SOAR 보고서에서 Looker Explore 사용

다음에서 지원:

Looker Explore는 Google Security Operations의 대화형 데이터 분석 도구로, 복잡한 코드를 작성하지 않고 맞춤 보고서와 시각화 자료를 빌드할 수 있습니다. 고급 보고의 기반이 되며 보안 데이터를 유연하게 분석할 수 있는 방법을 제공합니다. 이 문서에서는 Looker Explore를 만들고 수정하는 방법에 대한 정보를 제공하지 않습니다. Explore에 대한 자세한 내용은 Looker Explore 만들기 및 수정하기를 참고하세요.

고급 SOAR 보고서 살펴보기

고급 SOAR 보고서 탭에서 Looker Explore를 확인할 수 있으며, 각 Explore는 고급 보고서를 빌드하는 데 사용할 수 있는 전문 데이터 및 시각화 기능을 제공합니다.

기본 고급 SOAR 보고서는 SOC 성능, 케이스 처리, 분석가 워크로드, 자동화 효율성을 추적하는 데 도움이 되는 대시보드 및 보고서의 집합입니다. 이러한 보고서는 환경 전반에 걸쳐 개략적인 통계와 세부적인 통계를 모두 제공하여 일일 모니터링부터 경영진 수준의 요약까지 다양한 사용 사례를 지원합니다.

정확한 데이터를 보장하기 위해 특정 플래그나 구성이 필요한 보고서가 많으며, 이는 각 설명에 명시되어 있습니다.

이 섹션에서는 일반적으로 사용되는 보고서를 설명합니다. 각 보고서에는 데이터 기반 의사 결정과 지속적인 SOC 개선을 지원하는 시각적 대시보드가 포함되어 있습니다. 주요 보고서에 관한 실적은 표를 참고하세요.


보고서 유형
설명

알림 및 항목
엔티티, 알림, 케이스, 인시던트를 모니터링하고 분석합니다. 보안 데이터를 이해하는 데 도움이 되는 주요 측정항목과 필터링 옵션을 제공합니다. 다음 작업을 할 수 있습니다.
  • 케이스 수, 평균 처리 시간, 인시던트 수와 같은 측정항목을 모니터링합니다.
  • 케이스 우선순위, 단계, 근본 원인과 같은 측정기준을 사용하여 데이터를 필터링합니다.
  • 처리 시간 및 SLA 상태와 같은 시간 기반 측정항목을 통해 케이스 처리 효율성을 추적합니다.

기본 요건:
Incident 플래그를 사용하여 케이스에서 인시던트를 식별합니다.

Analysts Case Load Tracker
특정 시점의 분석가별 워크로드 분포를 표시하여 SOC의 인력 및 실적을 모니터링하는 데 도움이 됩니다.
  • 워크로드 분석: 시간대와 요일을 추적하여 케이스 부하를 시각화하고 분석합니다.
  • Performance Monitoring: 여러 기간에 걸쳐 실적을 모니터링합니다.
  • 개별 추적: 일별, 주별, 월별로 각 사용자의 업무량을 추적합니다.

Cases
케이스가 생성된 후 종료될 때까지 모니터링하고 분석합니다. 전체 케이스 수명 주기를 추적하는 데 도움이 되는 포괄적인 세부정보를 제공합니다. 다음 작업을 할 수 있습니다.
  • 케이스 우선순위, 상태, 단계, 환경, 종료 이유와 같은 주요 측정기준을 검색합니다.
  • 케이스 수, 평균 할당 시간(MTTA), 평균 해결 시간 (MTTR)과 같은 측정항목을 추적합니다.
  • 역할, 이메일, 할당 시작일 등 사용자 및 담당자 세부정보를 확인합니다.

케이스 및 알림
케이스 및 알림 데이터를 결합하여 보안 이벤트가 케이스로 처리되는 방식을 분석할 수 있습니다.
  • 주요 측정기준: 케이스 우선순위, 단계, 근본 원인, 알림 규칙 이름, 제품별로 필터링합니다.
  • 필터 옵션: 플레이북 작업 및 인시던트 상태별로 필터링합니다.
  • 측정항목: 사용 사례 및 알림 수를 사용하여 보안 사고의 흐름에 대한 유용한 정보를 얻습니다.

케이스 기록
케이스의 전체 수명 주기를 추적하여 케이스 처리 효율성과 프로세스 타임라인에 대한 자세한 분석을 제공합니다.
  • 수명 주기 추적: 단계 전환부터 분석가 할당까지 케이스를 추적합니다.
  • 상세 통계: 다양한 단계 조합에서 시간 기반 측정항목을 분석합니다.
  • 필터링 기능: 이름, 우선순위, 상태, 환경별로 케이스를 필터링합니다.

