컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

Chronicle 대시보드 사용

개요

Chronicle은 Chronicle 사용자 인터페이스 내에서 분석 및 보고를 위한 기본 대시보드 세트를 제공합니다. 대시보드를 공유 가능한 파일(예: PDF, Excel, CSV 등)로 변환하여 보고서를 사용할 수 있습니다. 이러한 대시보드는 Looker: https://cloud.google.com/looker 및 BigQuery: https://cloud.google.com/bigquery(둘 모두 Google Cloud 제품)의 기능을 기반으로 구축되었습니다. Looker는 시각화 레이어, BigQuery는 데이터 레이어로 작동합니다.

시작하기 전에

Chronicle에서 대시보드에 액세스하려면 먼저 다음 단계를 완료하세요.

  1. Chrome 브라우저를 시작합니다.

    Chrome을 설치하지 않았으면 https://www.google.com/chrome/으로 이동하세요.

  2. 회사 계정에 액세스할 수 있도록 해야 합니다.

Chronicle 액세스

Chronicle 계정에 액세스하고 대시보드 페이지로 이동하려면 다음 단계를 완료하세요.

  1. 회사의 Chronicle 계정으로 이동합니다.

    https://<your-company>.backstory.chronicle.security

  2. 다음 그림과 유사한 화면이 표시됩니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

Chronicle 대시보드 액세스

다음 단계를 완료하여 대시보드 페이지로 이동합니다.

  1. 오른쪽 상단의 애플리케이션 메뉴 아이콘 아이콘을 클릭하고 대시보드 옵션을 선택합니다.

    참고: 메뉴에 대시보드 옵션이 표시되지 않으면 계정 관리자에게 문의하여 계정에 이 기능이 사용 설정되어 있는지 확인하세요.

    애플리케이션 메뉴

    애플리케이션 메뉴

기본 대시보드

Chronicle은 여러 기본 대시보드 그룹을 제공합니다. 이러한 대시보드는 Chronicle 계정 내에 저장된 데이터를 다양한 시각화 방식으로 제공합니다. 대시보드를 사용하면 Chronicle 데이터 수집 시스템의 상태와 기업의 현재 위협 상태를 파악할 수 있습니다. 모든 기본 대시보드에 시간 컨트롤이 포함되어 있습니다.

컨텍스트 인식 감지 - 위험 대시보드

컨텍스트 인식 감지 위험 대시보드는 기업 내 애셋 및 사용자의 현재 위협 상태에 대한 유용한 정보를 제공합니다. 규칙 감지 탐색 인터페이스의 필드를 사용하여 빌드되며 BigQuery의 Chronicle rule_detections 테이블에서 데이터를 검색합니다.

심각도 및 위험 점수 값은 각 규칙에 정의된 변수입니다. 예시를 보려면 결과가 있는 멀티 이벤트 규칙 섹션을 참조하세요. 각 패널에서 데이터는 먼저 심각도를 기준으로 정렬된 후 위험 점수를 기준으로 가장 위험한 사용자와 애셋을 식별합니다.

컨텍스트 인식 감지 위험 대시보드 컨텍스트 인식 감지

  • 위험 상태의 애셋 및 기기 패널: 심각도를 기준으로 상위 10개의 애셋을 나열합니다. 심각도 수준은 매우 높음, 높음, 큼, 보통, 낮음입니다. 레코드에 호스트 이름 값이 없으면 IP 주소가 표시됩니다.

  • 위험 상태의 사용자 패널: 심각도를 기준으로 상위 10명의 사용자를 나열합니다. 심각도 수준은 매우 높음, 높음, 큼, 보통, 낮음입니다. 레코드에 사용자 이름 값이 없으면 이메일이 표시됩니다.

  • 위험 집계 패널: 각 날짜에 대해 총 위험 점수가 집계되어 영역 그래프로 표시됩니다.

  • 감지 결과 패널: 점수 및 심각도와 함께 해당 규칙의 다양한 감지 결과에 대한 세부정보를 제공합니다.

