Use explorações do Looker em relatórios SOAR

Compatível com:

As explorações do Looker são ferramentas de análise de dados interativas no Google Security Operations que lhe permitem criar relatórios e visualizações personalizados sem escrever código complexo. Serve como base para relatórios avançados, oferecendo uma forma flexível de analisar os seus dados de segurança. Este documento não fornece informações sobre como criar e editar Explores do Looker. Para ver detalhes sobre as explorações, consulte o artigo Crie e edite explorações do Looker.

Explore relatórios SOAR avançados

Pode encontrar as explorações do Looker no separador Relatórios SOAR avançados. Cada uma oferece dados especializados e capacidades de visualização que podem ser usados para criar relatórios avançados.

Os relatórios SOAR avançados predefinidos são um conjunto de painéis de controlo e relatórios para ajudar a monitorizar o desempenho do SOC, o processamento de registos, a carga de trabalho do analista e a eficiência da automatização. Estes relatórios fornecem estatísticas detalhadas e de alto nível nos seus ambientes, suportando exemplos de utilização desde a monitorização diária a resumos ao nível executivo.

Muitos relatórios requerem flags ou configurações específicas para garantir dados precisos, que são indicados em cada descrição.

Esta secção descreve estes relatórios usados frequentemente. Cada relatório inclui painéis de controlo visuais que suportam decisões orientadas por dados e a melhoria contínua do SOC. O desempenho dos principais relatórios segue a tabela.


Tipo de relatório
Descrição

Alertas e entidades
Monitoriza e analisa entidades, alertas, registos e incidentes. Fornece métricas importantes e opções de filtragem para ajudar a compreender os seus dados de segurança. Pode:
  • Monitorize métricas como o número de registos, o tempo médio de processamento e o número de incidentes.
  • Filtre os dados usando dimensões como prioridade do registo, fase e causa principal.
  • Monitorize a eficiência do processamento de registos através de medidas baseadas no tempo, como o tempo de processamento e o estado do SLA.

Pré-requisito:
use a flag Incident para identificar incidentes em registos.

Analista de acompanhamento de carregamento de registos
Mostra a distribuição da carga de trabalho entre os analistas num determinado momento, ajudando a monitorizar o pessoal e o desempenho no seu SOC.
  • Análise da carga de trabalho: visualize e analise as cargas de trabalho acompanhando a hora do dia e o dia da semana.
  • Monitorização do desempenho: monitorize o desempenho em diferentes períodos.
  • Monitorização individual: monitorize a carga de trabalho de cada utilizador por dia, semana e mês.

Capas protetoras
Monitoriza e analisa os registos desde a criação até ao encerramento. Fornece detalhes abrangentes para ajudar a acompanhar todo o ciclo de vida do registo. Pode:
  • Pesquise dimensões importantes, como a prioridade, o estado, a fase, o ambiente e o motivo do encerramento do registo.
  • Acompanhe métricas, como o número de registos, o tempo médio até à atribuição (MTTA) e o tempo médio até à resolução (MTTR).
  • Veja os detalhes do utilizador e do responsável, incluindo as respetivas funções e email, bem como as datas de início da atribuição.

Registos e alertas
Combina dados de casos e alertas para ajudar a analisar como os eventos de segurança são processados em casos, incluindo:
  • Dimensões principais: filtre por prioridade do registo, fase, causa principal, nome da regra de alerta e produto.
  • Opções de filtro: filtre por ações do manual e estado do incidente.
  • Medidas: use o exemplo de utilização e as contagens de alertas para obter informações detalhadas sobre o fluxo de incidentes de segurança.

Histórico do registo
Monitoriza todo o ciclo de vida dos registos, fornecendo uma análise detalhada da eficiência do processamento de registos e das linhas cronológicas dos processos.
  • Acompanhamento do ciclo de vida: acompanhe os registos desde as transições de fase até às atribuições de analistas.
  • Estatísticas detalhadas: analise as métricas baseadas no tempo em várias combinações de fases.
  • Capacidades de filtragem: filtre registos por nome, prioridade, estado e ambiente.

