Usar as Análises do Looker em relatórios do SOAR

Compatível com:

As análises detalhadas do Looker são ferramentas interativas de análise de dados no Google Security Operations que permitem criar relatórios e visualizações personalizados sem escrever códigos complexos. Elas servem como base para relatórios avançados, oferecendo uma maneira flexível de analisar seus dados de segurança. Este documento não fornece informações sobre como criar e editar Análises do Looker. Para mais detalhes sobre as Análises, consulte Criar e editar Análises do Looker.

Conheça os relatórios avançados do SOAR

Você encontra as análises detalhadas do Looker na guia "Relatórios avançados do SOAR". Cada uma delas oferece recursos especializados de dados e visualização que podem ser usados para criar relatórios avançados.

Os relatórios avançados padrão do SOAR são um conjunto de painéis e relatórios que ajudam a acompanhar o desempenho da SOC, o tratamento de casos, a carga de trabalho dos analistas e a eficiência da automação. Esses relatórios fornecem insights de alto nível e detalhados em todos os seus ambientes, oferecendo suporte a casos de uso que vão desde o monitoramento diário até resumos executivos.

Muitos relatórios exigem flags ou configurações específicas para garantir dados precisos, que são indicados em cada descrição.

Esta seção descreve esses relatórios usados com frequência. Cada relatório inclui dashboards visuais que apoiam decisões baseadas em dados e melhorias contínuas do SOC. A performance dos principais relatórios aparece abaixo da tabela.


Tipo de relatório
Descrição

Alertas e entidades
Monitora e analisa entidades, alertas, casos e incidentes. Ela fornece métricas importantes e opções de filtragem para ajudar você a entender seus dados de segurança. Você pode:
  • Monitore métricas como contagem de casos, tempo médio de atendimento e contagem de incidentes.
  • Filtre dados usando dimensões como prioridade, estágio e causa principal do caso.
  • Acompanhe a eficiência do tratamento de casos com medidas baseadas em tempo, como tempo de tratamento e status do SLA.

Pré-requisito:
use a flag Incidente para identificar incidentes em casos.

Rastreador de carga de casos dos analistas
Mostra a distribuição da carga de trabalho entre os analistas em um determinado momento, ajudando você a monitorar o pessoal e a performance no SOC.
  • Análise de carga de trabalho:visualize e analise as cargas de trabalho acompanhando o horário e o dia da semana.
  • Monitoramento de desempenho:monitore a performance em diferentes períodos.
  • Rastreamento individual:rastreie a carga de trabalho de cada usuário por dia, semana e mês.

Casos
Monitora e analisa casos desde a criação até o encerramento. Ele fornece detalhes abrangentes para ajudar você a acompanhar todo o ciclo de vida do caso. Você pode:
  • Pesquise dimensões principais, como prioridade, status, etapa, ambiente e motivo de encerramento do caso.
  • Acompanhe métricas, como contagem de casos, tempo médio de atribuição (MTTA) e tempo médio de resolução (MTTR).
  • Veja detalhes do usuário e do atribuidor, incluindo funções, e-mail e datas de início da atribuição.

Casos e alertas
Combina dados de casos e alertas para ajudar você a analisar como os eventos de segurança são processados em casos, incluindo:
  • Dimensões principais: filtre por prioridade do caso, etapa, causa raiz, nome da regra de alerta e produto.
  • Opções de filtro: filtre por ações do playbook e status do incidente.
  • Medidas: use contagens de casos de uso e alertas para entender o fluxo de incidentes de segurança.

Histórico do caso
Rastreia todo o ciclo de vida dos casos, fornecendo uma análise detalhada da eficiência do tratamento de casos e dos cronogramas de processos.
  • Rastreamento do ciclo de vida:acompanhe casos desde as transições de estágio até as atribuições de analistas.
  • Insights detalhados:analise métricas com base no tempo em várias combinações de fases.
  • Recursos de filtragem:filtre casos por nome, prioridade, status e ambiente.

Relatório do cliente
Um painel de resumo que oferece uma visão geral da cobertura do SOC nas principais áreas operacionais.

Pré-requisitos:
  • Use a flag Marcar como importante para identificar casos importantes.
  • Use a flag Incidente para identificar incidentes.
  • Defina metas de SLA para o encerramento de casos.
  • Todos os casos não maliciosos são considerados falsos positivos.

Painel executivo
Projetado para monitorar indicadores principais de desempenho (KPIs), este painel resume contagens de incidentes, tempos de resolução, conformidade de SLA e outras métricas importantes.

Pré-requisitos:
  • Use a flag "Incidentes" para identificar incidentes.
  • Defina metas de SLA para o encerramento de casos.
  • Os casos encaminhados precisam ser identificados usando a flag Encaminhado.