데이터 수집 및 상태

데이터 수집 및 상태 대시보드는 Chronicle 계정에 수집되는 데이터 유형 및 볼륨에 대한 정보를 제공합니다. 이 정보는 상대적으로 안정적이고 예측 가능해야 합니다. 그러나 데이터 수집이 급감할 경우 기업에서 데이터를 전달하는 시스템 또는 Chronicle 계정에 문제가 있음을 나타낼 수 있습니다.

다음 데이터 수집 및 상태 대시보드는 수집된 로그의 양, 수집 오류, 기타 정보를 이해하는 데 도움이 되는 시각화를 보여줍니다.

데이터 수집 및 상태 대시보드

데이터 수집 및 상태 대시보드에서 다음 정보를 볼 수 있습니다.

  • 수집된 이벤트 수. 수집된 총 이벤트 수입니다.
  • 수집 오류 수. 수집 중에 발생한 총 오류 수입니다.
  • 이벤트 수별 로그 유형 분포. 각 로그 유형의 이벤트 수를 기반으로 로그 유형 분포를 보여주는 차트입니다.
  • 처리량별 로그 유형 분포. 처리량을 기반으로 하는 로그 유형 분포를 보여주는 차트입니다.
  • 수집 - 상태별 이벤트. 상태별로 이벤트 수를 보여주는 그래프입니다.
  • 수집 - 로그 유형별 이벤트. 상태 및 로그 유형에 따른 이벤트 수를 보여주는 테이블입니다.
  • 최근에 수집된 이벤트. 각 로그 유형에 대해 최근에 수집된 이벤트를 보여주는 테이블입니다.
  • 매일 로그 정보. 각 로그 유형의 일일 로그 수를 보여주는 테이블입니다.
  • 이벤트 수 및 크기 비교 일정 기간 동안의 이벤트 수 및 크기를 비교하는 그래프입니다.
  • 수집 처리량. 일정 기간 동안의 수집 처리량을 보여주는 그래프입니다.

IOC 일치

침해 지표(IOC) 일치 대시보드는 현재 기업에 있는 IOC에 대한 공개 상태를 제공합니다. 여기에는 다음과 같은 IOC 차트가 포함됩니다.

  • 시간 경과에 따른 카테고리별 IOC 일치
  • 상위 10개 도메인 침해 지표(IOC)
  • 상위 10개 IP 침해 지표(IOC)
  • IOC 일치별 상위 10개 애셋

IOC 일치 IOC 일치

기본

기본 대시보드에는 Chronicle 데이터 수집 시스템의 상태에 대한 정보가 표시됩니다. 여기에는 기업에서 감지된 IOC의 지리적 위치를 강조표시하는 세계 지도도 포함됩니다.

참고: 전 세계 일부 리전에서는 매핑 기능을 사용할 수 없습니다.

기본 대시보드 기본 대시보드

규칙 감지

규칙 감지 대시보드는 감지 엔진 및 구성된 규칙과 관련된 활동에 대한 유용한 정보를 제공합니다. 보안 분석가는 특정 위협을 검색하도록 이러한 규칙을 구성하므로 이 정보는 특히 조직과 관련이 있을 수 있습니다.

규칙 감지 규칙 감지

사용자 로그인 개요

사용자 로그인 개요 대시보드에서는 사용자가 기업에 로그인하는 위치와 로그인하는 애플리케이션에 대한 유용한 정보를 제공합니다. 이 정보는 악의적인 행위자가 기업에 액세스하려는 시도를 추적하는 데 유용할 수 있습니다. 예를 들어 사무실이 없는 국가에서 특정 사용자가 기업에 액세스하려고 하거나 관리팀 사용자가 회계 애플리케이션에 반복적으로 액세스하는 등의 상황을 적발할 수 있습니다.

사용자 로그인 개요 사용자 로그인 개요

기본 대시보드 복사

Chronicle 기본 대시보드는 수정할 수 없습니다. 그러나 기본 대시보드의 복사본을 만들어 개인 또는 공유 대시보드 섹션에 추가할 수 있습니다. 복사본을 수정하여 필요에 따라 기업에 맞게 대시보드를 맞춤설정할 수 있습니다.

기본 대시보드를 복사하려면 점 3개로 된 메뉴 아이콘을 클릭하세요. 사용할 수 있는 옵션은 다음과 같습니다.