Relatório de clientes
Um painel de controlo de resumo que oferece uma vista de alto nível da cobertura do SOC em áreas operacionais importantes.

Pré-requisitos:
  • Use a sinalização Marcar como importante para identificar registos importantes.
  • Use a flag Incidente para identificar incidentes.
  • Defina alvos de SLA para o encerramento de registos.
  • Todos os casos não maliciosos são considerados falsos positivos.

Painel de controlo executivo
Concebido para monitorizar os indicadores essenciais de desempenho (IEDs), este painel de controlo resume as contagens de incidentes, os tempos de resolução, a conformidade com o ANS e outras métricas importantes.

Pré-requisitos:
  • Use a flag Incidentes para identificar incidentes.
  • Defina alvos de SLA para o encerramento de registos.
  • Os registos encaminhados têm de ser identificados com a flag Stage Escalated.

Managed Detection Response
Ideal para relatórios diários, semanais ou mensais. Monitoriza alertas, criações de registos, triagem, resolução e dados de ANS num formato compacto, como:
  • Monitorização do SLA: use o tempo de triagem e a flag SLA cumprido para monitorizar a conformidade com o SLA e melhorar o processamento de registos.
  • Priorização e revisão: use Case Priority e Close Case Root Cause para priorizar registos e rever encerramentos.

Pré-requisitos:
  • Use a flag Stage Escalated para identificar casos encaminhados.
  • O tempo de triagem é definido como o tempo em que um registo é reconhecido.

Monitorização de ameaças mensal
Um resumo mensal dos alertas, dos produtos afetados, das gravidades dos alertas e de outros indicadores importantes.

Painel de controlo do MTX
Um painel de controlo de acompanhamento de tempo concebido para mostrar o tempo decorrido entre as principais fases do ciclo de vida do registo, desde a criação até ao início e fim de fases específicas de processamento de incidentes. Pode personalizar parâmetros, como stages e timestamps.

Relatório de carga de trabalho do analista
Visualiza métricas de carga de trabalho do SOC, como distribuições de alertas e eventos, tendências de casos abertos e fechados, desempenho do agrupamento de alertas e tendências de falsos positivos. Consulte os detalhes de desempenho.

Relatório de tempos de processamento de desempenho
Monitoriza o tempo médio de deteção (MTTD) e o tempo médio de correção (MTTR) em várias dimensões, como equipas, tipos de alertas e fases de resposta, oferecendo estatísticas sobre a eficiência operacional. Veja detalhes de desempenho e exemplos.

Relatório de análise do guia interativo
Mede a eficácia da automatização e realça como as ações baseadas em manuais de procedimentos melhoram o desempenho do SOC e reduzem os tempos de processamento. Consulte os detalhes de desempenho.

Relatório de ROI
Um painel de controlo de uma única página que quantifica o tempo e o esforço poupados através da automatização. Inclui uma discriminação das ações automáticas versus manuais e a respetiva distribuição pelos produtos.

Relatório do centro de operações de segurança
Criado para clientes que gerem vários inquilinos (por exemplo, MSSPs), este relatório suporta a mudança de inquilino e a filtragem de tempo flexível. Os seus gráficos concisos são adequados para resumos semanais ou mensais.

Relatório de desempenho dos sensores e postura de segurança
Oferece visibilidade das tendências de ameaças e do desempenho dos sensores ao longo do tempo, ajudando a identificar falsos positivos e a otimizar as configurações dos sensores. Consulte os detalhes de desempenho.

Desempenho geral do nível do acompanhamento de autorizações
Também denominado Overall Clearance Tracker, este painel de controlo acompanha o volume de registos e a resolução em diferentes níveis no seu SOC.

Desempenho do nível
Analisa a eficiência de quaisquer categorias de funções de SOC através da monitorização das contagens de alertas durante um período especificado.
  • Dimensões principais: use Nome do cargo do SOC e Ambiente para filtrar e avaliar o desempenho da equipa.
  • Métricas: acompanhe o número de alertas criados, fechados e pendentes para obter estatísticas sobre a distribuição da carga de trabalho e a gestão de alertas.

