ダッシュボードの概要

以下でサポートされています。

Google SecOpsSIEM

Google Security Operations SIEM ダッシュボードを使用すると、セキュリティテレメトリー、取り込み指標、検出、アラート、IOC などのデータを Google Security Operations SIEM で表示して分析できます。これらのダッシュボードは、Looker の機能の上に構築されています。

Google Security Operations SIEM には、このドキュメントで説明する複数のデフォルトのダッシュボードが用意されています。カスタムダッシュボードを作成することもできます

デフォルトのダッシュボード

[ダッシュボード] ページに移動するには、左側のナビゲーションで [ダッシュボード] をクリックします。

デフォルトのダッシュボードには、Google Security Operations SIEM インスタンスに格納されているデータの事前定義された可視化が含まれています。これらのダッシュボードは、Google Security Operations SIEM データ取り込みシステムの状態の把握や、企業内の脅威のステータスのモニタリングなど、特定のユースケースに合わせて設計されています。

デフォルトのダッシュボードには、特定の期間のデータを表示できる時間範囲フィルタが含まれています。これは、問題のトラブルシューティングや傾向の特定に役立ちます。たとえば、このフィルタを使用して、過去 1 週間または特定の期間のデータを表示できます。

デフォルトのダッシュボードは変更できません。デフォルトのダッシュボードのコピーを作成して、新しいダッシュボードを特定のユースケースに対応するように変更できます。

Google Security Operations SIEM には、次のデフォルトのダッシュボードが用意されています。

メイン
ダッシュボードをプレビュー
Cloud Detection と Response
コンテキストアウェア検出 - リスク
[Data Ingestion and Health]
[IOC Matches]
Rule Detections
ユーザーログインの概要

[Main] ダッシュボード

[メイン] ダッシュボードには、Google Security Operations SIEM のデータ取り込みシステムのステータスに関する情報が表示されます。また、企業内で検出された IOC の地理的位置を強調したグローバルマップも含まれます。

[メイン] ダッシュボードには、次の内容を可視化して表示できます。

取り込まれたイベント数: 取り込まれたイベントの合計数。
スループット: 特定の時間に取り込まれるデータの量。
アラート: 発生したアラートの合計数。
イベント数の推移: 特定の期間に発生したイベントを表示する縦棒グラフ。
グローバル脅威マップ - IOC IP 一致: IOC 一致イベントが発生した場所。

ダッシュボードをプレビュー

Google Security Operations のプレビューダッシュボード機能を使用すると、さまざまなデータソースにわたる可視化を構築できます。Google Security Operations ダッシュボードは、YARA-L 2.0 を使用して入力されるさまざまなグラフで構成されています。

Google Security Operations プレビュー版ダッシュボードのデータソース

プレビュー版ダッシュボードでは、次の YARA-L 接頭辞を持つ次のデータソースを使用できます。

Google Security Operations プレビューダッシュボードの YARA-L 2.0 構文

YARA-L 2.0 には、プレビューダッシュボードで使用する場合の次のような独自のプロパティがあります。

エンティティグラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースは、YARA-L ルールと UDM 検索ではまだ使用できません。
Google Security Operations プレビュー版ダッシュボードでは、YARA-L 構文が使用されます。詳細については、Google Security Operations プレビューダッシュボードの YARA-L 2.0 関数と、統計指標を含む集計関数をご覧ください。UDM 検索（principal.hostname = "john" など）は、Google Security Operations プレビューダッシュボードでは機能しません。
YARA-L ルールのイベントセクションは暗黙的に存在するため、クエリで宣言する必要はありません。
YARA-L ルールの条件セクションは、ダッシュボードでは使用されません。

Google Security Operations プレビュー版ダッシュボードの使用を開始する

新しいダッシュボードを作成する

新しいダッシュボードを作成するには、次の操作を行います。

[プレビューダッシュボード] ページで、[ダッシュボードを作成] をクリックします。[ダッシュボードの作成] ウィンドウが表示されます。
バケットの [名前] と [説明] を入力します。
[既存のダッシュボードで開始] リストで、[空のダッシュボード] を選択します。既存のダッシュボードをコピーして作成することもできます。
ダッシュボードのアクセス権を限定公開または共有に設定します。限定公開ダッシュボードは作成したユーザーのみが利用できますが、共有ダッシュボードは組織内のすべてのユーザーが利用できます。
[作成] をクリックして、新しいダッシュボードを作成します。

