Guide d'utilisation des tableaux de bord

Présentation

Chronicle fournit un ensemble de tableaux de bord par défaut pour l'analyse et la création de rapports dans l'interface utilisateur Chronicle. Pour créer des rapports, convertissez un tableau de bord en fichier partageable (PDF, Excel, CSV, etc.). Ces tableaux de bord sont basés sur les fonctionnalités de Looker: https://cloud.google.com/looker et BigQuery: https://cloud.google.com/bigquery (les deux produits Google Cloud). Looker agit comme une couche de visualisation, tandis que BigQuery agit comme une couche de données.

Avant de commencer

Avant d'accéder aux tableaux de bord dans Chronicle, procédez comme suit:

  1. Lancez le navigateur Google Chrome.

    Si Chrome n'est pas installé, accédez à https://www.google.com/chrome/.

  2. Vérifiez que vous avez accès à votre compte d'entreprise.

Accéder à Chronicle

Pour accéder à votre compte Chronicle et accéder à la page "Dashboard" (Tableau de bord), procédez comme suit:

  1. Accédez au compte Chronicle de votre entreprise:

    https://<votre-entreprise>.backstory.chronicle.security

  2. L'écran doit ressembler à la photo ci-dessous.

    Page de destination Chronicle Page de destination Chronicle

Accéder aux tableaux de bord Chronicle

Pour accéder à la page Tableaux de bord, procédez comme suit:

  1. Cliquez sur l'icône du menu de l'application icône dans l'angle supérieur droit et sélectionnez l'option Tableaux de bord.

    Remarque: Si l'option "Tableaux de bord" ne s'affiche pas dans le menu, contactez votre responsable de compte pour vous assurer que la fonctionnalité a été activée pour votre compte.

    Menu d&#39;application

    Menu de l'application

Tableaux de bord par défaut

Chronicle propose un ensemble de tableaux de bord par défaut. Ces rapports fournissent diverses visualisations des données stockées dans votre compte Chronicle. Ces tableaux de bord vous aident à comprendre l'état du système d'ingestion de données Chronicle et à comprendre l'état actuel des menaces pour votre entreprise. Tous les tableaux de bord par défaut incluent un contrôle de l'heure.

Ingestion et santé des données

Le tableau de bord "Ingestion et données d'état" fournit des informations sur le type et le volume de données ingérées dans votre compte Chronicle. Ces informations doivent être relativement stables et prévisibles. Toutefois, une baisse soudaine de l'ingestion de données peut indiquer un problème lié aux systèmes qui transfèrent des données depuis votre entreprise ou votre compte Chronicle.

  1. Sélectionnez le tableau de bord Data Ingestion and Heatlh (Ingestion de données et Heatlh) comme indiqué ci-dessous.

    Tableau de bord d&#39;ingestion et d&#39;état de données Tableau de bord d'ingestion et d'état des données

Matchs IOC

Le tableau de bord "Indicateurs de compromission (IOC)" fournit une visibilité sur les IOC présents dans votre entreprise. Il comprend les graphiques IOC suivants:

  • Correspondances IOC au fil du temps par catégorie
  • Top 10 des indicateurs IOC de domaines
  • Top 10 des indicateurs d'adresses IP de l'IP
  • Top 10 des éléments par matchs IOC

Matchs IOC Correspondances avec les termes de conception d'une annonce

Principal

Le tableau de bord principal affiche des informations sur l'état du système d'ingestion de données Chronicle. Il inclut également une carte mondiale mettant en évidence l'emplacement géographique des IOC détectés dans votre entreprise.

Remarque: La fonctionnalité de cartographie n'est pas disponible dans certaines régions du monde.

Tableau de bord principal Tableau de bord principal

Détections de règles

Le tableau de bord "Détection des règles" fournit des informations sur l'activité liée au moteur de détection et aux règles configurées. Étant donné que vos analystes de sécurité configurent ces règles pour rechercher des menaces spécifiques, ces informations peuvent être particulièrement pertinentes pour votre organisation.

Détections de règles Détections de règles

Présentation de la connexion des utilisateurs

Le tableau de bord "Vue d'ensemble de la connexion utilisateur" indique où les utilisateurs se connectent à votre entreprise et depuis quelles applications ils se connectent. Ces informations peuvent être utiles pour suivre les tentatives de personnes malveillantes qui accèdent à votre entreprise. Par exemple, vous constaterez peut-être qu'un utilisateur a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau, ou qu'un utilisateur administratif semble utiliser plusieurs fois une application de comptabilité.

