信息中心用户指南

概览

Chronicle 提供了一组默认信息中心,用于在 Chronicle 界面中进行分析和报告。通过将信息中心转换为可共享的文件(例如 PDF、Excel、CSV 等),您可以使用报告功能。这些信息中心基于 Looker https://cloud.google.com/looker 和 BigQuery https://cloud.google.com/bigquery 的功能(均为 Google Cloud 产品)构建。Looker 充当可视化层,而 BigQuery 充当数据层。

准备工作

在访问 Chronicle 中的信息中心之前,请完成以下步骤:

  1. 启动 Google Chrome 浏览器。

    如果您尚未安装 Chrome,请转到 https://www.google.com/chrome/。

  2. 确保您有权访问公司帐号。

访问 Chronicle

完成以下步骤来访问您的 Chronicle 帐号并导航到“信息中心”页面:

  1. 导航到您公司的 Chronicle 帐号:

    https://<您的公司>.backstory.chronicle.security

  2. 屏幕应类似于下图。

    Chronicle 着陆页 Chronicle 着陆页

访问 Chronicle 信息中心

完成以下步骤来导航到信息中心页面:

  1. 点击右上角的应用菜单图标 图标,然后选择信息中心选项。

    注意:如果您无法查看菜单中的“信息中心”选项,请联系您的客户经理,以确保您的帐号已启用该功能。

    应用菜单

    “应用”菜单

默认信息中心

Chronicle 提供了一组默认信息中心。这些图表提供您的 Chronicle 帐号中存储的数据的各种可视化方式。这些信息中心可帮助您了解 Chronicle 数据提取系统的状态,以及您的企业当前的威胁状态。所有默认信息中心都包含时间控件。

数据注入和健康状况

“数据注入和健康状况”信息中心提供有关注入到 Chronicle 帐号的数据类型和数量的信息。此信息必需保持相对的稳定性及可预测性。但是,数据注入突然下降可能表明对您的企业数据进行转发的系统存在问题或者您的 Chronicle 帐号存在问题。

以下“数据注入和健康状况”信息中心显示可视化数据,可帮助您了解注入日志的数量、注入错误和其他信息。

“数据注入和健康状况”信息中心

您可以在“数据注入和健康状况”信息中心查看以下信息:

  • 注入的事件计数。注入的事件总数。
  • 注入错误计数。注入期间遇到的错误总数。
  • 基于事件计数的日志类型分布。显示基于每种日志类型的事件数量的日志类型分布的图表。
  • 基于吞吐量的日志类型分布。显示基于吞吐量的日志类型分布的图表。
  • 注入 - 按状态划分的事件。根据事件状态显示事件数量的图表。
  • 注入 - 按日志类型划分的事件。根据事件状态和日志类型显示事件数量的表格。
  • 最近注入的事件。显示每种日志类型最近注入的事件的表格。
  • 每日日志信息。显示每种日志类型每天的日志数的表格。
  • 事件计数与大小。比较一段时间内事件计数和大小的图表。
  • 注入吞吐量。显示一段时间内的注入吞吐量的图表。

IOC 匹配项

“失陷指标 (IOC) 匹配项”信息中心可让您了解组织中当前存在的 IOC。它包含以下 IOC 图表:

  • IOC 匹配随时间的变化(按类别)
  • 10 大网域 IOC 指标
  • 10 大 IP 地址 IOC 指标
  • 10 大资产(按 IOC 匹配)

IOC 匹配项 IOC 匹配项

主要

主信息中心显示有关 Chronicle 数据提取系统状态的信息。它还包含一个全球地图,其中突出显示了在您的企业内检测到的 IOC 的地理位置。

注意:绘图功能在全球某些区域不可用。

主信息中心 主信息中心

规则检测

“规则检测”信息中心提供有关与检测引擎和已配置规则相关的活动的数据分析。由于您的安全分析师会配置这些规则以搜索特定威胁,因此这些信息可能与您的组织特别相关。

规则检测 规则检测

用户登录概览

“用户登录概览”信息中心可帮助您了解登录企业的用户所在的位置以及用户登录的应用。此信息有助于跟踪恶意操作者访问您的企业的尝试。例如,您可能会发现,特定用户尝试从没有办事处的国家/地区访问您的企业,或者管理部门的用户似乎反复访问会计应用。

用户登录概览 用户登录概览

复制默认信息中心

无法修改 Chronicle 默认信息中心。但是,您可以创建任何默认信息中心的副本,并将其添加到“个人”或“共享”信息中心部分。这些副本可加以修改,从而允许您根据需要为您的企业自定义这些信息中心。

如需复制默认信息中心,请点击三点状菜单图标。您可以使用以下选项:

  • 复制到个人
  • 复制到共享

个人信息中心仅根据您的用户名显示。您的组织/Chronicle 帐号的所有成员都可以看到共享信息中心。

选项 -“复制到个人”或“复制到共享”

选项 -“复制到个人”或“复制到共享”

创建默认信息中心的副本后,您可以从“个人信息中心”或“共享信息中心”部分选择该副本。点击右上角的三点状菜单,然后选择修改信息中心。然后,您可以通过选择元素上的三点状菜单并选择修改来修改任何信息中心元素。此操作会打开 Looker 弹出式窗口,从而允许您进一步修改元素。

示例:创建新信息中心,获取有关如何创建新信息中心的示例。创建新信息中心与修改现有信息中心非常类似。

注意:Chronicle 信息中心是使用 Looker 构建的。如需详细了解 Looker 信息中心的特性和功能,请参阅 Looker 文档

修改信息中心 修改信息中心

示例:创建新信息中心

您可以在“个人信息中心”或“共享信息中心”部分创建新的信息中心。个人信息中心仅在您自己的 Chronicle 帐号中显示。有权访问您 Chronicle 帐号的所有团队成员也可看到共享信息中心。

注意:此功能是以 Looker 为基础构建的。如需详细了解 Looker 信息中心的特性和功能,请参阅 Looker 文档

以下示例说明了如何创建信息中心以监控企业中的前 25 个 IOC:

  1. 点击新建以创建新信息中心。

  2. 点击修改信息中心

  3. 点击添加图块。以下步骤中提供的选项反映了 Looker 帐号也提供的选项。

  4. 从以下列表中选择“探索”。“探索”是指 Chronicle 帐号中可用于为新信息中心创建数据可视化效果的数据类。

    • 注入统计信息
    • IOC 匹配项
    • 规则检测

    选择探索 选择“探索”

  5. 选择 IOC 匹配(IOC - 失陷指标)。

    IOC 匹配项 IOC 匹配项

  6. 对于维度,请从左侧导航面板中选择资产主机名置信度分数。您通常需要选择至少两个维度才能创建新的可视化效果。

    IOC 匹配置信度分数控件从最高设置为最低,并将行限制设置为 25,如图所示。

  7. 选择表格图标,然后点击运行以针对 Chronicle 数据测试可视化效果。

    维度 维度

  8. 下表显示了您企业中按资产置信度排列的前 25 个 IOC。在弹出式窗口的左上角为探索指定标题(在此示例中为“前 25 个 IOC”)。点击保存以保存探索并返回“信息中心”窗口。

    前 25 个 IOC 前 25 个 IOC

  9. 为新信息中心命名(在此示例中为请先检查)。点击保存信息中心页面将显示添加的新信息中心。

    显示前 25 个 IOC 的新信息中心 显示前 25 个 IOC 的新信息中心

后续步骤

如需获得其他功能,您可以将 BigQuery 导出功能与您自己的 Looker 帐号结合使用。