  • 개인에 복사
  • 공유에 복사

개인 대시보드는 사용자 이름을 기반으로 해당 사용자만 볼 수 있습니다. 공유 대시보드는 조직/Chronicle 계정의 모든 구성원이 볼 수 있습니다.

옵션 - 개인 또는 공유에 복사

옵션 - 개인 또는 공유에 복사

기본 대시보드의 사본을 만든 후 개인 또는 공유 대시보드 섹션에서 선택할 수 있습니다. 오른쪽 상단에 있는 점 3개로 된 메뉴를 클릭하고 대시보드 수정을 선택합니다. 그런 다음 요소에서 점 3개로 된 메뉴를 선택하고 수정을 선택하여 대시보드 요소를 수정할 수 있습니다. 이렇게 하면 Looker 팝업 창이 열리고 요소를 추가로 수정할 수 있습니다.

새 대시보드를 만드는 방법의 예는 예시: 새 대시보드 만들기를 참조하세요. 기존 대시보드를 수정할 때와 비슷한 방법으로 새 대시보드를 만들 수 있습니다.

참고: Chronicle 대시보드는 Looker로 빌드됩니다. Looker 대시보드의 모든 특성 및 기능에 대한 자세한 내용은 Looker 문서를 참조하세요.

대시보드 수정 대시보드 수정

예시: 새 대시보드 만들기

개인 또는 공유 대시보드 섹션에서 새 대시보드를 만들 수 있습니다. 개인 대시보드는 사용자의 Chronicle 계정 내에서만 볼 수 있습니다. 공유 대시보드는 Chronicle 계정에도 액세스할 수 있는 모든 구성원에게 표시됩니다.

참고: 이 기능은 Looker를 기반으로 빌드되었습니다. Looker 대시보드의 모든 특성 및 기능에 대한 자세한 내용은 Looker 문서를 참조하세요.

다음 예시에서는 기업의 상위 25개 IOC를 모니터링할 수 있는 대시보드를 만드는 방법을 보여줍니다.

  1. 새로 만들기를 클릭하여 새 대시보드를 만듭니다.

  2. 대시보드 수정을 클릭합니다.

  3. 타일 추가를 클릭합니다. 다음 단계에서 사용할 수 있는 옵션은 Looker 계정에서도 사용 가능한 옵션을 미러링합니다.

  4. 다음 목록에서 탐색을 선택합니다. 탐색은 새 대시보드의 데이터 시각화를 만드는 데 사용할 수 있는 Chronicle 계정 내의 데이터 클래스입니다.

    • 수집 통계
    • IOC 일치
    • 규칙 감지

    탐색 선택 탐색 선택

  5. IOC 일치(IOD - 침해 지표)를 선택합니다.

    IOC 일치 IOC 일치

  6. 측정기준의 경우 왼쪽 탐색 패널에서 애셋 호스트 이름신뢰도 점수를 선택합니다. 새 시각화를 만들려면 일반적으로 측정기준을 2개 이상 선택해야 합니다.

    그림과 같이 IOC 일치 신뢰도 점수 컨트롤을 매우 높음에서 매우 낮음으로 설정하고 행 한도를 25로 설정합니다.

  7. 테이블 아이콘을 선택하고 실행을 클릭하여 Chronicle 데이터에 대한 시각화를 테스트합니다.

    측정기준 측정기준

  8. 다음 표에는 기업 내 애셋에 대한 신뢰도를 기준으로 한 상위 25개 IOC가 표시되어 있습니다. 팝업 창 왼쪽 상단에서 탐색에 제목을 지정합니다(이 예시의 경우 Top 25 IOCs). 저장을 클릭하여 탐색을 저장하고 대시보드 창으로 돌아갑니다.

    Top 25 IOCs Top 25 IOCs

  9. 새 대시보드의 이름을 지정합니다(이 예의 경우 Check First). 저장을 클릭합니다. 대시보드 페이지에 추가된 새 대시보드가 표시됩니다.

    Top 25 IOCs가 표시된 새 대시보드 Top 25 IOCs가 표시된 새 대시보드

다음 단계

추가 기능을 위해 Looker 계정과 함께 BigQuery 내보내기 기능을 사용할 수도 있습니다.