Визуализация данных о нарушениях в облаке Azure

Сводная панель Обзор нарушений Azure помогает аналитикам защиты визуализировать потенциальные нарушения в Microsoft Azure, и ее можно организовать различными способами в соответствии с вашими потребностями.

На сводной панели Обзор нарушений Azure выводятся все открытые данные нарушений на следующих диаграммах:
  • Все пользователи по величине
  • Все пользователи по связанному правилу
  • Всего нарушений в соответствии с тактикой и правилом MITRE (эта диаграмма доступна, только если установлен IBM® QRadar Use Case Manager).
  • Самые серьезные нарушения
  • Все пользователи по числу нарушений
  • Индикатор уровня величины

Данные о нарушениях можно представить в формате круговой или горизонтальной столбчатой диаграммы. Чтобы переключить представление, щелкните по значку Просмотр диаграммы. Наведя указатель мыши на раздел, вы увидите больше сведений, например, что обозначает тот или иной цвет, а также процент правил, связанных с этим представлением. Выведите легенду для правил и и соответствующих им цветов, щелкнув по значку Показать легенду. Можно также переключить просмотр информации с формата графика на формат таблицы и наоборот, щелкнув по значку Просмотр таблицы на диаграммах Все регионы по интенсивности и Все регионы по связанным правилам.

Если вы хотите увидеть определенную информацию на одной из диаграмм, можно раскрыть детализированные данные в виде списка нарушений, связанных с выбранными вами расположением или пользователем. Раскройте детализированные данные, перейдя в раздел диаграммы для связанного списка нарушений. Например, вы можете захотеть увидеть больше информации о списке нарушений, связанных с пользователем и правилом, отраженным на горизонтальной столбчатой диаграмме. Чтобы увидеть эту информацию, переходите к разным уровням детализированных данных о нарушении для данного пользователя, а затем щелкните по нарушению, чтобы увидеть сведения в QRadar.

Наряду с диаграммами вы можете получить больше информация о нарушениях в IBM Cloud с помощью таблицы серьезных нарушений, и индикатора интенсивности. Самые серьезные нарушения перечислены в отдельной таблице, и, щелкнув по нарушению, можно получить больше сведений. Индикатор интенсивности показывает процент нарушений для каждого уровня интенсивности. Если навести указатель мыши на индикатор интенсивности, будет показана средняя интенсивность нарушения.

Для гарантии актуальности данных щелкните по Обновить в строке заголовка обзора. Также можно увидеть, когда вы в последний раз обновляли страницу.

Тенденции

Щелкнув по вкладке Тенденции, вы сможете увидеть тенденцию новых нарушений, произошедших за определенный период времени. Если повторно открыть вкладку, когда пройдет больше 5 минут, вкладка обновится автоматически. По умолчанию представлена временная шкала нарушений за последние 24 часа. Также можно увидеть временную шкалу нарушений за последние 7 дней и за последние 30 дней. Показана только временная шкала новых нарушений.

Если вы хотите сохранить снимок создания нарушения в определенный момент времени, вы можете сохранить данные диаграммы. Диаграммы можно скачать в формате PNG через QRadar Cloud Visibility, что позволит вам сохранить эти изображения и поделиться ими с менеджерами и коллегами.

Чтобы вернуться в представление сводной панели, щелкните по вкладке Текущее состояние. Диапазон дат и времени, данные за который вы хотите просмотреть, можно выбрать на боковой панели Фильтры для страницы Тенденции.

Фильтры

В сводной панели Нарушения есть фильтры, чтобы вы смогли выбрать нарушения, которые хотите увидеть. Эти фильтры применяются ко всей сводной панели, а не к одной диаграмме, и зависят от того, какую облачную службу вы просматриваете. Откройте боковую панель Фильтры, щелкнув по значку фильтра (значок Фильтр) в верхней левой части страницы.

Тонкая настройка сводной панели Обзор нарушений Azure Cloud с помощью следующих фильтров:
Состояние нарушения
Выберите тип состояния, который вы хотите просмотреть в диаграммах обзора: все открытые, только активные или закрытые.
Начальная дата нарушения
Настройте диапазон дат, чтобы показать в диаграммах, когда нарушения были сначала обнаружены в QRadar Cloud Visibility.
Величины
Выберите величину нарушений, которые вы хотите увидеть на обзорных диаграммах. Выбранные вами величины также влияют на графики.
Типы источников журналов и источники журналов
Выберите типы источников журналов и конкретные источники журнала для нарушений, которые вы хотите просмотреть. Либо можно также выбрать все источники журнала для выбранного типа источника журнала.
Прим.: В QRadar Cloud Visibility V1.3.0 администраторы могут настроить, какие типы источников журналов и источники журналов способствуют сводной панели.
Пользователи
Выберите пользователя, связанного с нарушениями, которые вы хотите рассмотреть.
Группы правил и правила
Выберите группы или отдельные правила для нарушений, которые вы хотите просмотреть.
Прим.: Категория Другие содержит такие правила, как пользовательские правила и правила из различных пакетов содержимого. Если в сводной панели появляются незапланированные правила, рассмотрите возможность настройки правил.

Обзор Azure Offense

Рис. 1. Все пользователи по величине и по связанному правилу, а также общее число нарушений в соответствии с тактикой и правилом MITRE в Azure
Изображение диаграмм, показывающих пользователей в Azure Изображение диаграмм, показывающих пользователей для Azure
Рис. 2. Самые серьезные нарушения, пользователи по числу нарушений и индикатор уровня величины в Azure
Изображение диаграмм, которые показывают нарушения