SOAR レポートで Looker Explores を使用する

以下でサポートされています。

Looker Explore は、複雑なコードを記述せずにカスタム レポートや可視化を作成できる、Google Security Operations のインタラクティブなデータ分析ツールです。これらは高度なレポートの基盤となり、セキュリティ データを柔軟に分析する方法を提供します。このドキュメントでは、Looker のデータ探索の作成と編集の方法については説明しません。Explore の詳細については、Looker Explore の作成と編集をご覧ください。

高度な SOAR レポートの詳細

Looker Explores は [Advanced SOAR Reports] タブにあります。各 Looker Explores には、高度なレポートの作成に使用できる特殊なデータと可視化機能が用意されています。

デフォルトの高度な SOAR レポートは、SOC のパフォーマンス、ケース処理、アナリストのワークロード、自動化の効率を追跡するのに役立つ一連のダッシュボードとレポートです。これらのレポートでは、環境全体にわたる概要と詳細な分析情報の両方が提供され、日々のモニタリングから経営幹部向けの概要まで、さまざまなユースケースに対応できます。

多くのレポートでは、正確なデータを確保するために特定のフラグや構成が必要になります。これについては、各説明に記載されています。

このセクションでは、これらの一般的なレポートについて説明します。各レポートには、データ主導の意思決定と SOC の継続的な改善をサポートする視覚的なダッシュボードが含まれています。主要なレポートのパフォーマンスは、表の後に続きます。


レポートタイプ
説明

アラートとエンティティ
エンティティ、アラート、ケース、インシデントをモニタリングして分析します。セキュリティ データを理解するのに役立つ主要な指標とフィルタ オプションが用意されています。次の操作が可能です。
  • ケース数、平均処理時間、インシデント数などの指標をモニタリングします。
  • ケースの優先度、ステージ、根本原因などのディメンションを使用してデータをフィルタします。
  • 処理時間や SLA ステータスなどの時間ベースの指標を使用して、ケース処理の効率を追跡します。

前提条件:
Incident フラグを使用して、ケース内のインシデントを特定します。

アナリストのケースロード トラッカー
特定の時点でのアナリスト間のワークロードの分布を表示し、SOC のスタッフ配置とパフォーマンスのモニタリングに役立ちます。
  • ワークロード分析: 1 日の時間帯と曜日を追跡して、ケースロードを可視化して分析します。
  • Performance Monitoring: さまざまな期間のパフォーマンスをモニタリングします。
  • 個々のユーザーの追跡: 各ユーザーの 1 日、1 週間、1 か月あたりのワークロードを追跡します。

ケース
ケースの作成からクローズまでをモニタリングして分析します。ケースのライフサイクル全体を追跡するのに役立つ詳細情報が提供されます。次の操作が可能です。
  • ケースの優先度、ステータス、ステージ、環境、クローズ理由などの主要なディメンションを検索します。
  • ケース数、平均割り当て時間(MTTA)、平均解決時間(MTTR)などの指標を追跡します。
  • ユーザーと割り当て先のロール、メールアドレス、割り当て開始日などの詳細を表示します。

ケースとアラート
ケースとアラートのデータを組み合わせて、セキュリティ イベントがケースに処理される方法を分析します。これには次のものが含まれます。
  • 主なディメンション: ケースの優先度、ステージ、根本原因、アラート ルール名、プロダクトでフィルタします。
  • フィルタ オプション: プレイブック アクションとインシデントのステータスでフィルタします。
  • 指標: ユースケースとアラートの数を使用して、セキュリティ インシデントのフローを把握します。

ケース履歴
ケースのライフサイクル全体を追跡し、ケース処理の効率とプロセス タイムラインの詳細な分析を提供します。
  • ライフサイクル トラッキング: ステージの移行からアナリストの割り当てまで、ケースを追跡します。
  • 詳細な分析情報: さまざまなフェーズの組み合わせで、時間ベースの指標を分析します。
  • フィルタ機能: 名前、優先度、ステータス、環境でケースをフィルタします。

