Dashboards-Nutzerhandbuch

Übersicht

Chronicle bietet eine Reihe von Standard-Dashboards für Analysen und Berichte in der Chronicle-Benutzeroberfläche. Berichte lassen sich anzeigen, indem Sie ein Dashboard in eine Datei umwandeln, die freigegeben werden kann (z. B. PDF, Excel, CSV usw.). Diese Dashboards basieren auf den Funktionen von Looker: https://cloud.google.com/looker und BigQuery: https://cloud.google.com/bigquery (beide Google Cloud-Produkte). Looker dient als Visualisierungsebene, während BigQuery als Datenschicht dient.

Hinweis

Bevor Sie auf Dashboards in Chronicle zugreifen können, führen Sie die folgenden Schritte aus:

  1. Starten Sie den Google Chrome-Browser.

    Wenn Chrome nicht installiert ist, rufen Sie https://www.google.com/chrome/ auf.

  2. Prüfen Sie, ob Sie Zugriff auf Ihr Unternehmenskonto haben.

Auf Chronicle zugreifen

Führen Sie die folgenden Schritte aus, um auf Ihr Chronicle-Konto zuzugreifen und die Dashboard-Seite aufzurufen:

  1. Rufen Sie das Chronicle-Konto Ihres Unternehmens auf:

    https://<Ihr-Unternehmen>.backstory.chronicle.security

  2. Der Bildschirm sollte in etwa so aussehen:

    Chronicle-Landingpage Chronicle-Landingpage

Auf die Chronicle-Dashboards zugreifen

Führen Sie den folgenden Schritt aus, um die Seite Dashboards aufzurufen:

  1. Klicken Sie oben rechts auf das Symbol für das Anwendungsmenü Symbol und wählen Sie die Option Dashboards aus.

    Hinweis: Wenn Sie die Option "Dashboards" im Menü nicht sehen, wenden Sie sich an Ihren Account Manager, um sicherzustellen, dass die Funktion für Ihr Konto aktiviert wurde.

    Anwendungsmenü

    Anwendungsmenü

Standard-Dashboards

Chronicle bietet eine Reihe von Standard-Dashboards. Sie ermöglichen verschiedene Visualisierungen der Daten, die in Ihrem Chronicle-Konto gespeichert sind. Diese Dashboards helfen Ihnen, den Status des Chronicle-Datenaufnahmesystems sowie den aktuellen Bedrohungsstatus für Ihr Unternehmen zu verstehen. Alle Standard-Dashboards enthalten eine Zeitsteuerung.

Datenaufnahme und -zustand

Das Dashboard "Datenaufnahme und Systemdiagnose" enthält Informationen zum Typ und zum Volumen der in Ihr Chronicle-Konto aufgenommenen Daten. Diese Informationen sollten relativ stabil und vorhersehbar bleiben. Ein plötzlicher Rückgang bei der Datenaufnahme kann jedoch auf ein Problem mit den Systemweiterleitungsdaten Ihres Unternehmens oder Ihrem Chronicle-Konto hinweisen.

  1. Wählen Sie das Dashboard Datenaufnahme und Heatlh aus, wie unten gezeigt.

    Dashboard zur Datenaufnahme und zum Status Dashboard zur Datenaufnahme und zum Zustand

IOC-Übereinstimmungen

Das Dashboard für den Abgleich von Übereinstimmungen bietet einen Einblick in die IOCs, die derzeit in Ihrem Unternehmen vorhanden sind. Dazu gehören die folgenden IOC-Diagramme:

  • IOC-Übereinstimmungen im Zeitverlauf nach Kategorie
  • Die 10 wichtigsten Domains-IOC-Indikatoren
  • Die 10 häufigsten IP-IOC-Indikatoren
  • Top 10 der Assets nach IOC-Übereinstimmungen

IOC-Übereinstimmungen IOC-Übereinstimmungen

Haupteinstellungen

Das Haupt-Dashboard zeigt Informationen zum Status des Chronicle-Datenaufnahmesystems an. Dazu gehört auch eine globale Karte, auf der der geografische Standort der in Ihrem Unternehmen gefundenen IOCs hervorgehoben wird.

Hinweis: Die Zuordnungsfunktion ist in einigen Regionen der Welt nicht verfügbar.

Haupt-Dashboard Haupt-Dashboard

Regelerkennung

Das Dashboard RuleRegelerkennungen“ bietet Einblicke in die Aktivitäten im Zusammenhang mit der Erkennungs-Engine und den konfigurierten Regeln. Da Ihre Sicherheitsanalysten diese Regeln so konfigurieren, dass sie nach bestimmten Bedrohungen suchen, sind diese Informationen möglicherweise für Ihre Organisation besonders relevant.

Regelerkennung Regelerkennung

Nutzeranmeldung

Auf dem Dashboard OverviewÜbersicht zur Nutzeranmeldung“ sehen Sie, von wo aus sich Ihre Nutzer in Ihrem Unternehmen anmelden und in welchen Anwendungen sie sich anmelden. Diese Informationen können hilfreich sein, um Versuche von böswilligen Nutzern zu erkennen, auf Ihr Unternehmen zuzugreifen. Möglicherweise haben Sie versucht, aus einem Land, in dem Sie kein Büro haben, auf Ihr Unternehmen zuzugreifen oder ein Nutzer in der Verwaltung scheint wiederholt auf eine Buchhaltungsanwendung zuzugreifen.

