本頁面由 Cloud Translation API 翻譯而成。

在 SOAR 報表中使用 Looker 探索

支援的國家/地區：

Google SecOps SOAR

Looker 探索是 Google Security Operations 中的互動式資料分析工具，可讓您建構自訂報表和視覺化內容，不必編寫複雜的程式碼。這些資料是進階報表功能的基礎，可讓您彈性分析安全性資料。本文不會說明如何建立及編輯 Looker 探索。如要瞭解探索資料，請參閱「建立及編輯 Looker 探索資料」。

探索進階 SOAR 報告

您可以在「進階 SOAR 報表」分頁中找到 Looker 探索，每個探索都提供專門的資料和視覺化功能，可用於建構進階報表。

預設進階 SOAR 報表是一組資訊主頁和報表，可協助追蹤 SOC 效能、案件處理、分析師工作負載和自動化效率。這些報表提供環境的概略和詳細洞察資料，支援從日常監控到高階主管摘要的各種用途。

許多報表需要特定標記或設定，才能確保資料準確無誤，這些標記或設定會在各個說明中註明。

本節將說明這些常用報表。每份報告都包含視覺化資訊主頁，可輔助您做出資料導向的決策，並持續改善 SOC。表格下方會顯示重要報表的成效。

報表類型	說明
快訊和實體	監控及分析實體、快訊、案件和事件。這項功能提供重要指標和篩選選項，協助您瞭解安全性資料。你可以：監控案件數、平均處理時間和事件數等指標。使用案件優先順序、階段和根本原因等維度篩選資料。透過處理時間和服務水準協議狀態等時間指標，追蹤案件處理效率。必要條件：使用「Incident」旗標找出案件中的事件。
分析師案件量追蹤工具	顯示特定時間內分析師的工作負載分配情形，協助您監控 SOC 的人員配置和成效。工作負載分析：追蹤時段和星期幾，以視覺化方式呈現及分析案件量。成效監控：監控不同時間範圍的成效。個別追蹤：追蹤每位使用者每日、每週和每月的負擔。
案件	從案件建立到結案，全程監控及分析。這項功能提供詳細資訊，協助您追蹤案件的整個生命週期。你可以：搜尋案件優先順序、狀態、階段、環境和結案原因等重要維度。追蹤案件數、平均指派時間 (MTTA) 和平均解決時間 (MTTR) 等指標。查看使用者和指派對象的詳細資料，包括角色、電子郵件和指派開始日期。
案件和快訊	整合案件和快訊資料，協助您分析安全事件如何處理成案件，包括：主要維度：依案件優先順序、階段、根本原因、快訊規則名稱和產品篩選。篩選選項：依劇本動作和事件狀態篩選。指標：透過用途和快訊計數，深入瞭解安全事件的流程。
案件記錄	追蹤案件的整個生命週期，詳細分析案件處理效率和流程時間表。生命週期追蹤：追蹤案件從階段轉換到指派給分析師的過程。詳細深入分析：分析各種階段組合的時間指標。篩選功能：依名稱、優先順序、狀態和環境篩選案件。
客戶報表	摘要資訊主頁，可概略瞭解主要營運領域的 SOC 涵蓋範圍。必要條件：使用「標示為重要」標記找出重要案件。使用「事件」旗標識別事件。定義案件結案的服務水準協議目標。所有非惡意案件都會視為誤判。
高階主管資訊主頁	這個資訊主頁可用於監控主要成效指標 (KPI)，並彙整事件數量、解決時間、服務等級協議 (SLA) 遵循情況和其他主要指標。必要條件：使用「事件」旗標找出事件。定義案件結案的服務水準協議目標。提報的案件必須使用「Stage Escalated」旗標識別。