お客様レポート
主要な運用分野における SOC のカバレッジの概要を示すサマリー ダッシュボード。

前提条件:
  • [重要としてマーク] フラグを使用して、重要なケースを特定します。
  • インシデントを特定するには、インシデント フラグを使用します。
  • ケースのクローズの SLA 目標を定義します。
  • 悪意のないケースはすべて誤検知とみなされます。

エグゼクティブ ダッシュボード
重要業績評価指標(KPI)をモニタリングするように設計されたこのダッシュボードには、インシデント数、解決時間、SLA 遵守などの主要な指標がまとめられています。

前提条件:
  • インシデントを特定するには、インシデント フラグを使用します。
  • ケースのクローズの SLA 目標を定義します。
  • エスカレーションされたケースは、[Stage Escalated](エスカレーションされたステージ)フラグを使用して特定する必要があります。

マネージド検出対応
日単位、週単位、月単位のレポートに最適です。アラート、ケースの作成、トリアージ、解決、SLA データを次のようなコンパクトな形式で追跡します。
  • SLA モニタリング: トリアージ時間SLA 達成フラグを使用して、SLA 準拠をモニタリングし、ケース処理を改善します。
  • 優先順位付けとレビュー: ケースの優先度ケースをクローズした根本原因を使用して、ケースの優先順位を付け、クローズをレビューします。

前提条件:
  • エスカレーションされたケースを特定するには、[Stage Escalated](エスカレーションされたステージ)フラグを使用します。
  • トリアージ時間は、ケースが確認された時間として定義されます。

月次脅威モニタリング
アラート、影響を受けるプロダクト、アラートの重大度、その他の主要指標の月次概要。

MTTX ダッシュボード
ケースのライフサイクルの主要なステージ(作成から特定のインシデント処理フェーズの開始と終了まで)の経過時間を表示するように設計された時間追跡ダッシュボード。stagestimestamps などのパラメータをカスタマイズできます。

アナリスト ワークロード レポート
アラートとイベントの分布、オープンとクローズのケースの傾向、アラートのグループ化のパフォーマンス、誤検出の傾向など、SOC ワークロードの指標を可視化します。パフォーマンスの詳細をご覧ください。

パフォーマンス処理時間レポート
チーム、アラートの種類、対応ステージなど、さまざまなディメンションで平均検出時間(MTTD)と平均修復時間(MTTR)を追跡し、運用効率に関する分析情報を提供します。パフォーマンスの詳細と例をご覧ください。

プレイブック分析レポート
自動化の有効性を測定し、プレイブック ベースのアクションによって SOC のパフォーマンスが向上し、処理時間が短縮される方法をハイライト表示します。パフォーマンスの詳細をご覧ください。

ROI レポート
自動化によって節約された時間と労力を定量化する単一ページのダッシュボード。自動アクションと手動アクションの内訳と、プロダクト全体での分布が含まれます。

セキュリティ オペレーション センター レポート
複数のテナントを管理するクライアント(MSSP など)向けに構築されたこのレポートでは、テナントの切り替えと柔軟な時間フィルタリングがサポートされています。簡潔なグラフは、週次または月次の概要に適しています。

セキュリティ体制とセンサーのパフォーマンス レポート
脅威の傾向とセンサーのパフォーマンスを時系列で可視化し、誤検知の特定とセンサー構成の微調整に役立ちます。パフォーマンスの詳細をご覧ください。

Overall Clearance Tracker tier performance
全体的なクリアランス トラッカーとも呼ばれるこのダッシュボードは、SOC のさまざまな階層でケースの数と解決状況を追跡します。

Tier Performance
指定した期間のアラート数を追跡して、SOC ロール カテゴリの効率を分析します。
  • 主要なディメンション: SOC ロール名環境を使用して、チームのパフォーマンスをフィルタして評価します。
  • 指標: 作成、クローズ、保留中のアラートの数を追跡して、ワークロードの分散とアラート管理に関する分析情報を取得します。

