Chronicle ダッシュボードの使用

概要

Chronicle には、Chronicle のユーザーインターフェース内の分析とレポート用のデフォルトのダッシュボードが用意されています。レポート出力は、ダッシュボードを共有可能なファイル（PDF、Excel、CSV など）に変換することによって利用できます。これらのダッシュボードは、2 つの Google Cloud プロダクト Looker（https://cloud.google.com/looker および BigQuery（https://cloud.google.com/bigquery）の機能の上に構築されています。Looker は可視化レイヤとして機能し、BigQuery はデータレイヤーとして機能します。

始める前に

Chronicle でダッシュボードにアクセスするには、まず次の手順を行います。

Google Chrome ブラウザを起動します。

Chrome がインストールされていない場合は、https://www.google.com/chrome/ にアクセスしてください。
企業のアカウントにアクセスできることを確認します。

Chronicle にアクセスする

次の手順で Chronicle アカウントにアクセスし、[Dashboarding] ページに移動します。

所属している企業の Chronicle アカウントに移動します。

https://<your-company>.backstory.chronicle.security
画面は次の図のようになります。

Chronicle のランディングページ

Chronicle ダッシュボードへのアクセス

[Dashboards] ページに移動するには、次の手順を行います。

右上隅にあるアプリケーションメニューアイコンをクリックし、[Dashboards] オプションを選択します。

注: メニューに [Dashboards] オプションが表示されない場合は、ご利用のアカウントマネージャでこの機能が有効になっていることを確認します。

アプリケーションメニュー

デフォルトのダッシュボード

Chronicle には、一連のデフォルトダッシュボードが用意されています。こうしたダッシュボードでは、Chronicle アカウントに保存されているデータがさまざまな形で可視化されます。また、Chronicle データの取り込みシステムの状態と、企業の現在の脅威ステータスの把握に役立ちます。デフォルトのダッシュボードすべてには、時間コントロールが組み込まれています。

[Context Aware Detections - Risk] ダッシュボード

[Context Aware Detections - Risk] ダッシュボードには、企業内のアセットとユーザーの現在の脅威ステータスに関する分析情報が表示されます。Rule Detection Explore インターフェースのフィールドを使用して構築され、BigQuery の Chronicle rule_detections テーブルからデータを取得します。

重大度とリスクスコアの値は、各ルールで定義された変数です。例については、結果セクションを含むマルチイベントルールをご覧ください。各パネルでは、まず重大度で並べ替えられ、次にリスクスコアを使用してリスクが最も高いユーザーとアセットを識別します。

Context Aware Detections Risk ダッシュボード Context Aware Detections

[Assets and Devices at Risk] パネル: 重大度に基づいて上位 10 件のアセットが一覧表示されます。重大度は「超巨大」、「巨大」、「大」、「中」、「低」です。レコードにホスト名がない場合は、IP アドレスが表示されます。
[Users at Risk] パネル: 重大度に基づいて上位 10 人のユーザーを一覧表示します。重大度は「超巨大」、「巨大」、「大」、「中」、「低」です。ユーザー名がレコードに存在しない場合は、メールアドレスが表示されます。
[Aggregate Risk] パネル: 日付ごとに、リスクスコアの合計が集計され、面積グラフで表示されます。
[Detection Results] パネル: 対応するルールのさまざまな検出の詳細を、スコアと重大度とともに提供します。

[Data Ingestion and Health]

[Data Ingestion and Health] ダッシュボードには、Chronicle アカウントに取り込まれるデータの種類と量に関する情報が表示されます。この情報は、比較的安定し、予測可能なものでなければなりません。ただし、データの取り込みが急激に低下した場合は、企業からデータを転送するシステムに問題があるか、Chronicle アカウントに問題がある可能性があります。

次の [Data Ingestion and Health] ダッシュボードには、取り込まれたログの量、取り込みエラー、その他の情報の理解に役立つ可視化情報が表示されます。

[Data Ingestion and Health] ダッシュボード

[Data Ingestion and Health] ダッシュボードには、次の情報を表示できます。

Ingested Events Count:取り込まれたイベントの合計数。
Ingestion Error Count:取り込み中に発生したエラーの合計数。
Log Type Distribution by Events Count:ログタイプごとのイベント数に基づくログタイプの分布を示すグラフ。
スループットごとのログタイプの分布。スループットに基づいたログタイプの分布を示すグラフ。
取り込み - ステータス別のイベント。ステータスに基づいたイベント数を示すグラフ。
Ingestion - Events by Log Type:ステータスとログタイプに基づいてイベント数を示すテーブル。
Recently Ingested Events:ログタイプごとに最近取り込まれたイベントを示すテーブル。
Daily Log Information:ログタイプごとの 1 日あたりのログ数を示すテーブル。
Event count vs Size:一定期間におけるイベント数とサイズを比較するグラフ。
Ingestion Throughput:一定期間の取り込みスループットを示すグラフ。

[IOC Matches]

[IOC Matches]（セキュリティ侵害インジケーターの一致数）ダッシュボードには、現在企業内に存在する IOC が表示されます。次の IOC グラフが含まれます。