Ver registos do painel de controlo
Oferece uma vista abrangente da gestão de registos e do desempenho que combina detalhes de registos, alertas, entidades, progressão de fases e atribuição de analistas. Esta vista suporta a análise detalhada através de dimensões e métricas baseadas em etiquetas. Esta análise detalhada oferece uma vasta gama de IEDs de acompanhamento do desempenho e opções de pesquisa detalhadas, incluindo:
  • Dimensões de pesquisa: prioridade do registo, motivo do encerramento do registo, analista de processamento inicial/final, nome da regra de alerta e produto.
  • KPIs: casos fechados automaticamente/manualmente, tempo médio de deteção, tempo médio de processamento, tempo médio de correção e resumo dos casos por prioridade.

Explore a análise de desempenho para relatórios SOAR avançados

Cada relatório inclui painéis de controlo visuais que suportam decisões orientadas por dados e a melhoria contínua do SOC.

Relatório de tempos de processamento de desempenho

Este relatório realça o tempo que os registos passam em várias fases do ciclo de vida da resposta. Inclui métricas como o tempo médio de deteção (MTTD), o tempo médio de correção (MTTR) e o tempo médio de processamento por função ou fase do SOC. Estas estatísticas ajudam as equipas a identificar atrasos, avaliar a eficiência operacional e melhorar os fluxos de trabalho de triagem e correção de registos.

  • Tempo médio de deteção (MTTD): o tempo médio desde a criação do registo até à atribuição do registo a um utilizador.
    Formato: days-hours-minutes-seconds
    O widget apresenta 0 se o registo não estiver atribuído.
  • Tempo médio de correção (MTTR): o tempo médio desde a criação do registo até à sua mudança para a fase de correção.
    Formato: days-hours-minutes-seconds
    O widget apresenta N/A se não existir uma fase de correção.
  • Tempo de processamento médio por função do SOC: mostra o tempo médio que uma função do SOC dedica a um registo desde a atribuição até ao encerramento ou à reatribuição.
  • Tempo de processamento médio por fase: apresenta o tempo médio gasto em cada fase, desde o momento em que uma fase começa até o registo ser fechado ou passar para uma fase diferente.
  • Tempo médio para triagem: apresenta o tempo médio de processamento da fase de triagem por data em diferentes regras
  • Tempo de processamento médio da fase de triagem: apresenta o tempo de processamento médio da fase de triagem por data.
  • Tempo de processamento médio por função do SOC por data: apresenta o tempo de processamento médio por função do SOC por data.

Relatório de carga de trabalho do analista

O relatório Analyst Workload oferece visibilidade sobre a forma como os alertas, os eventos e os registos são distribuídos pelas regras e como afetam a carga de trabalho dos analistas do SOC. Ajuda a identificar tendências no volume de alertas, no estado dos registos, nos falsos positivos e no tempo gasto no processamento de registos, o que permite às equipas otimizar a gestão de pessoal, o ajuste de regras e a eficiência da resposta.

  • Distribuição de alertas entre regras: apresenta a distribuição e a percentagem de alertas por tipo de regra.
  • Distribuição de eventos entre regras: apresenta a percentagem de eventos por tipo de regra.
  • Registos abertos vs. fechados: apresenta a distribuição do número de registos abertos e fechados.
  • Casos vs. alertas: apresenta a distribuição entre o número de casos e alertas.
  • Falsos positivos vs. tempo de processamento: um gráfico de dois eixos apresenta a taxa de falsos positivos em comparação com o tempo de processamento médio.
    • A taxa de falsos positivos é a percentagem de casos não maliciosos em relação a todos os casos.
    • O tempo de processamento médio mede a duração desde a criação do registo até ao respetivo encerramento.
    • O gráfico apresenta informações apenas para registos encerrados.

