在 SOAR 报告中使用 Looker 探索
Looker Explore 是 Google Security Operations 中的交互式数据分析工具,可让您在不编写复杂代码的情况下构建自定义报告和可视化图表。它们是高级报告的基础,可提供一种灵活的方式来分析安全数据。本文档未提供有关如何创建和修改 Looker 探索的信息。如需详细了解探索,请参阅创建和修改 Looker 探索。
探索高级 SOAR 报告
您可以在“高级 SOAR 报告”标签页中找到 Looker 探索,每个探索都提供专业的数据和可视化功能,可用于构建高级报告。
默认的高级 SOAR 报告是一组信息中心和报告,可帮助跟踪 SOC 性能、支持请求处理、分析师工作负载和自动化效率。这些报告可提供环境的概览和详细数据洞见,支持从日常监控到高管级摘要等各种应用场景。
许多报告需要特定的标志或配置才能确保数据准确,每份报告的说明中都有相关提示。
本部分将介绍这些常用报告。每份报告都包含可视化信息中心,可帮助您做出数据驱动型决策并持续改进 SOC。下表列出了有关关键报告的性能。
报告类型 |
说明 |
|---|---|
提醒和实体 |
监控和分析实体、警报、支持请求和突发事件。它提供关键指标和过滤选项,可帮助您了解安全数据。您可以:
前提条件: 使用 Incident 标志来识别支持请求中的突发事件。 |
分析师支持请求负荷跟踪器 |
显示特定时间段内分析师的工作负载分布情况,帮助您监控 SOC 中的人员配备和绩效。
|
案例 |
监控和分析从创建到关闭的案例。它提供全面的详细信息,帮助您跟踪整个支持请求生命周期。您可以:
|
支持请求和提醒 |
结合了支持请求和提醒数据,可帮助您分析安全事件如何处理为支持请求,包括:
|
病例历史记录 |
跟踪支持请求的整个生命周期,详细分析支持请求处理效率和流程时间表。
|
客户报告 |
一个摘要信息中心,可提供关键运营领域 SOC 覆盖面的概览。 前提条件:
|
Executive Dashboard |
此信息中心旨在监控关键绩效指标 (KPI),可汇总事件数量、解决时间、SLA 遵从情况和其他关键指标。 前提条件:
|
Managed Detection Response |
非常适合生成每日、每周或每月报告。以紧凑的格式跟踪提醒、支持请求创建、分诊、解决和 SLA 数据,例如:
前提条件:
|
每月威胁监控 |
包含提醒、受影响的产品、提醒严重程度和其他关键指标的月度摘要。 |
MTTX 信息中心 |
一种时间跟踪信息中心,旨在显示关键支持请求生命周期阶段(从创建到特定突发事件处理阶段的开始和结束)之间的经过时间。您可以自定义参数,例如 stages 和 timestamps。 |
分析师工作负载报告 |
直观呈现 SOC 工作负载指标,例如提醒和事件分布、未结和已结支持请求趋势、提醒分组效果以及误报趋势。查看效果详情。 |
“绩效处理时间”报告 |
跟踪各个维度(例如团队、提醒类型和响应阶段)的平均检测时间 (MTTD) 和平均补救时间 (MTTR),从而深入了解运营效率。请参阅性能详情和示例。 |
Playbook 分析报告 |
衡量自动化效果,重点说明基于剧本的操作如何提高 SOC 性能并缩短处理时间。查看效果详情。 |
投资回报率报告 |
一个单页信息中心,用于量化通过自动化节省的时间和精力。其中包括自动化操作与手动操作的细分以及它们在各个产品中的分布情况。 |
安全运营中心报告 |
此报告专为管理多个租户(例如 MSSP)的客户而打造,支持租户切换和灵活的时间过滤。其简洁的图表非常适合用于每周或每月摘要。 |
“安全状况和传感器性能”报告 |
可让您了解一段时间内的威胁趋势和传感器性能,有助于识别假正例并微调传感器配置。查看效果详情。 |
“清仓追踪器”各层级的总体效果 |
此信息中心也称为总体结案跟踪器,用于跟踪 SOC 中不同层级的支持请求量和解决情况。 |
层级效果 |
通过跟踪指定时间段内的提醒数量,分析任何 SOC 角色类别的效率。
|
查看信息中心案例 |
提供全面的案件管理和绩效视图,其中包含案件、提醒、实体、阶段进展和分析师分配详细信息。此视图支持使用基于标记的维度和指标进行深入分析。此探索提供了各种效果跟踪 KPI 和详细的搜索选项,包括:
|
探索高级 SOAR 报告的性能分析
每份报告都包含可视化信息中心,可帮助您做出数据驱动型决策并持续改进 SOC。
“绩效处理时间”报告
此报告会重点显示支持请求在响应生命周期的各个阶段所花费的时间。它包含一些指标,例如平均检测时间 (MTTD)、平均补救时间 (MTTR) 以及按 SOC 角色或阶段划分的平均处理时间。这些数据洞见可帮助团队识别延迟、评估运营效率,并改进支持请求分流和问题解决工作流。
- 平均检测时间 (MTTD):从支持请求创建到支持请求分配给用户的平均时间。
格式:days-hours-minutes-seconds
如果未分配支持请求,该 widget 会显示0。 - 平均补救时间 (MTTR):从支持请求创建到进入补救阶段的平均时间。
格式:days-hours-minutes-seconds
。如果不存在补救阶段,该 widget 会显示N/A。 - 按 SOC 角色划分的平均处理时间:显示 SOC 角色从分配支持请求到关闭或重新分配支持请求所花费的平均时间。
- 各阶段的平均处理时间:显示每个阶段的平均耗时,从阶段开始到支持请求关闭或移至其他阶段。
- 平均分诊时间:按日期显示不同规则的“分诊”阶段的平均处理时间
- “分诊阶段的平均处理时间”:按日期显示分诊阶段的平均处理时间。
- 每个 SOC 角色在每个日期对应的平均处理时间:按日期显示每个 SOC 角色的平均处理时间。
分析师工作负载报告
分析师工作负载报告可让您了解提醒、事件和支持请求在规则之间的分布情况,以及它们对 SOC 分析师工作负载的影响。它有助于识别以下方面的趋势:提醒数量、支持请求状态、误报和处理支持请求所花费的时间,从而使团队能够优化人员配置、规则调整和响应效率。
- 规则的提醒分布:显示每种规则类型的提醒分布和百分比。
- 各规则类型的事件分布:显示每种规则类型的事件百分比。
- 未结支持请求与已结支持请求:显示未结支持请求和已结支持请求的数量分布。
- 支持请求与提醒:显示支持请求数量与提醒数量之间的分布情况。
- 误报与处理时间:双轴图表显示了误报率与平均处理时间的比较情况。
- 假正例率是指非恶意情况在所有情况中所占的百分比。
- 平均处理时间是指从支持请求创建到支持请求关闭的持续时间。
- 该图表仅显示已关闭支持请求的信息。
安全态势和传感器性能报告
安全状况和传感器性能报告侧重于检测规则和安全传感器在整个环境中的有效性。该报告会按规则和产品显示提醒的分布情况,跟踪一段时间内的提醒量,并直观呈现假正例率。这些数据洞见有助于评估检测覆盖率、识别有干扰的规则或效果不佳的产品,并微调安全状况。
- 按规则划分的提醒百分比:显示按规则类型划分的提醒分布情况和百分比。
- 按规则和日期显示的提醒数量:显示不同规则类型在不同时间段内的提醒数量。
- 按商品划分的提醒百分比:显示按商品划分的提醒分布情况和百分比。
- 按产品和日期显示的提醒数量:显示按产品和日期显示的提醒数量。
- 假正例率与商品:按商品类型显示假正例率。
- 假正例率是指非恶意情况在所有情况中所占的百分比。
- 该图表仅显示有关已关闭支持请求的信息。
Playbook 分析
Playbook 分析报告用于评估通过 playbook 实现自动化的效果。该报告会突出显示最常自动化的提醒、通过自动化功能关闭的顶级提醒,并比较采用和未采用 playbook 自动化的提醒的误报率和处理时间。利用这些数据分析来评估自动化对解决支持请求的影响,并确定扩大剧本覆盖范围的机会。
- 前 10 个自动提醒:显示自动提醒百分比最高的前 10 条规则。自动提醒是指自动关联到 playbook 的提醒。
- 通过自动化功能关闭的提醒(排名前 10):显示通过剧本自动关闭的提醒所占百分比最高的 10 条规则。该图表仅显示已关闭支持请求的信息。
- 假正例与非自动化提醒的处理时间:
对于没有自动附加 playbook 的提醒,此 widget 包含一个双轴图,用于显示假正例率与平均处理时间的比较。
- 该图表仅显示有关已关闭支持请求的信息。
- 此图表仅包含已结案的数据,如果没有未关联 playbook 的提醒,则此图表为空。
在 Looker 中管理高级 SOAR 报告