グラフを追加する

ダッシュボードは、YARA-L を使用してデータが入力されたグラフで構成されています。グラフをダッシュボードに追加する手順は次のとおりです。

[ダッシュボードの編集] ページで、[グラフを追加] をクリックします。
[検索] セクションで YARA-L クエリを入力して、データを探索、変換します。次の YARA-L クエリは、検出の日付と重大度レベルを取得し、重大度が不明なものを除外して、日付ごとの個別の検出数をカウントします。検出結果は日付の昇順で並べ替えられます。
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
指定した期間について、[絶対] または [相対] を選択します。
クエリを入力したら、[検索を実行] をクリックします。結果は表形式で表示されます（デフォルトのグラフタイプ）。
[グラフの詳細] で、グラフの名前を入力します。
表形式の検索結果のデータを棒グラフに変換するには、[グラフの種類] > [棒グラフ] を選択します。
[データ設定] で、X 軸と Y 軸のデータ型とフィールド値を入力します。サンプルの YARA-L ルールを基に作成するには、次の値を入力します。
- X 軸のフィールド: date
- Y 軸のフィールド: detection_count
[軸のラベル] に、X 軸と Y 軸のラベルを入力します。
[グループ化] で [グループ化] を選択します。
[シリーズ] で、グループ化のフィールドを [重大度] に設定します。これにより、グラフが重大度別にグループ化されます。
結果を確認し、[ダッシュボードに追加] をクリックします。

フィルタを追加

フィルタを使用すると、特定のフィールドに基づいて使用可能なデータを変更できます。この変更は、クエリでそのフィールドを使用するグラフにのみ影響します。

フィルタを追加する手順は次のとおりです。

メインのダッシュボードページで、鉛筆アイコンをクリックしてダッシュボードを編集します。
[編集ダッシュボード] ページで、フィルタアイコンをクリックしてフィルタを追加します。
[フィルタを管理] ウィンドウで、プラスアイコンをクリックして新しいフィルタを構成します。
[フィルタするフィールド] フィールドに、データをフィルタするフィールドを入力します。例: detection.collection_elements.references.event.principal.hostname
[フィルタ名] フィールドに、フィルタの名前を入力します。
[適用先フィールド] で、フィルタを適用するグラフを選択します。
省略可: フィルタのデフォルト値を設定します。
[完了] をクリックしてフィルタを追加し、[フィルタの管理] ウィンドウを閉じます。

フィルタを適用します。

グラフにフィルタを適用する手順は次のとおりです。

ダッシュボードビューで、フィルタアイコンをクリックしてダッシュボードフィルタを表示します。
[ダッシュボードフィルタ] ウィンドウで、作成したフィルタを選択します。
フィルタするフィールドの値を入力します。
[適用] をクリックします。フィルタが適用されたグラフが更新され、フィルタされた結果が反映されます。

グローバル時間フィルタを追加する

グローバル時間フィルタを適用して、すべてのグラフでデータを表示する期間を選択できます。グローバル時間フィルタは、すべてのグラフでデフォルトで使用でき、すべてのデータソースの時間を処理できます。個々のグラフで指定された期間内でのみフィルタリングする他の期間フィルタ（metadata.event_timestmap フィールドのフィルタの作成など）とは異なり、適用されたグローバル期間フィルタは、個々のグラフで選択された期間よりも優先されます。

グローバル時間フィルタを追加する手順は次のとおりです。

メインのダッシュボードページで、鉛筆アイコンをクリックしてダッシュボードを編集します。
[編集ダッシュボード] ページで、フィルタアイコンをクリックしてフィルタを追加します。
[フィルタを管理] ウィンドウで、フィルタリストから [グローバル時間フィルタ] を選択します。
切り替えボタンをクリックして、グローバルタイムフィルタが有効になっていることを確認します。
[適用先フィールド] で、グローバル時間フィルタを適用するグラフを選択します。
[デフォルト値の設定] フィールドで、データが表示される期間を絶対日時または相対日時で設定します。
[完了] をクリックしてフィルタを追加し、[フィルタの管理] ウィンドウを閉じます。

