대시보드 사용자 가이드

개요

Chronicle은 Chronicle 사용자 인터페이스 내에서 분석 및 보고를 위한 기본 대시보드를 제공합니다. 대시보드를 공유 가능한 파일(예: PDF, Excel, CSV 등)로 변환하여 보고를 사용할 수 있습니다. 이 대시보드는 Google Cloud 제품인 Looker(https://cloud.google.com/looker)와 BigQuery(https://cloud.google.com/bigquery) 기능을 기반으로 구축되었습니다. Looker는 시각화 레이어 역할을 하고 BigQuery는 데이터 레이어 역할을 합니다.

시작하기 전에

Chronicle에서 대시보드에 액세스하려면 먼저 다음 단계를 완료하세요.

  1. Chrome 브라우저를 시작합니다.

    Chrome을 설치하지 않았으면 https://www.google.com/chrome/으로 이동하세요.

  2. 회사 계정에 액세스할 수 있도록 해야 합니다.

Chronicle 액세스

Chronicle 계정에 액세스하고 대시보드 페이지로 이동하려면 다음 단계를 완료하세요.

  1. 회사의 Chronicle 계정으로 이동합니다.

    https://<your-company>.backstory.chronicle.security

  2. 다음 그림과 같은 화면이 표시됩니다.

    Chronicle 방문 페이지 Chronicle 방문 페이지

Chronicle 대시보드 액세스

다음 단계를 완료하여 대시보드 페이지로 이동합니다.

  1. 오른쪽 상단의 애플리케이션 메뉴 아이콘 아이콘을 클릭하고 대시보드 옵션을 선택합니다.

    참고: 메뉴에 대시보드 옵션이 표시되지 않으면 계정 관리자에게 문의하여 계정에 이 기능이 사용 설정되어 있는지 확인하세요.

    애플리케이션 메뉴

    애플리케이션 메뉴

기본 대시보드

Chronicle은 여러 기본 대시보드 그룹을 제공합니다. 이러한 대시보드는 Chronicle 계정 내에 저장된 데이터를 다양한 시각화 방식으로 제공합니다. 대시보드를 사용하면 Chronicle 데이터 수집 시스템의 상태와 기업의 현재 위협 상태를 파악할 수 있습니다. 모든 기본 대시보드에 시간 컨트롤이 포함되어 있습니다.

데이터 수집 및 상태

데이터 수집 및 상태 대시보드는 Chronicle 계정에 수집되는 데이터 유형 및 볼륨에 관한 정보를 제공합니다. 이 정보는 상대적으로 안정적이고 예측 가능해야 합니다. 하지만 데이터 수집이 급감할 경우 기업에서 데이터를 전달하는 시스템이나 Chronicle 계정에 문제가 있는 것일 수 있습니다.

  1. 아래와 같은 데이터 수집 및 상태 대시보드를 선택합니다.

    데이터 수집 및 상태 대시보드 데이터 수집 및 상태 대시보드

IOC 일치

보안 침해 지표(IOC) 일치 대시보드는 사용자의 기업에 현재 존재하는 IOC에 대한 정보를 제공합니다. 여기에는 다음과 같은 IOC 차트가 포함됩니다.

  • 시간 경과에 따른 카테고리별 IOC 일치
  • 상위 10개 도메인 침해 지표(IOC)
  • 상위 10개 IP 침해 지표(IOC)
  • IOC 일치별 상위 10개 애셋

IOC 일치 IOC 일치

기본

기본 대시보드에는 Chronicle 데이터 수집 시스템의 상태에 대한 정보가 표시됩니다. 여기에는 기업에서 감지된 IOC의 지리적 위치를 강조표시하는 세계 지도도 포함됩니다.

참고: 전 세계 일부 리전에서는 매핑 기능을 사용할 수 없습니다.

기본 대시보드 기본 대시보드

규칙 감지

규칙 감지 대시보드는 감지 엔진 및 구성된 규칙과 관련된 활동에 대한 유용한 정보를 제공합니다. 보안 분석가들이 특정 위협을 검색하도록 이러한 규칙을 구성하기 때문에 이 정보는 특히 조직과 관련이 있을 수 있습니다.

규칙 감지 규칙 감지

사용자 로그인 개요

사용자 로그인 개요 대시보드에서는 사용자가 기업에 로그인하는 위치와 로그인하는 애플리케이션에 대한 유용한 정보를 제공합니다. 이 정보는 악의적인 행위자가 기업에 액세스하려는 시도를 추적하는 데 유용할 수 있습니다. 예를 들어 사무실이 없는 국가에서 특정 사용자가 기업에 액세스하려고 하거나 관리팀 사용자가 회계 애플리케이션에 반복적으로 액세스하는 등의 상황을 적발할 수 있습니다.

