ダッシュボード ユーザーガイド
概要
Chronicle には、Chronicle のユーザー インターフェース内で分析とレポート作成を行うためのデフォルトのダッシュボードが用意されています。レポートを作成するには、ダッシュボードを共有可能なファイル(PDF、Excel、CSV など)に変換します。これらのダッシュボードは、Looker の機能(https://cloud.google.com/looker)と BigQuery の機能(https://cloud.google.com/bigquery)に基づいて構築されています。これらのプロダクトは、ともに Google Cloud プロダクトです。Looker は可視化レイヤとして機能し、BigQuery はデータレイヤとして機能します。
始める前に
Chronicle でダッシュボードにアクセスするには、まず次の手順を行います。
Google Chrome ブラウザを起動します。
Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスしてください。
企業のアカウントにアクセスできることを確認します。
Chronicle にアクセスする
次の手順で Chronicle アカウントにアクセスし、[Dashboarding] ページに移動します。
会社の Chronicle アカウントに移動します。
https://<your-company>.backstory.chronicle.security
画面は次の図のようになります。
Chronicle のランディング ページ
Chronicle ダッシュボードへのアクセス
[Dashboards] ページに移動するには、次の手順を行います。
右上隅にあるアプリケーション メニュー アイコン
をクリックし、[Dashboards] オプションを選択します。
注: メニューに [Dashboards] オプションが表示されない場合は、ご利用のアカウント マネージャでこの機能が有効になっていることを確認します。
アプリケーション メニュー
デフォルトのダッシュボード
Chronicle には、一連のデフォルトのダッシュボードが用意されています。これにより、Chronicle アカウントに保存されているデータがさまざまな形で可視化されます。これらのダッシュボードは、Chronicle のデータ取り込みシステムの状態と、企業の現在の脅威ステータスを理解するうえで役立ちます。すべてのデフォルトのダッシュボードには時間コントロールが含まれています。
[Data Ingestion and Health]
データの取り込みと健全性のダッシュボードには、Chronicle アカウントに取り込まれるデータの種類と量に関する情報が表示されます。この情報は比較的安定し、予測可能なものである必要があります。ただし、データの取り込みが急激に低下した場合は、企業からデータを転送するシステムに問題があるか、Chronicle アカウントに問題がある可能性があります。
以下に示すように、[Data Ingestion and Health] ダッシュボードを選択します。
[Data Ingestion and Health] ダッシュボード
[IOC Matches]
[Indicator of Compromise (IOC) Matches] ダッシュボードには、現在企業内に存在する IOC が表示されます。次の IOC グラフが含まれています。
- カテゴリ別の IOC Matchesの推移
- ドメイン IOC インジケーターの上位 10 件
- 上位 10 件の IP IOC インジケーター
- IOC Matches による上位 10 件アセット
IOC Matches
メイン
メイン ダッシュボードに、Chronicle のデータ取り込みシステムのステータスに関する情報が表示されます。また、企業内で検出された IOC の地理的なロケーションを強調したグローバル マップも含まれます。
注: 世界の一部の地域では、マッピング機能をご利用いただけません。
メイン ダッシュボード
Rule Detections
ルール検出ダッシュボードには、検出エンジンと構成済みルールに関連するアクティビティに関する分析情報が表示されます。セキュリティ アナリストはこれらのルールを構成して特定の脅威を検索するため、この情報は組織に特に関連を有する可能性があります。
Rule Detections
ユーザー ログインの概要
ユーザー ログインの概要ダッシュボードには、ユーザーがどこから企業にログインしているか、どのアプリケーションにログインしているかに関する分析情報が表示されます。この情報は、悪意のある人物が企業にアクセスする試みを追跡する際に役立ちます。たとえば、オフィスを開設していない国から企業ユーザーがアクセスしようとした場合や、管理下のユーザーが会計アプリケーションに繰り返しアクセスしようとしている場合などです。
