Mantieni tutto organizzato con le raccolte Salva e classifica i contenuti in base alle tue preferenze.

Utilizzo delle dashboard di Chronicle

Panoramica

Chronicle fornisce un insieme di dashboard predefinite per l'analisi e la generazione di report nell'interfaccia utente di Chronicle. I report sono disponibili convertendo una dashboard in un file condivisibile (ad esempio PDF, Excel, CSV e così via). Queste dashboard sono basate sulle funzionalità di Looker: https://cloud.google.com/looker e BigQuery: https://cloud.google.com/bigquery (entrambi i prodotti Google Cloud). Looker funge da livello di visualizzazione, mentre BigQuery funge da livello di dati.

Prima di iniziare

Prima di poter accedere alle dashboard di Chronicle, completa i seguenti passaggi:

  1. Avvia il browser Google Chrome.

    Se non è installato Chrome, consulti la pagina https://www.google.com/chrome/.

  2. Assicurati di avere accesso al tuo account aziendale.

Accedi a Chronicle

Completa i passaggi riportati di seguito per accedere al tuo account Chronicle e passare alla pagina Dashboard:

  1. Accedi all'account Chronicle della tua azienda:

    https://<azienda>.backstory.chronicle.security

  2. Lo schermo dovrebbe assomigliare alla seguente figura.

    Pagina di destinazione di Chronicle Pagina di destinazione di Chronicle

Accesso alle dashboard di Chronicle

Completa il seguente passaggio per andare alla pagina Dashboard:

  1. Fai clic sull'icona del menu dell'applicazione icona nell'angolo in alto a destra e seleziona l'opzione Dashboard.

    Nota: se non riesci a visualizzare l'opzione Dashboard nel menu, contatta il tuo account manager per assicurarti che la funzionalità sia stata attivata per il tuo account.

    Menu applicazione

    Menu dell'applicazione

Dashboard predefinite

Chronicle fornisce un insieme di dashboard predefinite. Questi forniscono varie visualizzazioni dei dati archiviati nel tuo account Chronicle. Queste dashboard ti aiutano a comprendere lo stato del sistema di importazione dei dati di Chronicle, oltre allo stato attuale della minaccia per la tua azienda. Tutte le dashboard predefinite includono un controllo temporale.

Rilevamento sensibile al contesto - Dashboard dei rischi

La dashboard Rischi di rilevamento sensibile al contesto fornisce informazioni sullo stato attuale delle minacce per asset e utenti nella tua azienda. È creato usando i campi nell'interfaccia di esplorazione di Rilevamento di regole e recupera i dati dalla tabella Chronicle rule_detections in BigQuery.

I valori di gravità e punteggio di rischio sono variabili definite in ogni regola. Per un esempio, consulta la sezione Regola multi-evento con risultato. In ogni riquadro, i dati vengono ordinati in base alla gravità, quindi al punteggio di rischio per identificare gli utenti e gli asset più a rischio.

Dashboard dei rischi per le rilevazioni di contesto Rilevamenti sensibili al contesto

  • Asset e dispositivi nel riquadro Rischio: elenca i primi 10 asset in base alla gravità. I livelli di gravità sono Super alto, Alto, Grande, Medio e Basso. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.

  • Utenti nel riquadro Rischio: elenca i primi 10 utenti in base alla gravità. I livelli di gravità sono Super alto, Alto, Grande, Medio e Basso. Se il valore del nome utente non è presente nel record, viene visualizzata l'email.

  • Riquadro di rischio aggregato: per ogni data, il punteggio di rischio totale viene aggregato e visualizzato come un grafico ad area.

  • Riquadro dei risultati del rilevamento: fornisce i dettagli di vari rilevamenti della regola corrispondente insieme al punteggio e alla gravità.