Detecção e resposta gerenciada
Ideal para relatórios diários, semanais ou mensais. Rastreia alertas, criações de casos, triagem, resolução e dados de SLA em um formato compacto, como:
  • Monitoramento de SLA:use a flag Tempo de triagem e SLA atendido para monitorar a conformidade com o SLA e melhorar o tratamento de casos.
  • Priorização e análise:use Case Priority e Close Case Root Cause para priorizar casos e analisar encerramentos.

Pré-requisitos:
  • Use a flag Stage Escalated para identificar casos encaminhados.
  • O tempo de triagem é definido como o tempo em que um caso é confirmado.

Monitoramento mensal de ameaças
Um resumo mensal de alertas, produtos afetados, gravidades de alerta e outros indicadores importantes.

Painel do MTTX
Um painel de controle de acompanhamento de tempo projetado para mostrar o tempo decorrido entre as principais etapas do ciclo de vida do caso, desde a criação até o início e o fim de fases específicas de tratamento de incidentes. É possível personalizar parâmetros, como stages e timestamps.

Relatório de carga de trabalho do analista
Visualiza métricas de carga de trabalho do SOC, como distribuições de alertas e eventos, tendências de casos abertos e fechados, desempenho do agrupamento de alertas e tendências de falsos positivos. Confira os detalhes de performance.

Relatório de performance de tempos de processamento
Rastreia o tempo médio de detecção (MTTD) e o tempo médio de correção (MTTR) em várias dimensões, como equipes, tipos de alerta e estágios de resposta, oferecendo insights sobre a eficiência operacional. Confira detalhes e exemplos de desempenho.

Relatório de análise do manual
Mede a eficácia da automação e destaca como as ações baseadas em playbook melhoram a performance do SOC e reduzem os tempos de tratamento. Confira os detalhes de performance.

Relatório de ROI
Um painel de uma única página que quantifica o tempo e o esforço economizados com a automação. Ele inclui um detalhamento das ações automatizadas e manuais e a distribuição delas entre os produtos.

Relatório da central de operações de segurança
Criado para clientes que gerenciam vários locatários (por exemplo, MSSPs), esse relatório oferece suporte à troca de locatários e à filtragem flexível de período. Os gráficos concisos são adequados para resumos semanais ou mensais.

Relatório de postura de segurança e performance dos sensores
Fornece visibilidade sobre tendências de ameaças e performance do sensor ao longo do tempo, ajudando a identificar falsos positivos e ajustar as configurações do sensor. Confira os detalhes de performance.

Performance geral do nível do Clearance Tracker
Também chamado de Rastreador geral de autorização, esse painel acompanha o volume de casos e a resolução em diferentes níveis no SOC.

Performance do nível
Analisa a eficiência de qualquer categoria de função do SOC rastreando as contagens de alertas em um período específico.
  • Dimensões principais:use Nome da função do SOC e Ambiente para filtrar e avaliar o desempenho da equipe.
  • Métricas:acompanhe o número de alertas criados, fechados e pendentes para entender a distribuição da carga de trabalho e o gerenciamento de alertas.

Ver casos do painel
Oferece uma visão abrangente do gerenciamento e da performance de casos que combina detalhes de casos, alertas, entidades, progressão de etapas e atribuição de analistas. Essa visualização oferece suporte a análises detalhadas usando dimensões e métricas com base em tag. Essa análise detalhada oferece uma ampla variedade de KPIs de acompanhamento de performance e opções de pesquisa detalhadas, incluindo:
  • Dimensões de pesquisa: prioridade do caso, motivo do encerramento do caso, primeiro/último analista de atendimento, nome da regra de alerta e produto.
  • KPIs: casos fechados automaticamente/manualmente, tempo médio de detecção, tempo médio de tratamento, tempo médio de correção e resumo de casos por prioridade.

Analisar a performance para relatórios avançados de SOAR

Cada relatório inclui painéis visuais que apoiam decisões baseadas em dados e a melhoria contínua da Central de operações de segurança (SOC).

Relatório de tempos de atendimento de performance

Esse relatório destaca quanto tempo os casos passam em várias etapas do ciclo de vida da resposta. Ele inclui métricas, como tempo médio para detectar (MTTD), tempo médio para corrigir (MTTR) e tempo médio de tratamento por função ou estágio do SOC. Esses insights ajudam as equipes a identificar atrasos, avaliar a eficiência operacional e melhorar os fluxos de trabalho de triagem e correção de casos.