Relatório de desempenho dos sensores e postura de segurança

O relatório Estado de segurança e desempenho dos sensores centra-se na eficácia das regras de deteção e dos sensores de segurança no seu ambiente. Mostra como os alertas são distribuídos por regra e produto, acompanha o volume de alertas ao longo do tempo e visualiza as taxas de falsos positivos. Estas estatísticas ajudam a avaliar a cobertura da deteção, identificar regras ruidosas ou produtos com baixo desempenho e otimizar a sua postura de segurança.

  • % de alertas por regra: apresenta a distribuição e a percentagem de alertas por tipo de regra.
  • Número de alertas por regra por data: apresenta o número de alertas por tipo de regra ao longo do tempo.
  • % de alertas por produto: apresenta a distribuição e a percentagem de alertas por produto.
  • Número de alertas por produto por data: apresenta o número de alertas por produto por data.
  • Taxa de falsos positivos vs. produto: apresenta a taxa de falsos positivos por tipo de produto.
    • A taxa de falsos positivos é a percentagem de casos não maliciosos em relação a todos os casos.
    • O gráfico apresenta informações apenas sobre casos encerrados.

Análise do guia interativo

O relatório Análise do manual de soluções avalia a eficácia da automação através de manuais de soluções. Realça os alertas automatizados com maior frequência, os principais alertas fechados pela automatização e compara as taxas de falsos positivos e os tempos de processamento de alertas com e sem a automatização de manuais de soluções. Use estas estatísticas para avaliar o impacto da automatização na resolução de registos e identificar oportunidades para expandir a cobertura dos manuais de soluções.

  • Os 10 principais alertas automatizados: apresenta as 10 principais regras com a percentagem mais elevada de alertas automatizados.Um alerta automatizado é um alerta que está associado automaticamente a um manual de soluções.
  • As 10 principais alertas fechados pela automatização: apresenta as 10 principais regras com a percentagem mais elevada de alertas que foram fechados automaticamente por um manual de soluções. O gráfico apresenta informações apenas para registos encerrados.
  • Falsos positivos vs. tempo de processamento para alertas não automatizados: para alertas sem um manual de procedimentos anexado automaticamente, este widget tem um gráfico de dois eixos que apresenta a taxa de falsos positivos em comparação com o tempo de processamento médio.
    • O gráfico apresenta informações apenas sobre casos encerrados.
    • Este gráfico inclui apenas dados de registos fechados e está vazio se não existirem alertas sem manuais de soluções.

Faça a gestão de relatórios SOAR avançados no Looker

Atribua acesso e autorizações

Na página Autorizações, pode atribuir aos utilizadores as seguintes autorizações:

  • Ver: selecione a caixa de verificação Ver relatórios avançados para conceder acesso à visualização de relatórios no separador Relatórios avançados.
  • Editar: selecione a caixa de verificação Permitir a edição de relatórios avançados para conceder acesso à criação, edição, duplicação, partilha, transferência e eliminação de relatórios avançados.

Os relatórios avançados estão acessíveis a todos os utilizadores da plataforma através do separador Relatórios sem configuração prévia.

Faça a gestão dos relatórios avançados

As seguintes pastas no separador Relatórios avançados estão disponíveis:

  • Predefinição (apenas administradores): relatórios predefinidos que não podem ser editados diretamente. No entanto, pode duplicá-los para uma pasta diferente para edição.
  • Pessoal: relatórios que cria com os componentes do Looker. Também pode duplicar e guardar relatórios das pastas Predefinições ou Partilhados.
  • Partilhado: relatórios que criou e partilhou com outras pessoas ou que outras pessoas criaram e partilharam consigo.

Pode gerir os seus relatórios avançados partilhando-os com outros utilizadores, duplicando-os em diferentes pastas ou ambientes, ou mudando o nome dos relatórios que criou ou copiou. Esta secção descreve como realizar estas ações na interface dos relatórios avançados.

Partilhe relatórios

  1. Clique em partilhar Partilhar.
  2. Selecione os ambientes com os quais quer partilhar o relatório.
  3. Opcional: selecione a caixa correspondente para conceder acesso aos utilizadores só de visualização.