Présentation de la connexion utilisateur Présentation de la connexion des utilisateurs

Copier un tableau de bord par défaut

Impossible de modifier les tableaux de bord par défaut Chronicle. En revanche, vous pouvez créer une copie de n'importe quel tableau de bord par défaut, puis l'ajouter aux tableaux de bord personnels ou partagés. Les copies peuvent être modifiées, ce qui vous permet de personnaliser ces tableaux de bord pour votre entreprise selon vos besoins.

Pour copier un tableau de bord par défaut, cliquez sur l'icône du menu à trois points. Les options suivantes sont disponibles :

  • Copier dans l'application personnelle
  • Copier dans une ressource partagée

Vous seul pouvez voir les tableaux de bord personnels basés sur votre nom d'utilisateur. Les tableaux de bord partagés sont visibles par tous les membres de votre organisation/compte Chronicle.

Options - Copier dans &quot;Personnel&quot; ou &quot;Partagé&quot;

Options : Copier dans "Personnel" ou "Partagé"

Une fois que vous avez créé une copie d'un tableau de bord par défaut, vous pouvez le sélectionner dans la section "Tableaux de bord personnels" ou "Tableaux de bord partagés". Cliquez sur le menu à trois points en haut à droite, puis sélectionnez Modifier le tableau de bord. Vous pouvez ensuite modifier n'importe quel élément du tableau de bord en sélectionnant le menu à trois points sur l'élément et en sélectionnant Modifier. La fenêtre pop-up qui s'affiche vous permet de modifier davantage l'élément.

Exemple: Créer un tableau de bord pour obtenir un exemple de création de tableau de bord. La création d'un tableau de bord est semblable à la modification d'un tableau de bord existant.

Remarque:Les tableaux de bord Chronicle sont conçus avec Looker. Pour en savoir plus sur toutes les fonctionnalités des tableaux de bord Looker, consultez la documentation de Looker.

Modifier le tableau de bord Modifier le tableau de bord

Exemple: Créer un tableau de bord

Vous pouvez créer un tableau de bord dans la section "Tableaux de bord personnels" ou "Tableaux de bord partagés". Les tableaux de bord personnels ne sont visibles que dans votre propre compte Chronicle. Les tableaux de bord partagés sont visibles par tous les membres de votre équipe qui ont également accès à votre compte Chronicle.

Remarque:Cette fonctionnalité est basée sur Looker. Pour en savoir plus sur toutes les fonctionnalités des tableaux de bord Looker, consultez la documentation de Looker.

L'exemple suivant montre comment créer un tableau de bord pour surveiller les 25 principaux IOC dans votre entreprise:

  1. Cliquez sur CRÉER pour créer un tableau de bord.

  2. Cliquez sur Modifier le tableau de bord.

  3. Cliquez sur Ajouter un bloc. Les options disponibles dans les étapes suivantes reflètent ce qui est également disponible à partir d'un compte Looker.

  4. Choisissez une exploration dans la liste suivante. Les explorations sont les classes de données de votre compte Chronicle que vous pouvez utiliser pour créer une visualisation des données pour votre nouveau tableau de bord.

    • Statistiques sur l'ingestion
    • Correspondances avec les mots de passe à l'usage
    • Détections de règles

    Choisir une exploration Choisir une exploration

  5. Sélectionnez Ioc Matches (Ioc - Indicateur de compromission).

    Matchs IOC Correspondances avec les termes de conception d'une annonce

  6. Pour Dimensions, sélectionnez Nom d'hôte de l'élément et Taux de confiance dans le panneau de navigation de gauche. Vous devez généralement sélectionner au moins deux dimensions pour créer une visualisation.

    Définissez la commande Ioc Matches Score de confiance sur la plus haute et la moins élevée, puis définissez le paramètre Limite de lignes sur 25, comme le montre la figure.

  7. Sélectionnez l'icône Table et cliquez sur Run (Exécuter) pour tester la visualisation de vos données Chronicle.

    Dimensions Dimensions

  8. Le tableau suivant s'affiche, avec 25 IOC principaux par confiance dans les éléments au sein de votre entreprise. Donnez un titre à l'option "Explorer" (25 IOC principaux dans cet exemple) en haut à gauche de la fenêtre pop-up. Cliquez sur Save (Enregistrer) pour enregistrer la fenêtre Explorer et revenir à la fenêtre "Dashboards" (Tableaux de bord).

    Top 25 IOC 25 meilleurs IOC

  9. Attribuez un nom au nouveau tableau de bord (Check First dans cet exemple). Cliquez sur Save (Enregistrer). La page Tableaux de bord s'affiche avec le nouveau tableau de bord ajouté.

    Nouveau tableau de bord affichant les 25 meilleurs IOC Nouveau tableau de bord affichant les 25 meilleurs IOC

Étape suivante

Pour bénéficier de fonctionnalités supplémentaires, vous pouvez utiliser la fonctionnalité d'exportation BigQuery avec votre propre compte Looker.