  • Tempo médio de detecção (MTTD): o tempo médio desde a criação até a atribuição de um caso a um usuário.
    Formato: days-hours-minutes-seconds
    O widget mostra 0 se o caso não estiver atribuído.
  • Tempo médio para correção (MTTR): o tempo médio desde a criação do caso até a movimentação para a etapa de correção.
    Formato: days-hours-minutes-seconds
    O widget mostra N/A se não houver uma etapa de correção.
  • Tempo médio de processamento por função do SOC: mostra o tempo médio que uma função do SOC gasta em um caso, desde a atribuição até o encerramento ou a reatribuição.
  • Tempo médio de atendimento por estágio: mostra o tempo médio gasto em cada estágio, desde o momento em que um estágio começa até que o caso seja encerrado ou passe para um estágio diferente.
  • Tempo médio para triagem: mostra o tempo médio de tratamento da etapa de triagem por data em diferentes regras.
  • Tempo médio para conclusão da etapa de triagem: mostra o tempo médio para conclusão da etapa de triagem por data.
  • Tempo médio de tratamento por função do SOC por data: mostra o tempo médio de tratamento por função do SOC por data.

Relatório de carga de trabalho do analista

O relatório Carga de trabalho do analista mostra como os alertas, eventos e casos são distribuídos entre as regras e como isso afeta a carga de trabalho do analista do SOC. Ela ajuda a identificar tendências no volume de alertas, status de casos, falsos positivos e tempo gasto no tratamento de casos, permitindo que as equipes otimizem o pessoal, o ajuste de regras e a eficiência da resposta.

  • Distribuição de alertas entre regras:mostra a distribuição e a porcentagem de alertas por tipo de regra.
  • Distribuição de eventos entre regras:mostra a porcentagem de eventos por tipo de regra.
  • Casos abertos x encerrados:mostra a distribuição do número de casos abertos e encerrados.
  • Casos x alertas:mostra a distribuição entre o número de casos e alertas.
  • Falsos positivos x tempo de atendimento:um gráfico de dois eixos mostra a taxa de falsos positivos em comparação com o tempo médio de atendimento.
    • A taxa de falso positivo é a porcentagem de casos não maliciosos em relação a todos os casos.
    • O tempo médio de tratamento mede a duração desde a criação até o encerramento do caso.
    • O gráfico mostra informações apenas sobre casos encerrados.

Relatório de postura de segurança e performance dos sensores

O relatório Postura de segurança e performance dos sensores se concentra na eficácia das regras de detecção e dos sensores de segurança em todo o ambiente. Ele mostra como os alertas são distribuídos por regra e produto, rastreia o volume de alertas ao longo do tempo e visualiza as taxas de falsos positivos. Esses insights ajudam a avaliar a cobertura de detecção, identificar regras ruidosas ou produtos com desempenho abaixo do esperado e ajustar sua postura de segurança.

  • % de alertas por regra:mostra a distribuição e a porcentagem de alertas por tipo de regra.
  • Número de alertas por regra por data:mostra o número de alertas por tipo de regra ao longo do tempo.
  • % de alertas por produto:mostra a distribuição e a porcentagem de alertas por produto.
  • Número de alertas por produto e data:mostra o número de alertas por produto e data.
  • Taxa de falso positivo x produto:mostra a taxa de falso positivo por tipo de produto.
    • A taxa de falso positivo é a porcentagem de casos não maliciosos em relação a todos os casos.
    • O gráfico mostra informações apenas sobre casos encerrados.

Análise do playbook

O relatório Análise de playbook avalia a eficácia da automação usando playbooks. Ele destaca os alertas automatizados com mais frequência, os principais alertas fechados pela automação e compara as taxas de falsos positivos e os tempos de processamento de alertas com e sem automação de playbook. Use esses insights para avaliar o impacto da automação na resolução de casos e identificar oportunidades de ampliar a cobertura do playbook.

  • Os 10 principais alertas automáticos:mostra as 10 principais regras com a maior porcentagem de alertas automáticos, que são vinculados a um playbook automaticamente.
  • Os 10 principais alertas fechados por automação:mostra as 10 principais regras com a maior porcentagem de alertas fechados automaticamente por um playbook. O gráfico mostra informações apenas sobre casos encerrados.
  • Falsos positivos x tempo de tratamento para alertas não automatizados:para alertas sem um playbook anexado automaticamente, esse widget tem um gráfico de dois eixos que mostra a taxa de falsos positivos em comparação com o tempo médio de tratamento.
    • O gráfico mostra informações apenas sobre casos encerrados.
    • Esse gráfico inclui dados apenas de casos encerrados e fica vazio se não houver alertas sem playbooks.

Gerenciar relatórios avançados de SOAR no Looker

Atribuir acesso e permissões

Na página Permissões, você pode atribuir aos usuários estas permissões:

  • Visualizar: marque a caixa de seleção Visualizar relatórios avançados para conceder acesso à visualização de relatórios na guia Relatórios avançados.
  • Editar: marque a caixa de seleção Permitir edição de relatórios avançados para conceder acesso à criação, edição, duplicação, compartilhamento, download e exclusão de relatórios avançados.

Os relatórios avançados estão acessíveis a todos os usuários da plataforma na guia Relatórios sem configuração prévia.