ユーザー ログインの概要
デフォルトのダッシュボードのコピー
Chronicle のデフォルト ダッシュボードは変更できません。ただし、デフォルトのダッシュボードをコピーして、個人用ダッシュボードや共有ダッシュボードのセクションに追加できます。コピーは変更可能で、必要に応じて企業に合わせてこれらのダッシュボードをカスタマイズできます。
デフォルトのダッシュボードをコピーするには、その他メニュー アイコンをクリックします。次のオプションが用意されています。
- [Copy to Personal]
- [Copy to Shared]
個人用ダッシュボードは、ユーザー名に基づいてのみ表示されます。共有ダッシュボードは、組織 / Chronicle アカウントのすべてのメンバーに表示されます。
オプション - [Copy to Personal] または [Copy to Shared]
デフォルトのダッシュボードのコピーを作成したら、[個人のダッシュボード] または [共有ダッシュボード] セクションでそのダッシュボードを選択できます。右上にあるその他メニューをクリックし、[ダッシュボードの編集] を選択します。ダッシュボードの要素は、その他メニューを選択して [編集] を選択して編集できます。Looker のポップアップ ウィンドウが開き、要素をさらに変更できます。
例: 新しいダッシュボードを作成する。新しいダッシュボードの作成方法の例をご覧ください。新しいダッシュボードの作成は、既存のダッシュボードの編集と非常に類似しています。
注: Chronicle ダッシュボードは Looker で構築されています。Looker ダッシュボードのすべての特長と機能について詳しくは、Looker のドキュメントをご覧ください。
Edit dashboard
例: 新しいダッシュボードの作成
[Personal] ダッシュボードまたは [Shared Dashboards] セクション内で新しいダッシュボードを作成できます。個人用ダッシュボードはご自身の Chronicle アカウントにのみ表示されます。共有ダッシュボードは、Chronicle アカウントにもアクセスできるチームのすべてのメンバーに表示されます。
注: この機能は Looker 上に構築されています。Looker ダッシュボードのすべての特長と機能について詳しくは、Looker のドキュメントをご覧ください。
次の例は、企業の上位 25 件の IOC をモニタリングするためのダッシュボードの作成方法を示しています。
[NEW] をクリックして、新しいダッシュボードを作成します。
[Edit Dashboard] をクリックします。
[タイルを追加] をクリックします。以下の手順で利用できるオプションは、Looker アカウントでも利用できるものです。
次のリストから Explore を選択してください。Explore とは、新しいダッシュボードに表示されるデータの可視化に使用できる Chronicle アカウント内のデータのクラスです。
- [Ingestion Stats]
- [IOC Matches]
- Rule Detections
[Choose an Explore]
[Ioc Matches](Ioc - セキュリティ侵害インジケーター)を選択します。
[IOC Matches]
[Dimensions] の左側のナビゲーション パネルから [Asset Hostname] と [Confidence Score] を選択します。通常、新しい可視化を作成するには、少なくとも 2 つの分割項目を選択する必要があります。
図に示すように、[Ioc Matches Confidence Score] コントロールを降順で設定し、[Row Limit] を 25 に設定します。
[Table] アイコンを選択し、[Run] をクリックして、Chronicle のデータに対する可視化をテストします。
Dimensions
次の表に、企業内のアセットに対する上位 25 件の IOC の一覧を示します。ポップアップ ウィンドウの左上隅にある Explore にタイトル(この例では「上位 25 件の IOC」)を指定します。[Save] をクリックして Explore を保存し、[Dashboards] ウィンドウに戻ります。
上位 25 件の IOC
新しいダッシュボードに名前を付けます(この例では「最初に確認」)。[Save] をクリックします。[Dashboards] ページに追加された新しいダッシュボードが表示されます。
上位 25 件の IOC が表示される新しいダッシュボード
次のステップ
追加の機能が必要な場合は、BigQuery Export 機能をお客様の Looker アカウントと組み合わせて使用できます。