고객 보고서
주요 운영 영역 전반의 SOC 적용 범위를 간략하게 보여주는 요약 대시보드

사전 요구사항:
  • 중요로 표시 플래그를 사용하여 중요한 케이스를 식별합니다.
  • 인시던트 플래그를 사용하여 인시던트를 식별합니다.
  • 케이스 종료에 대한 SLA 타겟을 정의합니다.
  • 악의적이지 않은 모든 케이스는 오탐으로 간주됩니다.

경영진 대시보드
핵심성과지표 (KPI)를 모니터링하도록 설계된 이 대시보드는 인시던트 수, 해결 시간, SLA 준수, 기타 주요 측정항목을 요약합니다.

사전 요구사항:
  • '문제' 플래그를 사용하여 문제를 식별합니다.
  • 케이스 종료에 대한 SLA 타겟을 정의합니다.
  • 에스컬레이션된 케이스는 Stage Escalated(단계 에스컬레이션됨) 플래그를 사용하여 식별해야 합니다.

관리형 감지 및 대응
일간, 주간 또는 월간 보고에 적합합니다. 다음과 같은 간결한 형식으로 알림, 케이스 생성, 분류, 해결, SLA 데이터를 추적합니다.
  • SLA 모니터링: 심사 시간SLA 충족 플래그를 사용하여 SLA 준수를 모니터링하고 케이스 처리를 개선합니다.
  • 우선순위 지정 및 검토: 케이스 우선순위케이스 종료 근본 원인을 사용하여 케이스의 우선순위를 지정하고 종료를 검토합니다.

기본 요건:
  • 에스컬레이션된 케이스를 식별하려면 Stage Escalated 플래그를 사용합니다.
  • 트리아지 시간은 케이스가 확인된 시간으로 정의됩니다.

월별 위협 모니터링
알림, 영향을 받는 제품, 알림 심각도 및 기타 주요 지표의 월별 요약입니다.

MTTX 대시보드
생성부터 특정 인시던트 처리 단계의 시작과 종료까지 주요 케이스 수명 주기 단계 간의 경과 시간을 표시하도록 설계된 시간 추적 대시보드입니다. stagestimestamps과 같은 매개변수를 맞춤설정할 수 있습니다.

분석가 워크로드 보고서
경보 및 이벤트 분포, 열린 케이스 및 닫힌 케이스 추세, 경보 그룹화 성능, 오탐 추세와 같은 SOC 워크로드 측정항목을 시각화합니다. 실적 세부정보를 참고하세요.

실적 처리 시간 보고서
팀, 알림 유형, 대응 단계와 같은 다양한 측정기준에서 평균 감지 시간 (MTTD)과 평균 해결 시간(MTTR)을 추적하여 운영 효율성에 대한 유용한 정보를 제공합니다. 성능 세부정보 및 예시를 참고하세요.

플레이북 분석 보고서
자동화 효과를 측정하고 플레이북 기반 작업이 SOC 성능을 개선하고 처리 시간을 줄이는 방법을 강조합니다. 실적 세부정보를 참고하세요.

ROI 보고서
자동화를 통해 절약된 시간과 노력을 정량화하는 단일 페이지 대시보드입니다. 여기에는 자동 작업과 수동 작업의 분류 및 제품 전반의 분포가 포함됩니다.

보안 운영 센터 보고서
여러 테넌트 (예: MSSP)를 관리하는 클라이언트를 위해 빌드된 이 보고서는 테넌트 전환과 유연한 시간 필터링을 지원합니다. 간결한 차트는 주간 또는 월간 요약에 적합합니다.

보안 상황 및 센서 성능 보고서
시간이 지남에 따라 위협 동향과 센서 성능을 파악하여 오탐을 식별하고 센서 구성을 미세 조정할 수 있습니다. 실적 세부정보를 참고하세요.

전체 클리어런스 추적기 등급 실적
전체 해결 추적기라고도 하는 이 대시보드는 SOC의 다양한 등급에서 케이스 수와 해결을 추적합니다.

등급별 실적
지정된 기간 동안 알림 수를 추적하여 SOC 역할 카테고리의 효율성을 분석합니다.
  • 주요 측정기준: SOC 역할 이름환경을 사용하여 팀 성과를 필터링하고 평가합니다.
  • 측정항목: 생성, 종료, 대기 중인 알림 수를 추적하여 워크로드 분산 및 알림 관리에 대한 유용한 정보를 얻습니다.