分配访问权限和其他权限
在权限页面上,您可以向用户分配以下权限:
- 查看:选中查看高级报告复选框,以授予用户在高级报告标签页中查看报告的权限。
- 修改:选中允许修改高级报告复选框,以授予创建、修改、复制、分享、下载和删除高级报告的权限。
所有平台用户都可以通过报告标签页访问高级报告,无需进行任何预先设置。
管理高级报告
高级报告标签页中包含以下文件夹:
- 默认(仅限管理员):无法直接修改的预定义报告。不过,您可以将它们复制到其他文件夹中进行修改。
- 个人:您使用 Looker 组件自行创建的报告。您还可以复制并保存默认文件夹或共享文件夹中的报告。
- 已共享:您创建并与他人共享的报告,或他人创建并与您共享的报告。
您可以通过以下方式管理高级报告:与其他用户共享、复制到不同的文件夹或环境中,或者重命名您创建或复制的报告。本部分介绍了如何在高级报告界面中执行这些操作。
共享报告
- 依次点击 分享 分享。
- 选择要与哪些环境分享报告。
- 可选:勾选相应的复选框,以授予只读用户访问权限。
重复报告
- 依次点击 content_copy 复制报告。
- 选择目标文件夹和所需的环境。
- 可选:重命名复制的报告。
重命名 Looker 报告
您只能重命名自己复制的报告,这些报告位于您的个人文件夹或共享文件夹中。
- 打开要重命名的报告。
- 点击 more_vert信息中心操作,然后选择修改信息中心。
- 点击报告名称字段,输入新名称,然后点击保存。
在高级报告中使用自定义字段
您可以在高级报告中使用 Google SecOps 中创建的自定义字段,以便更深入地了解您的支持请求和提醒。如需了解如何在 Looker 报告中使用自定义字段(包括 LookML 公式和过滤技术),请参阅管理自定义字段。
创建包含 SOAR 探索的报告
借助 SOAR 探索,您可以通过选择相关字段来定义和直观呈现特定数据。虽然 SOAR Explore 与标准 Looker 信息中心类似,但前者包含更多特定于 SOAR 的字段。如需了解详情,请参阅向信息中心添加图表可视化图表。
如需使用 SOAR 探索功能创建报告,请按以下步骤操作:
- 依次前往信息中心和报告 > SOAR 报告。
- 点击高级报告。
- 依次点击 添加 添加报告。
- 在创建新报告对话框中,输入报告的名称,选择文件夹,然后选择环境。
- 点击创建,系统会显示新报告。
- 选择报告,然后点击修改信息中心。
- 点击报告名称下方的添加。
- 在列表中,选择可视化图表。
- 在选择探索对话框中,选择相关的 SOAR 探索,以访问报告专属的数据字段。
- 在所有字段标签页中,选择与报告相关的维度和度量。
- 根据需要自定义报告,然后点击保存。可视化图块已添加到信息中心。
注意:如需修改每个信息中心板块,请点击信息中心内相应板块中的修改。
问题排查提示
高级报告页面上可能会显示以下错误:
You are not authenticated to view this page.
如果您已通过身份验证,但仍看到此错误,则可能是您的浏览器阻止了 Looker Cookie。
在浏览器中启用 Looker Cookie 以访问高级报告取决于您使用的浏览器。
如需在 Google Chrome 中启用 Looker Cookie 并访问高级报告页面,请按以下步骤操作:
- 右键点击网页上的任意位置,然后选择检查。
- 点击其中一个报告,然后将网址复制到剪贴板。
- 在 Chrome 中,依次前往设置 > 隐私权和安全 > 第三方 Cookie。
- 在已允许使用第三方 Cookie 中,点击添加,然后粘贴 Looker 网址。
您现在应该可以访问和查看高级报告了。
已知问题和限制
SOAR 高级报告存在以下已知问题和限制:
- 删除报告:信息中心操作菜单中的移至回收站选项不起作用。如需删除报告,请点击报告上方的删除报告。
- 在预定投放中立即测试:“立即测试”操作无法正常运行。如需测试报告递送,请在时间安排对话框中点击立即发送。
- 合并查询限制:使用合并查询操作的报告无法导出或导入。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。