Mit Sammlungen den Überblick behalten Sie können Inhalte basierend auf Ihren Einstellungen speichern und kategorisieren.

Chronicle-Dashboards verwenden

Übersicht

Chronicle bietet eine Reihe von Standard-Dashboards für Analysen und Berichte in der Chronicle-Benutzeroberfläche. Berichte lassen sich erstellen, indem Sie ein Dashboard in eine Freigabedatei konvertieren (z. B. PDF, Excel, CSV). Diese Dashboards basieren auf den Funktionen von Looker: https://cloud.google.com/looker und BigQuery: https://cloud.google.com/bigquery (beide Google Cloud-Produkte). Looker fungiert als Visualisierungsebene, während BigQuery als Datenschicht fungiert.

Hinweis

Bevor Sie auf Dashboards in Chronicle zugreifen können, müssen Sie die folgenden Schritte ausführen:

  1. Starten Sie den Browser Google Chrome.

    Wenn Sie Chrome nicht installiert haben, gehen Sie zu https://www.google.com/chrome/.

  2. Sie benötigen Zugriff auf Ihr Unternehmenskonto.

Auf Chronicle zugreifen

Führen Sie die folgenden Schritte aus, um auf Ihr Chronicle-Konto zuzugreifen und die Dashboard-Seite aufzurufen:

  1. Rufen Sie das Chronicle-Konto Ihres Unternehmens auf:

    https://lt.ihr-unternehmen>.backstory.chronicle.security

  2. Ihr Bildschirm sollte der folgenden Abbildung ähneln.

    Chronicle-Landingpage Chronicle-Landingpage

Auf die Chronicle-Dashboards zugreifen

So rufen Sie die Seite Dashboards auf:

  1. Klicken Sie oben rechts auf das Symbol für das Anwendungsmenü Symbol und wählen Sie die Option Dashboards aus.

    Hinweis: Wenn Sie die Option „Dashboards“ im Menü nicht sehen, fragen Sie bei Ihrem Account Manager nach, ob die Funktion für Ihr Konto aktiviert wurde.

    Anwendungsmenü

    Anwendungsmenü

Standard-Dashboards

Chronicle bietet eine Reihe von Standard-Dashboards. Diese bieten verschiedene Visualisierungen der Daten, die in Ihrem Chronicle-Konto gespeichert sind. Mit diesen Dashboards erhalten Sie Informationen zum Status des Chronicle-Datenaufnahmesystems sowie zum aktuellen Bedrohungsstatus Ihres Unternehmens. Alle Standard-Dashboards enthalten eine Zeitsteuerung.

Kontextsensitive Erkennungen – Risiko-Dashboard

Das Risiko-Dashboard für Risikoerkennung bietet einen Einblick in den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Sie wird mithilfe von Feldern in der Benutzeroberfläche Erkundungen von Regelerkennungen erstellt und Daten aus der Chronicle-Tabelle rule_detections in BigQuery abgerufen.

Die Werte für Schweregrad und Risikowert sind die in den einzelnen Regeln definierten Variablen. Ein Beispiel finden Sie unter Regel für mehrere Ereignisse mit Ergebnis. In jedem Bereich werden die Daten zuerst nach Schweregrad sortiert. Anschließend werden die Risiken ermittelt, um die am stärksten gefährdeten Nutzer und Assets zu ermitteln.

Risiko-Dashboard für Erkennung von Kontexterkennung Kontextsensitive Erkennungen

  • Asset-Bereich und Risiko-Geräte: Liste der Top-10-Assets basierend auf dem Schweregrad. Die Schweregrade sind „Hoch“, „Hoch“, „Groß“, „Mittel“ und „Niedrig“. Wenn der Hostname nicht im Eintrag vorhanden ist, wird die IP-Adresse angezeigt.

  • Bereich „Nutzer mit Risiko“: Liste der zehn wichtigsten Nutzer nach Schweregrad. Die Schweregrade sind „Hoch“, „Hoch“, „Groß“, „Mittel“ und „Niedrig“. Wenn der Nutzername nicht im Eintrag vorhanden ist, wird die E-Mail-Adresse angezeigt.

  • Aggregiertes Risiko-Steuerfeld: Für jedes Datum wird die Gesamtrisikobewertung aggregiert und als Flächendiagramm angezeigt.

  • Bereich „Erkennungsergebnisse“: Enthält Details zu verschiedenen Erkennungen der entsprechenden Regel sowie Punktzahl und Schweregrad.

Datenaufnahme und -status

Im Dashboard für Datenaufnahme und -status finden Sie Informationen zum Typ und zur Datenmenge, die in Ihr Chronicle-Konto aufgenommen wird. Diese Informationen müssen relativ stabil und vorhersehbar bleiben. Ein plötzlicher Rückgang der Datenaufnahme kann jedoch auf ein Problem mit den Systemweiterleitungs-Daten Ihres Unternehmens oder auf Ihrem Chronicle-Konto hinweisen.