대시보드 케이스 보기
케이스, 알림, 항목, 단계 진행, 분석가 할당 세부정보를 결합한 케이스 관리 및 실적에 대한 포괄적인 보기를 제공합니다. 이 보기는 태그 기반 측정기준과 측정항목을 사용한 심층 분석을 지원합니다. 이 Explore에서는 다음과 같은 다양한 실적 추적 KPI와 상세 검색 옵션을 제공합니다.
  • 검색 측정기준: 케이스 우선순위, 케이스 종료 이유, 첫 번째/마지막 처리 분석가, 알림 규칙 이름, 제품
  • KPI: 자동/수동으로 종료된 케이스, 평균 감지 시간, 평균 처리 시간, 평균 해결 시간, 우선순위별 케이스 요약

고급 SOAR 보고서의 실적 분석 살펴보기

각 보고서에는 데이터 기반 의사 결정과 지속적인 SOC 개선을 지원하는 시각적 대시보드가 포함되어 있습니다.

Performance Handling Times report(실적 처리 시간 보고서)

이 보고서는 케이스가 응답 수명 주기의 다양한 단계에서 얼마나 오래 걸리는지 보여줍니다. 여기에는 평균 감지 시간 (MTTD), 평균 해결 시간 (MTTR), SOC 역할 또는 단계별 평균 처리 시간과 같은 측정항목이 포함됩니다. 이러한 유용한 정보는 팀이 지연을 식별하고, 운영 효율성을 평가하고, 케이스 분류 및 해결 워크플로를 개선하는 데 도움이 됩니다.

  • 평균 탐지 시간 (MTTD): 케이스가 생성된 시점부터 케이스가 사용자에게 할당될 때까지의 평균 시간입니다.
    형식: days-hours-minutes-seconds
    케이스가 할당되지 않은 경우 위젯에 0이 표시됩니다.
  • 평균 해결 시간 (MTTR): 케이스가 생성된 시점부터 해결 단계로 이동할 때까지의 평균 시간입니다.
    형식: days-hours-minutes-seconds
    해결 단계가 없는 경우 위젯에 N/A이 표시됩니다.
  • SOC 역할별 평균 처리 시간: SOC 역할이 할당부터 종료 또는 재할당까지 케이스에 소요하는 평균 시간을 보여줍니다.
  • 단계별 평균 처리 시간: 단계가 시작된 시점부터 케이스가 종료되거나 다른 단계로 이동할 때까지 각 단계에서 소요된 평균 시간을 표시합니다.
  • 평균 분류 시간: 다양한 규칙에 걸쳐 날짜별 분류 단계의 평균 처리 시간을 표시합니다.
  • 평균 처리 시간 트리아지 단계: 날짜별 트리아지 단계의 평균 처리 시간을 표시합니다.
  • 날짜별 SOC 역할별 평균 처리 시간: 날짜별 SOC 역할별 평균 처리 시간을 표시합니다.

분석가 워크로드 보고서

분석가 워크로드 보고서는 규칙에 따라 알림, 이벤트, 케이스가 어떻게 분산되고 SOC 분석가 워크로드에 어떤 영향을 미치는지 보여줍니다. 이를 통해 알림 수, 케이스 상태, 거짓양성, 케이스 처리에 소요된 시간의 추세를 파악하여 팀에서 인력, 규칙 조정, 대응 효율성을 최적화할 수 있습니다.

  • 규칙별 알림 분포: 규칙 유형별 알림 분포와 비율을 표시합니다.
  • 규칙별 이벤트 분포: 규칙 유형별 이벤트 비율을 표시합니다.
  • 진행 중인 케이스와 종료된 케이스: 진행 중인 케이스와 종료된 케이스 수의 분포를 표시합니다.
  • 케이스 대 알림: 케이스 수와 알림 수 간의 분포를 표시합니다.
  • 거짓양성 대비 처리 시간: 이중 축 그래프에는 평균 처리 시간과 비교한 거짓양성 비율이 표시됩니다.
    • 거짓양성률은 모든 케이스 중에서 악의적이지 않은 케이스의 비율입니다.
    • 평균 처리 시간은 케이스 생성부터 케이스 종료까지의 시간을 측정합니다.
    • 그래프에는 종료된 케이스에 대한 정보만 표시됩니다.