ダッシュボードのケースを表示する
ケース、アラート、エンティティ、ステージの進行状況、アナリストの割り当ての詳細を組み合わせた、ケース管理とパフォーマンスの包括的なビューを提供します。このビューでは、タグベースのディメンションと指標を使用して詳細な分析を行うことができます。このデータ探索では、パフォーマンス トラッキング KPI と詳細な検索オプションを幅広く利用できます。たとえば、次のようなものがあります。
  • 検索ディメンション: Case Priority、Case Closed Reason、First/Last Handling Analyst、Alert Rule Name、Product。
  • KPI: 自動/手動でクローズされたケース、平均検出時間、平均処理時間、平均修復時間、優先度別のケースの概要。

高度な SOAR レポートのパフォーマンス分析について調べる

各レポートには、データ主導の意思決定と SOC の継続的な改善をサポートする視覚的なダッシュボードが含まれています。

パフォーマンス処理時間レポート

このレポートでは、ケースが回答ライフサイクルのさまざまなステージで費やした時間を確認できます。これには、平均検出時間(MTTD)、平均修復時間(MTTR)、SOC ロールまたはステージ別の平均処理時間などの指標が含まれます。これらの分析情報は、チームが遅延を特定し、運用効率を評価し、ケースのトリアージと修復のワークフローを改善するのに役立ちます。

  • 平均検知時間(MTTD): ケースの作成からユーザーに割り当てられるまでの平均時間。
    形式: days-hours-minutes-seconds
    ケースが割り当てられていない場合、ウィジェットには 0 が表示されます。
  • 平均修復時間(MTTR): ケースの作成から修復ステージに移行するまでの平均時間。
    形式: days-hours-minutes-seconds
    修復ステージが存在しない場合、ウィジェットには N/A が表示されます。
  • SOC ロール別の平均処理時間: SOC ロールがケースの割り当てからクローズまたは再割り当てまでの処理に費やした平均時間を示します。
  • ステージ別の平均処理時間: ステージが開始してからケースが終了するか別のステージに移動するまでの各ステージの平均所要時間が表示されます。
  • トリアージの平均時間: さまざまなルールにわたって、トリアージ ステージの平均処理時間を日付別に表示します。
  • トリアージ ステージの平均処理時間: トリアージ ステージの平均処理時間を日付別に表示します。
  • SOC ロールごとの日付ごとの平均処理時間: SOC ロールごとの日付ごとの平均処理時間が表示されます。

アナリストのワークロード レポート

アナリストのワークロード レポートでは、アラート、イベント、ケースがルール全体にどのように分散され、SOC アナリストのワークロードにどのように影響しているかを確認できます。アラートの量、ケースのステータス、誤検出、ケースの処理に費やした時間の傾向を特定し、チームがスタッフ配置、ルール調整、対応効率を最適化できるようにします。

  • ルール全体のアラート分布: ルールタイプごとのアラートの分布と割合が表示されます。
  • ルール間のイベント分布: ルールタイプごとのイベントの割合が表示されます。
  • 未解決のケースとクローズされたケース: 未解決のケースとクローズされたケースの数の分布が表示されます。
  • ケースとアラート: ケース数とアラート数の分布を表示します。
  • 偽陽性率と処理時間: 2 軸グラフに、平均処理時間と比較した偽陽性率が表示されます。
    • 偽陽性率は、すべてのケースのうち、悪意のないケースの割合です。
    • 平均処理時間は、ケースの作成からケースのクローズまでの時間を測定します。
    • グラフには、クローズしたケースの情報のみが表示されます。