Im folgenden Dashboard für Datenaufnahme und -status werden Visualisierungen angezeigt, mit denen Sie das Volumen der aufgenommenen Logs, Aufnahmefehler und andere Informationen nachvollziehen können.

Dashboard für Datenaufnahme und -gesundheit

Im Dashboard für Datenaufnahme und -gesundheit können Sie die folgenden Informationen einsehen:

  • Aufgenommene Ereignisse zählen. Die Gesamtzahl der aufgenommenen Ereignisse.
  • Fehler bei der Aufnahme Die Gesamtzahl der Fehler, die während der Aufnahme aufgetreten sind.
  • Verteilung der Logtypen nach Anzahl der Ereignisse. Ein Diagramm, das die Verteilung der Logtypen basierend auf der Anzahl der Ereignisse für jeden Logtyp zeigt.
  • Verteilung der Logtypen nach Durchsatz. Ein Diagramm, das die Verteilung der Logtypen auf Grundlage des Durchsatzes zeigt.
  • Aufnahme – Ereignisse nach Status Eine Grafik, die die Anzahl der Ereignisse basierend auf ihrem Status zeigt.
  • Aufnahme – Ereignisse nach Logtyp Eine Tabelle, in der die Anzahl der Ereignisse basierend auf ihrem Status und Logtyp angezeigt wird.
  • Vor Kurzem aufgenommene Ereignisse: Eine Tabelle mit kürzlich aufgenommenen Ereignissen für jeden Logtyp.
  • Tägliche Protokollinformationen. Eine Tabelle, in der für jeden Logtyp die Anzahl der Logs für einen Tag angezeigt wird.
  • Ereignisanzahl vs.Größe: Diagramme zum Vergleich von Ereignisanzahl und -größe über einen bestimmten Zeitraum
  • Aufnahmedurchsatz. Grafiken, die den Aufnahmedurchsatz über einen bestimmten Zeitraum zeigen.

IOC-Übereinstimmungen

Das Dashboard für Indikatoren für Manipulationen (Indikator für Manipulation) liefert einen Einblick in die IOCs, die derzeit in Ihrem Unternehmen vorhanden sind. Es enthält die folgenden IOC-Diagramme:

  • IOC-Übereinstimmungen im Laufe der Zeit nach Kategorie
  • Top-10-Domain-IOC-Indikatoren
  • Top-10-IP-IOC-Indikatoren
  • Top-10-Assets nach IOC-Übereinstimmungen

IOC-Übereinstimmungen IOC-Übereinstimmungen

Haupteinstellungen

Im Haupt-Dashboard werden Informationen zum Status des Chronicle-Datenaufnahmesystems angezeigt. Außerdem enthält sie eine globale Karte, auf der der geografische Standort der in Ihrem Unternehmen ermittelten IOCs hervorgehoben ist.

Hinweis: Die Zuordnungsfunktion ist in einigen Regionen der Welt nicht verfügbar.

Haupt-Dashboard Haupt-Dashboard

Regelerkennung

Das Dashboard „Regelerkennung“ bietet einen Einblick in Aktivitäten, die mit der Erkennungs-Engine und den konfigurierten Regeln zusammenhängen. Da Ihre Sicherheitsanalysten diese Regeln so konfigurieren, dass sie nach bestimmten Bedrohungen suchen, können diese Informationen für Ihr Unternehmen besonders relevant sein.

Regelerkennung Regelerkennungen

Nutzeranmeldung – Übersicht

Im Dashboard „Nutzeranmeldung“ erhalten Sie einen Überblick darüber, von wo aus sich Nutzer in Ihrem Unternehmen anmelden und in welchen Anwendungen sie sich anmelden. Diese Informationen können hilfreich sein, um Versuche von böswilligen Nutzern zu verfolgen, auf Ihr Unternehmen zuzugreifen. Es kann beispielsweise vorkommen, dass ein bestimmter Nutzer versucht hat, aus einem Land, in dem Sie kein Büro haben, auf Ihr Unternehmen zuzugreifen, oder dass ein Administrator aus der Verwaltung wiederholt auf eine Buchhaltungsanwendung zugreift.

Nutzeranmeldung – Übersicht Nutzeranmeldung

Standard-Dashboard kopieren

Die Standard-Dashboards von Chronicle können nicht geändert werden. Sie können jedoch eine Kopie der Standard-Dashboards erstellen und sie entweder dem Bereich „Persönliche Dashboards“ oder „Geteilte Dashboards“ hinzufügen. Die Kopien lassen sich bearbeiten und an Ihr Unternehmen anpassen.