보안 상태 및 센서 성능 보고서

보안 태세 및 센서 성능 보고서는 환경 전반의 탐지 규칙 및 보안 센서의 효과에 중점을 둡니다. 규칙 및 제품별로 알림이 어떻게 분포되어 있는지 보여주고, 시간 경과에 따른 알림 볼륨을 추적하며, 오탐률을 시각화합니다. 이러한 통계는 탐지 범위를 평가하고, 노이즈가 많은 규칙이나 실적이 저조한 제품을 식별하고, 보안 태세를 미세 조정하는 데 도움이 됩니다.

  • 규칙별 알림 비율: 규칙 유형별 알림의 분포와 비율을 표시합니다.
  • 날짜별 규칙별 알림 수: 시간 경과에 따른 규칙 유형별 알림 수를 표시합니다.
  • 제품별 알림 비율: 제품별 알림의 분포와 비율을 표시합니다.
  • 제품별, 날짜별 알림 수: 제품별, 날짜별 알림 수를 표시합니다.
  • 거짓양성률 대 제품: 제품 유형별 거짓양성률을 표시합니다.
    • 거짓양성률은 모든 케이스 중에서 악의적이지 않은 케이스의 비율입니다.
    • 그래프에는 종료된 케이스에 대한 정보만 표시됩니다.

플레이북 분석

플레이북 분석 보고서는 플레이북을 통한 자동화의 효과를 평가합니다. 가장 자주 자동화되는 알림, 자동화로 종료된 상위 알림을 강조 표시하고 플레이북 자동화가 있는 알림과 없는 알림의 거짓양성률과 처리 시간을 비교합니다. 이러한 통계를 사용하여 케이스 해결에 대한 자동화의 영향을 평가하고 플레이북 적용 범위를 확대할 기회를 파악하세요.

  • 상위 10개 자동 알림: 자동 알림 비율이 가장 높은 상위 10개 규칙을 표시합니다.자동 알림은 플레이북에 자동으로 연결된 알림입니다.
  • 자동화로 종료된 상위 10개 알림: 플레이북에 의해 자동으로 종료된 알림의 비율이 가장 높은 상위 10개 규칙을 표시합니다. 그래프에는 종료된 케이스에 대한 정보만 표시됩니다.
  • 거짓양성 대 자동화되지 않은 알림의 처리 시간: 자동으로 연결된 플레이북이 없는 알림의 경우 이 위젯에는 거짓양성 비율과 평균 처리 시간을 비교하는 이중 축 그래프가 표시됩니다.
    • 그래프에는 종료된 케이스에 대한 정보만 표시됩니다.
    • 이 그래프에는 종료된 케이스의 데이터만 포함되며, 플레이북이 없는 알림이 없으면 비어 있습니다.

Looker에서 고급 SOAR 보고서 관리하기

액세스 및 권한 할당

권한 페이지에서 사용자에게 다음 권한을 할당할 수 있습니다.

  • 보기: 고급 보고서 보기 체크박스를 선택하여 고급 보고서 탭에서 보고서를 볼 수 있는 액세스 권한을 부여합니다.
  • 수정: 고급 보고서 수정 허용 체크박스를 선택하여 고급 보고서를 만들고, 수정하고, 복제하고, 공유하고, 다운로드하고, 삭제할 수 있는 액세스 권한을 부여합니다.

고급 보고서는 사전 설정 없이 보고서 탭을 통해 모든 플랫폼 사용자가 액세스할 수 있습니다.

고급 보고서 관리

고급 보고서 탭에서 사용할 수 있는 폴더는 다음과 같습니다.

  • 기본값 (관리자만 해당): 직접 수정할 수 없는 사전 정의된 보고서입니다. 하지만 수정할 수 있도록 다른 폴더에 복제할 수는 있습니다.
  • 개인: Looker 구성요소를 사용하여 직접 만든 보고서입니다. 기본 또는 공유 폴더에서 보고서를 복제하고 저장할 수도 있습니다.
  • 공유됨: 내가 만들어서 다른 사용자와 공유한 보고서 또는 다른 사용자가 만들어서 나와 공유한 보고서입니다.

다른 사용자와 공유하거나, 다른 폴더 또는 환경으로 복제하거나, 생성 또는 복사한 보고서의 이름을 바꿔 고급 보고서를 관리할 수 있습니다. 이 섹션에서는 고급 보고서 인터페이스에서 이러한 작업을 수행하는 방법을 설명합니다.

보고서 공유

  1. share Share를 클릭합니다.
  2. 보고서를 공유할 환경을 선택합니다.
  3. 선택사항: 보기 전용 사용자에게 액세스 권한을 부여하려면 해당 체크박스를 선택합니다.