代管式偵測與回應	適合用於每日、每週或每月報表。以精簡格式追蹤警告、案件建立、分流、解決和服務水準協議資料，例如：服務水準協議監控：使用「分流時間」和「符合服務水準協議」標記監控服務水準協議遵循情況，並改善案件處理方式。排定優先順序和審查：使用「案件優先順序」和「結案根本原因」排定案件優先順序，並審查結案案件。必要條件：使用「Stage Escalated」標記，識別已升級的案件。分流時間是指案件獲得確認的時間。
每月威脅監控	每月警報摘要，包括受影響的產品、警報嚴重程度和其他重要指標。
MTTX 資訊主頁	時間追蹤資訊主頁，可顯示重要案件生命週期階段之間的經過時間，從建立案件到特定事件處理階段的開始和結束時間。您可以自訂參數，例如 `stages` 和 `timestamps`。
分析師工作量報表	以視覺化方式呈現 SOC 工作負載指標，例如快訊和事件分配情形、案件建立與結案的趨勢、快訊分組成效，以及誤判趨勢。請參閱成效詳細資料。
績效處理時間報表	追蹤各個維度的平均偵測時間 (MTTD) 和平均補救時間 (MTTR)，例如團隊、快訊類型和回應階段，深入瞭解營運效率。請參閱成效詳細資料和範例。
Playbook 分析報表	評估自動化成效，並突顯以劇本為基礎的動作如何提升 SOC 效能，以及縮短處理時間。請參閱成效詳細資料。
投資報酬率報表	單一頁面的資訊主頁，可量化自動化節省的時間和精力。包括自動與手動動作的細目，以及這些動作在各產品中的分布情形。
安全作業中心報告	這份報表專為管理多個用戶群的客戶 (例如 MSSP) 而設計，支援切換用戶群和彈性時間篩選。簡潔的圖表非常適合用來製作每週或每月摘要。
安全防護機制和感應器效能報告	提供一段時間內的威脅趨勢和感應器效能，協助找出誤判並微調感應器設定。請參閱成效詳細資料。
整體結案追蹤工具層級成效	這個資訊主頁也稱為「整體結案追蹤器」，可追蹤 SOC 中不同層級的案件數量和解決情況。
層級成效	追蹤特定時間範圍內的快訊數量，分析任何 SOC 角色類別的效率。重要維度：使用「SOC 角色名稱」和「環境」篩選及評估團隊績效。指標：追蹤建立、關閉及待處理的快訊數量，深入瞭解工作負載分配情形和快訊管理方式。
查看資訊主頁案件	提供案件管理和成效的全面檢視畫面，整合案件、快訊、實體、階段進展和分析師指派詳細資料。這個檢視畫面支援使用以代碼為準的維度和指標進行深入分析。這個「探索」頁面提供各種成效追蹤 KPI 和詳細的搜尋選項，包括：搜尋維度：案件優先順序、案件結案原因、第一位/最後一位處理案件的分析師、快訊規則名稱和產品。重要指標：自動/手動結案、平均偵測時間、平均處理時間、平均修復時間，以及按優先順序分類的案件摘要。

探索進階 SOAR 報表的成效分析

每份報告都包含視覺化資訊主頁，可輔助您根據資料做出決策，並持續改善 SOC。

績效處理時間報表

這份報表會醒目顯示案件在回應生命週期的各個階段所花費的時間。這份報表會顯示多項指標，例如平均偵測時間 (MTTD)、平均補救時間 (MTTR)，以及 SOC 角色或階段的平均處理時間。這些深入分析資訊可協助團隊找出延遲情況、評估作業效率，以及改善案件分類和補救工作流程。