Nutzeranmeldung Übersicht über die Nutzeranmeldung

Standard-Dashboard kopieren

Die Chronicle-Standarddashboards können nicht geändert werden. Sie können jedoch eine Kopie eines der Standard-Dashboards erstellen und sie im Bereich für persönliche oder gemeinsam genutzte Dashboards hinzufügen. Die Kopien können geändert werden, sodass Sie diese Dashboards nach Bedarf an Ihr Unternehmen anpassen können.

Klicken Sie auf das Dreipunkt-Menü, um ein Standard-Dashboard zu kopieren. Folgende Optionen sind verfügbar:

  • In "Privat" kopieren
  • In "Freigegeben" kopieren

Die persönlichen Dashboards sind nur für Sie anhand Ihres Nutzernamens sichtbar. Die freigegebenen Dashboards sind für alle Mitglieder Ihrer Organisation oder Ihres Chronicle-Kontos sichtbar.

Optionen – in &quot;Persönlich&quot; oder &quot;Freigegeben&quot; kopieren

Optionen – In "Persönlich" oder "Geteilt" kopieren

Nachdem Sie ein Standard-Dashboard kopiert haben, können Sie es im Bereich PersonalPersönliche Dashboards“ oder SharedFreigegebene Dashboards“ auswählen. Klicken Sie rechts oben auf das Dreipunkt-Menü und wählen Sie Dashboard bearbeiten aus. Anschließend können Sie das Dashboard bearbeiten. Klicken Sie dazu auf das Dreipunkt-Menü und dann auf Bearbeiten. Daraufhin öffnet sich das Pop-up-Fenster Looker, in dem Sie das Element weiter ändern können.

Beispiel: Ein neues Dashboard erstellen; ein Beispiel für das Erstellen eines neuen Dashboards. Das Erstellen eines neuen Dashboards ähnelt dem Bearbeiten eines vorhandenen Dashboards.

Hinweis:Die Chronicle-Dashboards werden mit Looker erstellt. Ausführliche Informationen zu allen Features von Looker-Dashboards finden Sie in der Looker-Dokumentation.

Dashboard bearbeiten Dashboard bearbeiten

Beispiel: Neues Dashboard erstellen

Sie können ein neues Dashboard im Bereich PersonalPersönliche Dashboards“ oder SharedFreigegebene Dashboards“ erstellen. Persönliche Dashboards sind nur in Ihrem eigenen Chronicle-Konto sichtbar. Die freigegebenen Dashboards sind für alle Mitglieder Ihres Teams sichtbar, die auch Zugriff auf Ihr Chronicle-Konto haben.

Hinweis:Diese Funktion basiert auf Looker. Ausführliche Informationen zu allen Features von Looker-Dashboards finden Sie in der Looker-Dokumentation.

Das folgende Beispiel zeigt, wie Sie ein Dashboard zum Überwachen der wichtigsten 25 IOCs in Ihrem Unternehmen erstellen:

  1. Klicken Sie auf NEU, um ein neues Dashboard zu erstellen.

  2. Klicken Sie auf Dashboard bearbeiten.

  3. Klicken Sie auf Tile hinzufügen. Die in den folgenden Schritten verfügbaren Optionen entsprechen den Optionen, die auch in einem Looker-Konto verfügbar sind.

  4. Wählen Sie in der folgenden Liste eine Erkundung aus. Explorative Datenanalysen sind die Datenklassen in Ihrem Chronicle-Konto, mit denen Sie eine Datenvisualisierung für Ihr neues Dashboard erstellen können.

    • Aufnahmedaten
    • IOC-Übereinstimmungen
    • Regelerkennung

    Erkunden auswählen Erkunden

  5. Wählen Sie Ioc Matches (Ioc-Matches) aus.

    IOC-Übereinstimmungen IOC-Übereinstimmungen

  6. Wählen Sie für Dimensions im linken Navigationsbereich Asset Hostname und Confidence Score aus. Sie müssen normalerweise mindestens zwei Dimensionen auswählen, um eine neue Visualisierung zu erstellen.

    Stellen Sie das Steuerelement Ioc Matches Confidence Score auf den niedrigsten Wert und setzen Sie das Zeilenlimit auf 25, wie in der Abbildung gezeigt.

  7. Klicken Sie auf das Symbol Table (Tabelle) und dann auf Run (Ausführen), um die Visualisierung mit Ihren Chronicle-Daten zu testen.

    Dimensionen Abmessungen

  8. Die folgende Tabelle zeigt die Top 25 IOCs nach Konfidenzwerte für Assets in Ihrem Unternehmen. Geben Sie oben links im Pop-up-Fenster den Titel ExploreErkunden“ (in diesem Beispiel die 25 besten IOCs) ein. Klicken Sie auf Speichern, um die Seite ExploreErkunden“ zu speichern und zum Fenster DashboardsDashboards“ zurückzukehren.

    Top-25-IOCs Top 25 IOCs

  9. Geben Sie dem neuen Dashboard einen Namen (in diesem Beispiel Zuerst prüfen). Klicken Sie auf Speichern. Die Seite Dashboards wird mit dem neu hinzugefügten Dashboard angezeigt.

    Neues Dashboard mit den 25 wichtigsten IOCs Neues Dashboard mit den Top 25-IOCs

Nächste Schritte

Für zusätzliche Funktionen können Sie die BigQuery-Exportfunktion in Verbindung mit Ihrem eigenen Looker-Konto verwenden.