella finestra di dialogo Crea nuovo report, inserisci un nome per il report, seleziona una cartella e scegli un ambiente.
  5. Fai clic su Crea per visualizzare il nuovo report.
  6. Seleziona il report e fai clic su Modifica dashboard.
  7. Fai clic su Aggiungi, sotto il nome del report.
  8. Nell'elenco, seleziona Visualizzazione.
  9. Nella finestra di dialogo Scegli un'esplorazione, scegli l'esplorazione SOAR pertinente per accedere ai campi di dati specifici per il report.
  10. Nella scheda Tutti i campi, seleziona le dimensioni e le misure pertinenti per il report.
  11. Personalizza il report in base alle tue esigenze e fai clic su Salva. Il riquadro di visualizzazione viene aggiunto alla dashboard.

Nota: per modificare ogni riquadro della dashboard, fai clic su Modifica nel riquadro della dashboard.

Suggerimenti per la risoluzione dei problemi

Nella pagina Report avanzati potrebbe essere visualizzato il seguente errore:
You are not authenticated to view this page.

Se l'autenticazione è stata eseguita e visualizzi questo errore, il browser potrebbe bloccare i cookie di Looker.
Per attivare i cookie di Looker nel browser per accedere ai report avanzati, dipende dal browser.

Per attivare i cookie di Looker e accedere alla pagina Report avanzati in Google Chrome, segui questi passaggi:

  1. Fai clic con il tasto destro del mouse in un punto qualsiasi della pagina e seleziona Ispeziona.
  2. Fai clic su uno dei report e copia l'URL negli appunti.
  3. In Chrome, vai a Impostazioni > Privacy e sicurezza > Cookie di terze parti.
  4. Nella sezione Autorizzati a utilizzare i cookie di terze parti, fai clic su Aggiungi e incolla l'URL di Looker.

Ora dovresti essere in grado di accedere ai report avanzati e visualizzarli.

Problemi noti e limitazioni

I report avanzati SOAR presentano i seguenti problemi noti e limitazioni:

  • Eliminazione dei report: l'opzione Sposta nel cestino nel menu Azioni della dashboard non funziona. Per eliminare un report, fai clic su Elimina report sopra il report.
  • Testa ora nella pubblicazione pianificata: l'azione Testa ora non funziona. Per testare l'invio dei report, fai clic su Invia ora nella finestra di dialogo Pianificazioni.
  • Limitazione delle query di unione: i report che utilizzano l'azione Unisci query non possono essere esportati o importati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.