平均偵測時間 (MTTD)：從建立案件到案件指派給使用者的平均時間。
格式：days-hours-minutes-seconds
如果案件未指派，小工具會顯示 0。
平均補救時間 (MTTR)：從案件建立到進入補救階段的平均時間。
格式：days-hours-minutes-seconds
如果沒有補救階段，小工具會顯示 N/A。
各 SOC 角色的平均處理時間：顯示 SOC 角色從指派案件到結案或重新指派案件的平均時間。
各階段的平均處理時間：顯示每個階段的平均時間，從階段開始到案件結案或移至不同階段為止。
平均分流時間：顯示不同規則在分流階段的平均處理時間 (以日期為單位)
分流階段平均處理時間：顯示分流階段的平均處理時間 (以日期為單位)。
各資安營運中心角色在各日期的平均處理時間：顯示各資安營運中心角色在各日期的平均處理時間。

分析師工作負載報告

「分析師工作負載」報表會顯示警報、事件和案件在規則間的分配情形，以及這些項目對 SOC 分析師工作負載的影響。有助於找出警報量、案件狀態、誤判和案件處理時間的趨勢，讓團隊調整人力配置、規則和回應效率。

各項規則的快訊分布情形：顯示各規則類型的快訊分布情形和百分比。
各規則的事件分布情形：顯示各規則類型的事件百分比。
未結案與已結案案件：顯示未結案與已結案案件的數量分布。
案件與快訊：顯示案件和快訊數量的分布情形。
誤判與處理時間：雙軸圖表會顯示誤判率與平均處理時間的比較結果。
- 偽陽率是指所有案件中，非惡意案件所占的百分比。
- 平均處理時間是指從建立案件到結案的這段時間。
- 圖表只會顯示已結案案件的資訊。

安全狀態和感應器效能報告

「安全防護機制和感應器效能」報表著重於環境中偵測規則和安全感應器的效力。這個頁面會依規則和產品顯示快訊分布情形、追蹤一段時間內的快訊量，並以視覺化方式呈現誤判率。這些洞察資料有助於評估偵測涵蓋範圍、找出有干擾的規則或成效不佳的產品，以及微調安全防護機制。

按規則劃分的快訊百分比：顯示按規則類型劃分的快訊分布和百分比。
依日期和規則顯示的快訊數量：顯示一段時間內依規則類型分類的快訊數量。
各產品的快訊百分比：顯示各產品的快訊分布和百分比。
依日期和產品顯示的快訊數量：依日期和產品顯示快訊數量。
偽陽率與產品：顯示各產品類型的偽陽率。
- 偽陽率是指所有案件中，非惡意案件所占的百分比。
- 圖表只會顯示已結案案件的相關資訊。

應對手冊分析

應對手冊分析報表會評估自動化功能透過應對手冊執行的成效。這份報告會列出最常自動化處理的快訊、自動化處理的熱門快訊，並比較有/無應對手冊自動化功能的快訊誤判率和處理時間。運用這些洞察資料評估自動化對案件解決的影響，並找出擴大應對手冊涵蓋範圍的機會。

前 10 大自動化快訊：顯示前 10 大規則，這些規則的自動化快訊百分比最高。自動化快訊是指自動連結至應對手冊的快訊。
自動關閉的前 10 項快訊：顯示前 10 項規則，這些規則的快訊有最高比例是透過劇本自動關閉。圖表只會顯示已結案案件的資訊。
誤判與非自動化快訊的處理時間： 對於沒有自動附加應對手冊的快訊，這個小工具會顯示雙軸圖表，比較誤判率與平均處理時間。
- 圖表只會顯示已結案案件的相關資訊。
- 這張圖表只會顯示已結案的案件資料，如果沒有不含應對手冊的警示，圖表就會空白。

在 Looker 中管理進階 SOAR 報表

指派存取權和權限

您可以在「權限」頁面中，為使用者指派下列權限：

查看：選取「查看進階報表」核取方塊，即可授予在「進階報表」分頁中查看報表的權限。
編輯：選取「允許編輯進階報表」核取方塊，即可授予建立、編輯、複製、共用、下載及刪除進階報表的權限。