중복 보고서

  1. content_copy 보고서 복제를 클릭합니다.
  2. 대상 폴더와 필요한 환경을 선택합니다.
  3. 선택사항: 중복된 보고서의 이름을 변경합니다.

Looker 보고서 이름 바꾸기

개인 또는 공유 폴더에 있는 복제된 보고서의 이름만 바꿀 수 있습니다.

  1. 이름을 변경할 보고서를 엽니다.
  2. more_vert대시보드 작업을 클릭하고 대시보드 수정을 선택합니다.
  3. 보고서 이름 필드를 클릭하고 새 이름을 입력한 다음 저장을 클릭합니다.

고급 보고서에서 맞춤 입력란 사용하기

고급 보고서 내에서 Google SecOps에서 생성된 맞춤 입력란을 사용하여 케이스 및 알림에 대한 심층적인 통계를 얻을 수 있습니다. LookML 공식 및 필터링 기법을 비롯하여 Looker 보고서에서 맞춤 필드를 사용하는 방법을 알아보려면 맞춤 필드 관리를 참고하세요.

SOAR 탐색 분석으로 보고서 만들기

SOAR Explore를 사용하면 관련 필드를 선택하여 특정 데이터를 정의하고 시각화할 수 있습니다. SOAR Explore는 표준 Looker 대시보드와 유사하지만 SOAR 전용 필드가 추가로 포함되어 있습니다. 자세한 내용은 대시보드에 차트 시각화 추가를 참고하세요.
SOAR Explores를 사용하여 보고서를 만들려면 다음 단계를 따르세요.

  1. 대시보드 및 보고서 > SOAR 보고서로 이동합니다.
  2. 고급 보고서를 클릭합니다.
  3. 추가 보고서 추가를 클릭합니다.
  4. 새 보고서 만들기 대화상자에서 보고서 이름을 입력하고 폴더를 선택한 다음 환경을 선택합니다.
  5. 만들기를 클릭하여 새 보고서를 표시합니다.
  6. 보고서를 선택하고 대시보드 수정을 클릭합니다.
  7. 보고서 이름 아래에 있는 추가를 클릭합니다.
  8. 목록에서 시각화를 선택합니다.
  9. Explore 선택 대화상자에서 관련 SOAR Explore를 선택하여 보고서와 관련된 데이터 필드에 액세스합니다.
  10. 모든 필드 탭에서 보고서와 관련된 측정기준과 측정값을 선택합니다.
  11. 필요에 따라 보고서를 맞춤설정하고 저장을 클릭합니다. 시각화 타일이 대시보드에 추가됩니다.

참고: 각 대시보드 타일을 수정하려면 대시보드의 타일에서 수정을 클릭합니다.

문제해결 도움말

고급 보고서 페이지에 다음 오류가 표시될 수 있습니다.
You are not authenticated to view this page.

인증을 받았는데 이 오류가 표시되면 브라우저에서 Looker 쿠키를 차단하고 있을 수 있습니다.
고급 보고서에 액세스하기 위해 브라우저에서 Looker 쿠키를 사용 설정하는 방법은 브라우저에 따라 다릅니다.

Looker 쿠키를 사용 설정하고 Google Chrome에서 고급 보고서 페이지에 액세스하려면 다음 단계를 따르세요.

  1. 페이지의 아무 곳이나 마우스 오른쪽 버튼으로 클릭하고 검사를 선택합니다.
  2. 보고서 중 하나를 클릭하고 URL을 클립보드에 복사합니다.
  3. Chrome에서 설정 > 개인 정보 보호 및 보안 > 서드 파티 쿠키로 이동합니다.
  4. 서드 파티 쿠키 사용이 허용됨에서 추가를 클릭하고 Looker URL을 붙여넣습니다.

이제 고급 보고서에 액세스하고 이를 볼 수 있습니다.

알려진 문제 및 제한사항

SOAR 고급 보고서에는 다음과 같은 알려진 문제와 제한사항이 있습니다.

  • 보고서 삭제: 대시보드 작업 메뉴의 휴지통으로 이동 옵션이 작동하지 않습니다. 보고서를 삭제하려면 보고서 위의 보고서 삭제를 클릭합니다.
  • 예약된 전송에서 지금 테스트: 지금 테스트 작업이 작동하지 않습니다. 보고서 전송을 테스트하려면 일정 대화상자에서 지금 보내기를 클릭합니다.
  • 쿼리 병합 제한사항: 쿼리 병합 작업을 사용하는 보고서는 내보내거나 가져올 수 없습니다.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.