Gerenciar relatórios avançados

As seguintes pastas na guia Relatórios avançados estão disponíveis:

  • Padrão (somente administradores): relatórios predefinidos que não podem ser editados diretamente. No entanto, é possível duplicá-los em uma pasta diferente para edição.
  • Pessoal: relatórios criados por você usando os componentes do Looker. Também é possível duplicar e salvar relatórios das pastas Padrão ou Compartilhados.
  • Compartilhados: relatórios que você criou e compartilhou com outras pessoas ou que outras pessoas criaram e compartilharam com você.

Você pode gerenciar seus relatórios avançados compartilhando-os com outros usuários, duplicando-os em diferentes pastas ou ambientes ou renomeando os relatórios que você criou ou copiou. Esta seção descreve como realizar essas ações na interface de Relatórios avançados.

Compartilhar relatórios

  1. Clique em compartilhar Compartilhar.
  2. Selecione os ambientes com quem você quer compartilhar o relatório.
  3. Opcional: marque a caixa correspondente para conceder acesso aos usuários com permissão para ver.

Relatórios duplicados

  1. Clique em content_copy Duplicar relatório.
  2. Selecione a pasta de destino e os ambientes necessários.
  3. Opcional: renomeie o relatório duplicado.

Renomear relatórios do Looker

Só é possível renomear relatórios duplicados, localizados na sua pasta pessoal ou compartilhada.

  1. Abra o relatório que você quer renomear.
  2. Clique em more_vertAções do dashboard e selecione Editar dashboard.
  3. Clique no campo do nome do relatório, insira um novo nome e clique em Salvar.

Usar campos personalizados em relatórios avançados

É possível usar campos personalizados criados no Google SecOps em relatórios avançados para ter insights mais detalhados sobre seus casos e alertas. Para saber como usar campos personalizados em relatórios do Looker, incluindo fórmulas do LookML e técnicas de filtragem, consulte Gerenciar campos personalizados.

Criar um relatório com as análises detalhadas do SOAR

Com as análises detalhadas do SOAR, você pode definir e visualizar dados específicos selecionando os campos relevantes. Embora sejam semelhantes aos painéis padrão do Looker, as análises detalhadas do SOAR incluem outros campos específicos do SOAR. Para mais informações, consulte Adicionar uma visualização de gráfico a um painel.
Para criar um relatório usando as análises detalhadas do SOAR, siga estas etapas:

  1. Acesse Painéis e relatórios > Relatórios do SOAR.
  2. Clique em Relatórios avançados.
  3. Clique em Adicionar Adicionar alerta.
  4. Na caixa de diálogo Criar novo relatório, insira um nome para o relatório, selecione uma pasta e escolha um ambiente.
  5. Clique em Criar para mostrar o novo relatório.
  6. Selecione o relatório e clique em Editar painel.
  7. Clique em Adicionar, localizado abaixo do nome do relatório.
  8. Na lista, selecione Visualização.
  9. Na caixa de diálogo Escolher uma análise detalhada, selecione a análise detalhada relevante do SOAR para acessar campos de dados específicos do seu relatório.
  10. Na guia Todos os campos, selecione as dimensões e métricas relevantes para seu relatório.
  11. Personalize o relatório conforme necessário e clique em Salvar. O bloco de visualização é adicionado ao painel.

Observação:para editar cada bloco do painel, clique em Editar no bloco do painel.

Dicas de solução de problemas

O seguinte erro pode aparecer na página Relatórios avançados:
You are not authenticated to view this page.

Se você estiver autenticado e encontrar esse erro, talvez seu navegador esteja bloqueando cookies do Looker.
Para ativar os cookies do Looker no seu navegador e acessar relatórios avançados, consulte as instruções específicas do seu navegador.

Para ativar os cookies do Looker e acessar a página Relatórios avançados no Google Chrome, siga estas etapas:

  1. Clique com o botão direito do mouse em qualquer lugar da página e selecione Inspecionar.
  2. Clique em um dos relatórios e copie o URL para a área de transferência.
  3. No Chrome, acesse Configurações > Privacidade e segurança > Cookies de terceiros.
  4. Em Permitir o uso de cookies de terceiros, clique em Adicionar e cole o URL do Looker.

Agora você pode acessar e visualizar os relatórios avançados.

Limitações e problemas conhecidos

Os relatórios avançados do SOAR têm os seguintes problemas conhecidos e limitações:

  • Excluir relatórios: a opção Mover para a lixeira no menu Ações do painel não funciona. Para excluir um relatório, clique em Excluir relatório acima dele.
  • Testar agora na entrega programada: a ação Testar agora não funciona. Para testar o envio de relatórios, clique em Enviar agora na caixa de diálogo Programações.
  • Limitação de junção de consultas: não é possível exportar ou importar relatórios que usam a ação Junção de consultas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.