セキュリティ体制とセンサーのパフォーマンス レポート

セキュリティ態勢とセンサーのパフォーマンス レポートは、環境全体の検出ルールとセキュリティ センサーの有効性に焦点を当てています。アラートがルールとプロダクトごとにどのように分布しているか、アラートの量が時間の経過とともにどのように変化しているか、誤検出率を可視化します。これらの分析情報は、検出範囲の評価、ノイズの多いルールやパフォーマンスの低いプロダクトの特定、セキュリティ体制の微調整に役立ちます。

  • ルール別のアラートの割合: ルールタイプ別のアラートの分布と割合が表示されます。
  • ルール別のルール別のアラート数: ルールタイプ別のアラート数の推移を表示します。
  • 製品別のアラートの割合: 製品別のアラートの分布と割合が表示されます。
  • 商品別、日付別の警告数: 商品別、日付別の警告数が表示されます。
  • 偽陽性率とプロダクト: プロダクト タイプ別の偽陽性率が表示されます。
    • 偽陽性率は、すべてのケースのうち、悪意のないケースの割合です。
    • グラフには、クローズされたケースに関する情報のみが表示されます。

ハンドブック分析

ハンドブック分析レポートは、ハンドブックによる自動化の有効性を評価します。最も頻繁に自動化されたアラート、自動化によってクローズされた上位のアラートがハイライト表示され、ハンドブックの自動化の有無によるアラートの誤検出率と処理時間が比較されます。これらの分析情報を使用して、ケース解決に対する自動化の影響を評価し、プレイブックの対象範囲を拡大する機会を特定します。

  • 自動アラートの上位 10 件: 自動アラートの割合が最も高い上位 10 件のルールが表示されます。自動アラートは、ハンドブックに自動的にリンクされているアラートです。
  • 自動化によってクローズされた上位 10 個のアラート: プレイブックによって自動的にクローズされたアラートの割合が最も高い上位 10 個のルールが表示されます。グラフには、クローズしたケースの情報のみが表示されます。
  • 自動化されていないアラートの偽陽性と処理時間: 自動的にハンドブックが関連付けられていないアラートの場合、このウィジェットには、偽陽性率と平均処理時間を比較する二重軸グラフが表示されます。
    • グラフには、クローズされたケースに関する情報のみが表示されます。
    • このグラフには、クローズされたケースのデータのみが含まれます。ハンドブックのないアラートがない場合、このグラフは空になります。

Looker で高度な SOAR レポートを管理する

アクセスと権限を割り当てる

[権限] ページでは、ユーザーに次の権限を割り当てることができます。

  • 表示: [詳細レポートを表示] チェックボックスをオンにすると、[詳細レポート] タブでレポートを表示する権限が付与されます。
  • 編集: [高度なレポートの編集を許可する] チェックボックスをオンにすると、高度なレポートの作成、編集、複製、共有、ダウンロード、削除を行う権限が付与されます。

詳細レポートには、すべてのプラットフォーム ユーザーが [レポート] タブからアクセスできます。事前の設定は必要ありません。

高度なレポートを管理する

[詳細レポート] タブでは、以下のフォルダが利用可能です。

  • デフォルト(管理者のみ): 直接編集できない事前定義されたレポート。ただし、別のフォルダに複製して編集することは可能です。
  • 個人用: Looker コンポーネントを使用して自分で作成するレポートが保存されます。デフォルト フォルダまたは共有フォルダのレポートを複製して保存することもできます。
  • 共有: 自分が作成して他のユーザーと共有したレポート、または他のユーザーが作成して自分と共有したレポート。

高度なレポートは、他のユーザーと共有したり、別のフォルダや環境に複製したり、作成またはコピーしたレポートの名前を変更したりすることで管理できます。このセクションでは、高度なレポート インターフェースでこれらの操作を行う方法について説明します。

レポートを共有する

  1. [共有] クリックします。
  2. レポートを共有する環境を選択します。
  3. 省略可: 閲覧のみのユーザーにアクセス権を付与するには、該当するチェックボックスをオンにします。