Relatórios duplicados

  1. Clique em content_copy Duplicar relatório.
  2. Selecione a pasta de destino e os ambientes necessários.
  3. Opcional: mude o nome do relatório duplicado.

Mude o nome dos relatórios do Looker

Só pode mudar o nome de relatórios que duplicou e que se encontram na sua pasta pessoal ou partilhada.

  1. Abra o relatório cujo nome quer mudar.
  2. Clique em more_vertAções do painel de controlo e selecione Editar painel de controlo.
  3. Clique no campo do nome do relatório, introduza um novo nome e clique em Guardar.

Use campos personalizados em relatórios avançados

Pode usar campos personalizados criados no Google SecOps em relatórios avançados para obter estatísticas mais detalhadas sobre os seus registos e alertas. Para saber como usar campos personalizados em relatórios do Looker, incluindo fórmulas LookML e técnicas de filtragem, consulte o artigo Faça a gestão de campos personalizados.

Crie um relatório com as explorações do SOAR

As explorações SOAR permitem-lhe definir e visualizar dados específicos selecionando os campos relevantes. Embora sejam semelhantes aos painéis de controlo padrão do Looker, as explorações do SOAR incluem campos adicionais específicos do SOAR. Para mais informações, consulte o artigo Adicione uma visualização de gráfico a um painel de controlo.
Para criar um relatório com a funcionalidade Explorar SOAR, siga estes passos:

  1. Aceda a Painéis de controlo e relatórios > Relatórios SOAR.
  2. Clique em Relatórios avançados.
  3. Clique em adicionar Adicionar relatório.
  4. Na caixa de diálogo Criar novo relatório, introduza um nome para o relatório, selecione uma pasta e escolha um ambiente.
  5. Clique em Criar para apresentar o novo relatório.
  6. Selecione o relatório e clique em Editar painel de controlo.
  7. Clique em Adicionar, localizado abaixo do nome do relatório.
  8. Na lista, selecione Visualização.
  9. Na caixa de diálogo Escolha uma exploração, escolha a exploração SOAR relevante para aceder a campos de dados específicos do seu relatório.
  10. No separador Todos os campos, selecione as dimensões e as medidas relevantes para o seu relatório.
  11. Personalize o relatório conforme necessário e clique em Guardar. O mosaico de visualização é adicionado ao painel de controlo.

Nota: para editar cada mosaico do painel de controlo, clique em Editar no mosaico a partir do painel de controlo.

Sugestões de resolução de problemas

O seguinte erro pode aparecer na página Relatórios avançados:
You are not authenticated to view this page.

Se tiver autenticado e vir este erro, o seu navegador pode estar a bloquear os cookies do Looker.
Para ativar os cookies do Looker no seu navegador para aceder a relatórios avançados, depende do seu navegador.

Para ativar os cookies do Looker e aceder à página Relatórios avançados no Google Chrome, siga estes passos:

  1. Clique com o botão direito do rato em qualquer parte da página e selecione Inspecionar.
  2. Clique num dos relatórios e copie o URL para a área de transferência.
  3. No Chrome, aceda a Definições > Privacidade e segurança > Cookies de terceiros.
  4. Em Com autorização para usar cookies de terceiros, clique em Adicionar e cole o URL do Looker.

Agora, deve conseguir aceder e ver os relatórios avançados.

Problemas conhecidos e limitações

Os relatórios avançados de SOAR têm os seguintes problemas conhecidos e limitações:

  • Eliminar relatórios: a opção Mover para o lixo no menu Ações do painel de controlo não funciona. Para eliminar um relatório, clique em Eliminar relatório acima do relatório.
  • Testar agora na entrega agendada: a ação Testar agora não funciona. Para testar a entrega de relatórios, clique em Enviar agora na caixa de diálogo Agendamentos.
  • Limitação de consultas de união: não é possível exportar nem importar relatórios que usem a ação Unir consultas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.