Importazione dati e integrità

La dashboard Importazione e salute dei dati fornisce informazioni sul tipo e sul volume di dati importati nel tuo account Chronicle. Queste informazioni devono rimanere relativamente stabili e prevedibili. Tuttavia, un calo improvviso dell'importazione dati può indicare un problema con i sistemi che inoltrano i dati dalla tua azienda o con il tuo account Chronicle.

La seguente dashboard per l'importazione e l'integrità dei dati mostra visualizzazioni che consentono di comprendere il volume dei log importati, gli errori di importazione e altre informazioni.

Dashboard Importazione dati e integrità

Puoi visualizzare le seguenti informazioni nella dashboard Importazione e salute dei dati:

  • Conteggio eventi importati. Il numero totale di eventi importati.
  • Conteggio errori di importazione. Il numero totale di errori riscontrati durante l'importazione.
  • Distribuzione del tipo di log per numero di eventi. Un grafico che mostra la distribuzione dei tipi di log in base al numero di eventi per ogni tipo di log.
  • Distribuzione del tipo di log per velocità effettiva. Un grafico che mostra la distribuzione dei tipi di log in base alla velocità effettiva.
  • Importazione: eventi per stato. Un grafico che mostra il numero di eventi in base al loro stato.
  • Importazione: eventi per tipo di log. Tabella che mostra il numero di eventi in base al loro stato e al tipo di log.
  • Eventi importati di recente. Una tabella che mostra gli eventi importati di recente per ciascun tipo di log.
  • Informazioni del diario giornaliere. Tabella che mostra il numero di log di un giorno per ciascun tipo di log.
  • Confronto tra dimensione e numero di eventi. Grafici che confrontano i conteggi e le dimensioni degli eventi in un determinato periodo di tempo.
  • Velocità effettiva di importazione. Grafici che mostrano la velocità effettiva di importazione in un determinato periodo di tempo.

Corrispondenze IOC

La dashboard Corrispondenze Indicatore di compromissione (IOC) fornisce visibilità sui IOC attualmente presenti nella tua azienda. Include i seguenti grafici IOC:

  • Corrispondenze IOC nel tempo per categoria
  • Primi 10 indicatori IOC dei domini
  • Primi 10 indicatori IP IOC
  • Le prime 10 risorse per corrispondenze IOC

Corrispondenze IOC Corrispondenze IOC

Principale

Nella dashboard principale vengono visualizzate informazioni sullo stato del sistema di importazione dati di Chronicle. Inoltre, include una mappa globale che evidenzia la posizione geografica degli IOC rilevati all'interno dell'azienda.

Nota: la funzionalità di mappatura non è disponibile in alcune aree geografiche del mondo.

Dashboard principale Dashboard principale

Rilevamento di regole

La dashboard di rilevamento delle regole fornisce insight sull'attività relativa al motore di rilevamento e le regole configurate. Poiché gli analisti della sicurezza configurano queste regole per cercare minacce specifiche, queste informazioni potrebbero essere particolarmente pertinenti per la tua organizzazione.

Rilevamento di regole Rilevamenti delle regole

Panoramica dell'accesso degli utenti

La dashboard Panoramica dell'accesso degli utenti fornisce informazioni su dove gli utenti accedono alla tua azienda e da quali applicazioni accedono. Queste informazioni possono essere utili per monitorare i tentativi di accesso alla tua azienda da parte di malintenzionati. Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o che un utente dell'amministrazione sembra accedere ripetutamente a un'applicazione di contabilità.

Panoramica dell'accesso degli utenti Panoramica dell'accesso utente

Copia di una dashboard predefinita

Le dashboard predefinite di Chronicle non possono essere modificate. Tuttavia, puoi creare una copia di una delle dashboard predefinite e aggiungerla alla sezione delle dashboard personali o condivise. Le copie possono essere modificate per personalizzare queste dashboard per la tua azienda in base alle tue esigenze.