Wenn Sie ein Standard-Dashboard kopieren möchten, klicken Sie auf das Dreipunkt-Menü. Folgende Optionen sind verfügbar:

  • In „Privat“ kopieren
  • In „Freigegeben“ kopieren

Die persönlichen Dashboards sind nur für Sie sichtbar. Die freigegebenen Dashboards sind für alle Mitglieder Ihres Organisations-/Chronicle-Kontos sichtbar.

Optionen – „In Persönliches“ oder „Geteilt“ kopieren

Optionen – In „Privat“ oder „Geteilt“ kopieren

Nachdem Sie eine Kopie eines Standard-Dashboards erstellt haben, können Sie sie im Abschnitt „Persönliche Dashboards“ oder „Geteilte Dashboards“ auswählen. Klicken Sie rechts oben auf das Dreipunkt-Menü und wählen Sie Dashboard bearbeiten aus. Anschließend können Sie die Dashboard-Elemente bearbeiten, indem Sie im Dreipunkt-Menü des Elements auf Bearbeiten klicken. Das Pop-up-Fenster „Looker“ wird geöffnet und Sie können das Element weiter ändern.

Beispiel: Neues Dashboard erstellen – ein Beispiel dafür, wie ein neues Dashboard erstellt wird Das Erstellen eines neuen Dashboards ähnelt dem Bearbeiten eines vorhandenen Dashboards.

Hinweis:Die Chronicle-Dashboards werden mit Looker erstellt. Ausführliche Informationen zu allen Funktionen von Looker-Dashboards finden Sie in der Looker-Dokumentation.

Dashboard bearbeiten Dashboard bearbeiten

Beispiel: Neues Dashboard erstellen

Sie können entweder im Bereich „Persönliche Dashboards“ oder „Geteilte Dashboards“ ein neues Dashboard erstellen. Persönliche Dashboards sind nur in Ihrem eigenen Chronicle-Konto sichtbar. Die freigegebenen Dashboards sind für alle Mitglieder Ihres Teams sichtbar, die auch Zugriff auf Ihr Chronicle-Konto haben.

Hinweis: Diese Funktion basiert auf Looker. Ausführliche Informationen zu allen Funktionen von Looker-Dashboards finden Sie in der Looker-Dokumentation.

Das folgende Beispiel zeigt, wie Sie ein Dashboard zum Monitoring der Top-25-OCOs in Ihrem Unternehmen erstellen:

  1. Klicken Sie auf NEU, um ein neues Dashboard zu erstellen.

  2. Klicken Sie auf Dashboard bearbeiten.

  3. Klicke auf Ansicht hinzufügen. Die in den folgenden Schritten verfügbaren Optionen entsprechen den Optionen, die auch in einem Looker-Konto verfügbar sind.

  4. Wähle in der folgenden Liste die Option „Erkunden“ aus. Unter „Explorative Datenanalysen“ finden Sie die Datenklassen in Ihrem Chronicle-Konto, mit denen Sie eine Datenvisualisierung für Ihr neues Dashboard erstellen können.

    • Daten zur Aufnahme
    • E/A-Übereinstimmungen
    • Regelerkennung

    Explore auswählen Entdecken auswählen

  5. Wählen Sie Ioc Matches (Ioc-Übereinstimmungen) aus.

    IOC-Übereinstimmungen IOC-Übereinstimmungen

  6. Wählen Sie für Dimensionen im linken Navigationsbereich Asset-Hostname und Konfidenzwert aus. In der Regel müssen Sie mindestens zwei Dimensionen auswählen, damit eine neue Visualisierung erstellt wird.

    Setzen Sie das Steuerelement Ioc Matches Confidence Score (Konfidenzwert des Ioc-Werts) vom höchsten zum niedrigsten Wert und legen Sie das Zeilenlimit auf 25 fest, wie in der Abbildung dargestellt.

  7. Wählen Sie das Symbol Tabelle aus und klicken Sie auf Ausführen, um die Visualisierung mit Ihren Chronicle-Daten zu testen.

    Dimensionen Abmessungen

  8. Die folgende Tabelle enthält die Top 25 der IOCs nach Konfidenzwert für die Assets in Ihrem Unternehmen. Geben Sie oben links im Pop-up-Fenster einen Titel für den Tab „Entdecken“ ein (in diesem Beispiel die Top-25-IOCs). Klicken Sie auf Speichern, um das Fenster „Erkunden“ zu speichern und zum Dashboard zurückzukehren.

    Top-25-IOCs Top 25 der IOCs

  9. Geben Sie dem neuen Dashboard einen Namen (in diesem Beispiel Zuerst prüfen). Klicken Sie auf Speichern. Die Seite Dashboards wird mit dem hinzugefügten neuen Dashboard angezeigt.

    Neues Dashboard mit den Top 25 der IOCs Neues Dashboard mit den Top 25 der IOCs

Weitere Informationen

Für zusätzliche Funktionen können Sie die BigQuery-Exportfunktion in Verbindung mit Ihrem eigenen Looker-Konto verwenden.