所有平台使用者都能透過「報表」分頁存取進階報表，不需事先設定。

管理進階報表

「進階報表」分頁提供下列資料夾：

預設 (僅限管理員)：預先定義的報表，無法直接編輯。不過，你可以將這些檔案複製到其他資料夾進行編輯。
個人：您使用 Looker 元件自行建立的報表。您也可以從「預設」或「已共用」資料夾複製及儲存報表。
共用：您建立並與他人共用的報表，或是他人建立並與您共用的報表。

您可以與其他使用者共用進階報表、將報表複製到不同資料夾或環境，或是重新命名您建立或複製的報表，藉此管理進階報表。本節說明如何在「進階報表」介面中執行這些動作。

按一下「分享」。
選取要分享報表的環境。
選用：勾選對應的方塊，授予使用者檢視權限。

重複報表

按一下「content_copy」 content_copy 「複製報表」。
選取目的地資料夾和所需環境。
選用：為複製的報表重新命名。

重新命名 Looker 報表

您只能重新命名個人或共用資料夾中重複的報表。

開啟要重新命名的報表。
按一下「資訊主頁動作」more_vert，然後選取「編輯資訊主頁」。
按一下報表名稱欄位，輸入新名稱，然後按一下「儲存」。

在進階報表中使用自訂欄位

您可以在進階報表中使用 Google SecOps 建立的自訂欄位，進一步瞭解案件和快訊。如要瞭解如何在 Looker 報表中使用自訂欄位，包括 LookML 公式和篩選技術，請參閱「管理自訂欄位」。

使用 SOAR 探索功能建立報表

選取相關欄位，即可定義及視覺化呈現特定資料。SOAR 探索與標準 Looker 資訊主頁類似，但包含其他 SOAR 專屬欄位。詳情請參閱「將圖表視覺化效果新增至資訊主頁」。
如要使用 SOAR 探索功能建立報表，請按照下列步驟操作：

依序前往「資訊主頁和報表」>「SOAR 報表」。
按一下「進階報表」。
依序點按「新增」「新增報表」。
在「建立新報表」對話方塊中，輸入報表名稱、選取資料夾，然後選擇環境。
按一下「建立」，即可顯示新報表。
選取報表，然後按一下「編輯資訊主頁」。
按一下報表名稱下方的「新增」。
在清單中選取「視覺化」。
在「選擇探索」對話方塊中，選擇相關的 SOAR 探索，存取報表專用的資料欄位。
在「所有欄位」分頁中，選取與報表相關的維度和指標。
視需要自訂報表，然後按一下「儲存」。系統會將圖表動態磚新增至資訊主頁。

注意：如要編輯每個資訊主頁動態磚，請按一下資訊主頁動態磚中的「編輯」。

疑難排解提示

「進階報表」頁面可能會顯示下列錯誤：
You are not authenticated to view this page.

如果您已通過驗證，但仍看到這則錯誤訊息，可能是因為瀏覽器封鎖了 Looker Cookie。
如要在瀏覽器中啟用 Looker Cookie 來存取進階報表，請按照瀏覽器適用的步驟操作。

如要在 Google Chrome 中啟用 Looker Cookie 並存取「進階報表」頁面，請按照下列步驟操作：

在網頁的任一處按一下滑鼠右鍵，然後選取「檢查」。
按一下其中一份報表，然後將網址複製到剪貼簿。
在 Chrome 中，依序前往「設定」>「隱私權和安全性」>「第三方 Cookie」。
在「允許使用第三方 Cookie」中，按一下「新增」，然後貼上 Looker 網址。

現在您應該可以存取及查看進階報表。

已知問題和限制

SOAR 進階報表有下列已知問題和限制：

刪除報表：「資訊主頁動作」選單中的「移至垃圾桶」選項無法運作。如要刪除報表，請按一下報表上方的「刪除報表」。
在排定時間傳送時立即測試：「立即測試」動作無法運作。如要測試報表傳送功能，請在「時間表」對話方塊中點選「立即傳送」。
合併查詢限制：使用「合併查詢」動作的報表無法匯出或匯入。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。