Per copiare una dashboard predefinita, fai clic sull'icona del menu con tre puntini. Sono disponibili le seguenti opzioni:

  • Copia in Personali
  • Copia in Condivisa

Le dashboard personali sono visibili solo a te in base al tuo nome utente. Le dashboard condivise sono visibili a tutti i membri del tuo account Chronicle dell'organizzazione.

Opzioni: copia nella sezione Personale o Condiviso

Opzioni - Copia in Personale o Condiviso

Dopo aver creato una copia di una dashboard predefinita, puoi selezionarla dalla sezione Personali o dashboard condivise. Fai clic sul menu con tre puntini nell'angolo in alto a destra e seleziona Modifica dashboard. A questo punto, puoi modificare tutti gli elementi della dashboard selezionando il menu con tre puntini e selezionando Modifica. Viene visualizzata la finestra popup di Looker, che ti consente di modificare ulteriormente l'elemento.

Esempio: creazione di una nuova dashboard, per un esempio di come creare una nuova dashboard. La creazione di una nuova dashboard è molto simile alla modifica di una dashboard esistente.

Nota: le dashboard di Chronicle sono create con Looker. Per informazioni dettagliate su tutte le funzionalità delle dashboard di Looker, consulta la documentazione di Looker.

Modifica dashboard Modifica dashboard

Esempio: creare una nuova dashboard

Puoi creare una nuova dashboard nelle sezioni Personale o Condiviso. Le dashboard personali sono visibili solo all'interno del tuo account Chronicle. Le dashboard condivise sono visibili a tutti i membri del tuo team che hanno anche accesso al tuo account Chronicle.

Nota:questa funzionalità è basata su Looker. Per informazioni dettagliate su tutte le funzionalità delle dashboard di Looker, consulta la documentazione di Looker.

L'esempio seguente illustra come creare una dashboard per monitorare i primi 25 IOC nell'azienda:

  1. Fai clic su NUOVO per creare una nuova dashboard.

  2. Fai clic su Modifica dashboard.

  3. Fai clic su Aggiungi riquadro. Le opzioni disponibili nei passaggi seguenti riflettono le funzionalità disponibili anche in un account Looker.

  4. Scegli un'esplorazione dal seguente elenco. Le esplorazioni sono le classi di dati nell'account Chronicle che puoi utilizzare per creare una visualizzazione dei dati per la nuova dashboard.

    • Statistiche di importazione
    • Corrispondenze IOC
    • Rilevamento delle regole

    Scegli un'esplorazione Scegli un'esplorazione

  5. Seleziona Corrispondenze IOC (Ioc - Indicatore di compromissione).

    Corrispondenze IOC Corrispondenze IOC

  6. In Dimensioni, seleziona Nome host della risorsa e Punteggio di affidabilità nel pannello di navigazione a sinistra. In genere, è necessario selezionare almeno due dimensioni per creare una nuova visualizzazione.

    Imposta il controllo Punteggio di affidabilità delle corrispondenze IOC dal più alto al più basso e il limite di riga su 25 come mostrato nella figura.

  7. Seleziona l'icona Tabella e fai clic su Esegui per testare la visualizzazione a confronto con i dati di Chronicle.

    Dimensioni Dimensioni

  8. La tabella seguente viene visualizzata con i Primi 25 IOC per confidenza con asset nella tua azienda. Assegna un titolo a Explore (i 25 IOC in questo esempio) nell'angolo in alto a sinistra della finestra popup. Fai clic su Salva per salvare l'esplorazione e tornare alla finestra Dashboard.

    Primi 25 IOC Primi 25 IOC

  9. Assegna un nome alla nuova dashboard (Controlla prima in questo esempio). Fai clic su Salva. Viene visualizzata la pagina Dashboard con la nuova dashboard aggiunta.

    Nuova dashboard che mostra i primi 25 IOC Nuova dashboard che mostra i primi 25 IOC

Passaggi successivi

Per funzionalità aggiuntive, puoi utilizzare la funzionalità di esportazione di BigQuery in combinazione con il tuo account Looker.