レポートの複製

  1. content_copy [レポートを複製] をクリックします。
  2. 宛先フォルダと必要な環境を選択します。
  3. 省略可: 複製したレポートの名前を変更します。

Looker レポートの名前を変更する

名前を変更できるのは、個人用フォルダまたは共有フォルダにある、複製したレポートのみです。

  1. 名前を変更するレポートを開きます。
  2. more_vert [ダッシュボード アクション] をクリックし、[ダッシュボードを編集] を選択します。
  3. レポート名のフィールドをクリックし、新しい名前を入力して、[保存] をクリックします。

詳細レポートでカスタム フィールドを使用する

Google SecOps で作成したカスタム フィールドを高度なレポートで使用して、ケースとアラートに関する詳細な分析情報を取得できます。LookML の数式やフィルタリング手法など、Looker レポートでカスタム フィールドを使用する方法については、カスタム フィールドを管理するをご覧ください。

SOAR Explores でレポートを作成する

SOAR Explore では、関連するフィールドを選択して、特定のデータを定義し、可視化できます。SOAR Explore は標準の Looker ダッシュボードと似ていますが、SOAR 固有のフィールドが追加されています。詳細については、ダッシュボードにグラフの可視化を追加するをご覧ください。
SOAR Explores を使用してレポートを作成する手順は次のとおりです。

  1. [ダッシュボードとレポート] > [SOAR レポート] に移動します。
  2. [詳細レポート] をクリックします。
  3. [ 追加 ] [レポートを追加] をクリックします。
  4. [新しいレポートを作成] ダイアログで、レポートの名前を入力し、フォルダを選択して、環境を選択します。
  5. [作成] をクリックして、新しいレポートを表示します。
  6. レポートを選択して、[ダッシュボードを編集] をクリックします。
  7. レポート名の下にある [追加] をクリックします。
  8. リストで [Visualization] を選択します。
  9. [Explore を選択] ダイアログで、関連する SOAR Explore を選択して、レポートに固有のデータ フィールドにアクセスします。
  10. [すべてのフィールド] タブで、レポートに関連するディメンションと指標を選択します。
  11. 必要に応じてレポートをカスタマイズし、[保存] をクリックします。ビジュアリゼーション タイルがダッシュボードに追加されます。

注: 各ダッシュボード タイルを編集するには、ダッシュボードのタイルで [編集] をクリックします。

トラブルシューティングのヒント

[詳細レポート] ページに次のエラーが表示されることがあります。
You are not authenticated to view this page.

認証済みでこのエラーが表示される場合は、ブラウザが Looker Cookie をブロックしている可能性があります。
高度なレポートにアクセスするためにブラウザで Looker Cookie を有効にする方法は、ブラウザによって異なります。

Google Chrome で Looker Cookie を有効にして [高度なレポート] ページにアクセスする手順は次のとおりです。

  1. ページ上の任意の場所を右クリックし、[検証] を選択します。
  2. レポートのいずれかをクリックし、URL をクリップボードにコピーします。
  3. Chrome で、[設定] > [プライバシーとセキュリティ] > [サードパーティ Cookie] に移動します。
  4. [サードパーティ Cookie の使用が許可されています] で [追加] をクリックし、Looker URL を貼り付けます。

これで、高度なレポートにアクセスして表示できるようになります。

既知の問題と制限事項

SOAR の高度なレポートには、次の既知の問題と制限事項があります。

  • レポートの削除: [ダッシュボード操作] メニューの [ゴミ箱に移動] オプションが機能しません。レポートを削除するには、レポートの上にある [レポートを削除] をクリックします。
  • スケジュールされた配信で今すぐテスト: [今すぐテスト] アクションが機能しません。レポートの配信をテストするには、[スケジュール] ダイアログで [今すぐ送信] をクリックします。
  • クエリの結合の制限事項: [クエリの結合] アクションを使用するレポートは、エクスポートまたはインポートできません。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。