カテゴリ別の IOC Matchesの推移
ドメイン IOC インジケーターの上位 10 件
上位 10 件の IP IOC インジケーター
IOC Matches による上位 10 件アセット

[IOC Matches] IOC Matches

メイン

[Main] ダッシュボードには、Chronicle のデータ取り込みシステムのステータスに関する情報が表示されます。また、企業内で検出された IOC の地理的位置を強調したグローバルマップも含まれます。

注: マッピング機能は世界の一部の地域ではご利用いただけません。

[Main] ダッシュボード

Rule Detections

ルール検出ダッシュボードには、検出エンジンと構成済みルールに関連するアクティビティについての分析情報が表示されます。セキュリティアナリストはこれらのルールを構成して特定の脅威を検索するため、この情報は組織に対して大きな関連性を有する可能性があります。

Rule Detections

ユーザーログインの概要

[User Sign in Overview] ダッシュボードには、ユーザーがどこから企業にログインしているか、どのアプリケーションにログインしているかに関する分析情報が表示されます。この情報は、悪意のある人物が企業にアクセスする試みを追跡する際に役立ちます。たとえば、オフィスを開設していない国から企業ユーザーがアクセスしようとした場合や、管理部門のユーザーが会計アプリケーションに繰り返しアクセスしようとしている場合などです。

ユーザーログインの概要

デフォルトのダッシュボードのコピー

Chronicle のデフォルトダッシュボードは変更できません。ただし、デフォルトのダッシュボードをコピーして、[Personal] ダッシュボードや [Shared] ダッシュボードのセクションに追加できます。そのコピーは変更でき、必要に応じて企業に合わせてこれらのダッシュボードをカスタマイズできます。

デフォルトのダッシュボードをコピーするには、その他メニューのアイコンをクリックします。次のオプションが用意されています。

[Copy to Personal]
[Copy to Shared]

個人用ダッシュボードは、ユーザー名に基づいてユーザーのみが表示できます。共有ダッシュボードは、組織の Chronicle アカウントのすべてのメンバーに表示されます。

オプション - [Copy to Personal] または [Copy to Shared]

オプション - [Copy to Personal] または [Copy to Shared]

デフォルトのダッシュボードのコピーを作成したら、[個人用ダッシュボード] セクションまたは [共有ダッシュボード] セクションで作成したダッシュボードを選択できます。右上隅にあるその他メニューをクリックし、[ダッシュボードの編集] を選択します。ダッシュボードの要素は、要素のその他メニューを選択し [編集] を選択して編集できます。Looker のポップアップウィンドウが開き、要素を詳細に変更できます。

例: 新しいダッシュボードの作成。新しいダッシュボードの作成方法の例をご覧ください。新しいダッシュボードの作成は、既存のダッシュボードの編集と非常に類似しています。

注: Chronicle ダッシュボードは Looker で構築されています。Looker ダッシュボードのすべての特長と機能について詳しくは、Looker のドキュメントをご覧ください。

Edit dashboard

例: 新しいダッシュボードの作成

新しいダッシュボードは、[Personal] セクションまたは [Shared Dashboards] セクション内に作成できます。[Personal] ダッシュボードは、自分の Chronicle アカウントにのみ表示されます。共有ダッシュボードは、Chronicle アカウントにもアクセスできるチームメンバー全員に表示されます。

注: この機能は Looker をベースに構築されています。Looker ダッシュボードのすべての特長と機能について詳しくは、Looker のドキュメントをご覧ください。

次の例は、企業の上位 25 件の IOC をモニタリングするためのダッシュボードの作成方法を示しています。

[NEW] をクリックして、新しいダッシュボードを作成します。
[Edit Dashboard] をクリックします。
[タイルを追加] をクリックします。以下の手順で利用できるオプションは、Looker アカウントでも利用できるものです。
次のリストから Explore を選択します。Explore は、新しいダッシュボードに表示されるデータの可視化に使用できる Chronicle アカウント内のデータのクラスです。
- [Ingestion Stats]
- [IOC Matches]
- Rule Detections
[Choose an Explore]
[Ioc Matches]（Ioc - セキュリティ侵害インジケーター）を選択します。

[IOC Matches]
[Dimensions] の左側のナビゲーションパネルから [Asset Hostname] と [Confidence Score] を選択します。通常、新しい可視化を作成するには、少なくとも 2 つの分割項目を選択する必要があります。

図に示すように、[Ioc Matches Confidence Score] コントロールを降順で設定し、[Row Limit] を 25 に設定します。
[Table] アイコンを選択し、[Run] をクリックして、Chronicle のデータに対する可視化をテストします。

Dimensions
次の表に、企業内のアセットに対する上位 25 件の IOC の一覧を示します。ポップアップウィンドウの左上隅にある Explore にタイトル（この例では「上位 25 件の IOC」）を指定します。[Save] をクリックして Explore を保存し、[Dashboards] ウィンドウに戻ります。

上位 25 件の IOC
新しいダッシュボードに名前を付けます（この例では「最初に確認」）。[Save] をクリックします。[Dashboards] ページに追加された新しいダッシュボードが表示されます。

上位 25 件の IOC が表示される新しいダッシュボード