사용자 로그인 개요 사용자 로그인 개요

기본 대시보드 복사

Chronicle 기본 대시보드는 수정할 수 없습니다. 대신 기본 대시보드의 사본을 만들어 개인 또는 공유 대시보드 섹션에 추가할 수 있습니다. 사본을 수정하여 기업에 맞게 필요한 대로 대시보드를 맞춤설정할 수 있습니다.

기본 대시보드를 복사하려면 점 3개로 된 메뉴 아이콘을 클릭하세요. 사용할 수 있는 옵션은 다음과 같습니다.

  • 개인에 복사
  • 공유에 복사

개인 대시보드는 사용자 이름을 기반으로 해당 사용자만 볼 수 있습니다. 공유 대시보드는 조직/Chronicle 계정의 모든 구성원이 볼 수 있습니다.

옵션 - 개인 또는 공유에 복사

옵션 - 개인 또는 공유에 복사

기본 대시보드의 사본을 만든 후 개인 또는 공유 대시보드 섹션에서 선택할 수 있습니다. 오른쪽 상단에 있는 점 3개로 된 메뉴를 클릭하고 대시보드 수정을 선택하세요. 그런 다음 요소에서 점 3개로 된 메뉴를 선택하고 수정을 선택하여 대시보드 요소를 수정할 수 있습니다. 이렇게 하면 Looker 팝업 창이 열리고 요소를 추가로 수정할 수 있습니다.

새 대시보드를 만드는 방법의 예는 예시: 새 대시보드 만들기를 참조하세요. 기존 대시보드를 수정할 때와 비슷한 방법으로 새 대시보드를 만들 수 있습니다.

참고: Chronicle 대시보드는 Looker로 빌드합니다. Looker 대시보드의 모든 특성 및 기능에 대한 자세한 내용은 Looker 문서를 참조하세요.

대시보드 수정 대시보드 수정

예시: 새 대시보드 만들기

개인 또는 공유 대시보드 섹션에서 새 대시보드를 만들 수 있습니다. 개인 대시보드는 사용자 개인의 Chronicle 계정 내에서만 표시됩니다. 공유 대시보드는 Chronicle 계정에도 액세스할 수 있는 모든 팀원에게 표시됩니다.

참고: 이 기능은 Looker를 기반으로 구축되었습니다. Looker 대시보드의 모든 특성 및 기능에 대한 자세한 내용은 Looker 문서를 참조하세요.

다음 예시에서는 기업의 상위 25개 IOC를 모니터링할 수 있는 대시보드를 만드는 방법을 보여줍니다.

  1. 새로 만들기를 클릭하여 새 대시보드를 만듭니다.

  2. 대시보드 수정을 클릭합니다.

  3. 타일 추가를 클릭합니다. 다음 단계에서 사용할 수 있는 옵션은 Looker 계정에서도 사용 가능한 옵션을 미러링합니다.

  4. 다음 목록에서 탐색을 선택합니다. 탐색은 새 대시보드의 데이터 시각화를 만드는 데 사용할 수 있는 Chronicle 계정 내의 데이터 클래스입니다.

    • 수집 통계
    • IOC 일치
    • 규칙 감지

    탐색 선택 탐색 선택

  5. IOC 일치(IOD - 침해 지표)를 선택합니다.

    IOC 일치 IOC 일치

  6. 측정기준의 경우 왼쪽 탐색 패널에서 애셋 호스트 이름신뢰도 점수를 선택합니다. 새 시각화를 만들려면 일반적으로 측정기준을 2개 이상 선택해야 합니다.

    그림과 같이 IOC 일치 신뢰도 점수 컨트롤을 매우 높음에서 매우 낮음으로 설정하고 행 한도를 25로 설정합니다.

  7. 테이블 아이콘을 선택하고 실행을 클릭하여 Chronicle 데이터에 대한 시각화를 테스트합니다.

    측정기준 측정기준

  8. 다음 표에는 기업 내 애셋에 대한 신뢰도를 기준으로 한 상위 25개 IOC가 표시되어 있습니다. 팝업 창 왼쪽 상단에서 탐색에 제목을 지정합니다(이 예시의 경우 Top 25 IOCs). 저장을 클릭하여 탐색을 저장하고 대시보드 창으로 돌아갑니다.

    Top 25 IOCs Top 25 IOCs

  9. 새 대시보드의 이름을 지정합니다(이 예의 경우 Check First). 저장을 클릭합니다. 대시보드 페이지에 추가된 새 대시보드가 표시됩니다.

    Top 25 IOCs가 표시된 새 대시보드 Top 25 IOCs가 표시된 새 대시보드

다음 단계

추가 기능을 위해 Looker 계정과 함께 BigQuery 내보내기 기능을 사용할 수도 있습니다.