[Cloud での検出と対応の概要] ダッシュボード

[Cloud での検出と対応] ダッシュボードは、クラウド環境のセキュリティステータスをモニタリングし、潜在的な脅威を調査するのに役立ちます。ダッシュボードには、データソースの量、ルールセット、アラート、その他の情報を理解するのに役立つ可視化が表示されます。

[時間] フィルタを使用すると、期間でデータをフィルタできます。

[GCP ログタイプ] フィルタを使用すると、Google Cloud ログタイプでデータをフィルタリングできます。

[Cloud での検出と対応の概要] ダッシュボードには、次の内容を可視化して表示できます。

有効な CDIR ルールセット: Google Security Operations SIEM ユーザー向けに GCTI が提供する合計ルールセットのうち、クラウド環境で有効になっている Google Security Operations SIEM ルールセットの割合が表示されます。GCTI では、複数のパッケージ化されたキュレーションルールが提供されています。これらのルールセットを有効または無効にできます。
対象となる GCP データソース: 使用可能な Google Cloud データソース全体のうち、対象となるデータソースの割合が表示されます。たとえば、40 個のログタイプを使用してデータを取り込むことができるものの、20 個のデータのみを送信する場合、タイルには 50% と表示されます。
CDIR アラート: GCTI ルールセットまたは Cloud 脅威内のルールから発生したアラートの数を表示します。[時間] フィルタを使用して、このデータが表示される日数を設定できます。
最近のアラート: 最近のアラートを重大度とリスクスコアとともに表示します。[イベントタイムスタンプ時間] 列でテーブルを並べ替え、各アラートに移動して詳細情報を確認できます。この中には、Security Command Center によって強化されたセキュリティ機能による検出結果の集計数が表示されます。これらのセキュリティ検出結果は、GCTI のキュレートされた検出ルールセットによって生成され、検出結果のタイプごとに分類されます。[時間] フィルタを使用して、このデータが表示される日数を設定できます。
重大度別のアラートの推移: 重大度別のアラートの推移が時系列で表示されます。[時間] フィルタを使用して、このデータが表示される日数を設定できます。
検出範囲: Google Security Operations SIEM ルールセットとそれらのステータス、合計検出数、最新の検出日に関する情報を提供します。[時間] フィルタを使用して、このデータが表示される日数を設定できます。
Cloud Data カバレッジ: 使用可能なすべての Google Cloud サービス、各サービスをカバーするパーサー、最初に検知されたイベント、最後に検知されたイベント、および合計スループットに関する情報が表示されます。

CDIR ルールセットの詳細については、Cloud 脅威カテゴリの概要をご覧ください。

表の下には、次の期間にわたる取り込みの傾向を示す関連データとともに、すべての Google Cloud サービスのグラフが表示されます。

Last 24 hours
過去 30 日間
過去 6 か月間

[Context Aware Detections - Risk] ダッシュボード

[コンテキストアウェア検出 - リスク] ダッシュボードには、企業内のアセットとユーザーの現在の脅威ステータスに関する分析情報が表示されます。これは、ルール検出の探索インターフェースのフィールドを使用して構築されます。

重大度とリスクスコアの値は、各ルールで定義される変数です。例については、結果セクションの構文をご覧ください。各パネルでは、データが重大度に基づいて並べ替えられ、リスクスコアに基づいて最もリスクの高いユーザーとアセットが特定されます。

[コンテキストアウェア検出 - リスク] ダッシュボードには、次の内容を可視化して表示できます。

リスクのあるアセットとデバイス: [Meta] > [Severity] でルールを設定した重大度に基づいて、上位 10 件のアセットが一覧表示されます。メタセクションの構文をご覧ください。重大度は「超巨大」、「重大」、「巨大」、「大」、「中」、「低」です。レコードにホスト名の値が存在しない場合は、IP アドレスが表示されます。
リスクのあるユーザー: 重大度に基づいて上位 10 人のユーザーが一覧表示されます。重大度は「超巨大」、「重大」、「巨大」、「大」、「中」、「低」です。レコードにユーザー名の値が存在しない場合は、メール ID が表示されます。
集計リスク: 日付ごとに、集計されたリスクスコアの合計が表示されます。
検出結果: 検出エンジンルールによって返された検出の詳細を表示します。テーブルには、ルール名、検出 ID、リスクスコア、重大度が含まれます。

[Data Ingestion and Health] ダッシュボード

[データの取り込みと健全性] ダッシュボードには、Google Security Operations SIEM テナントに取り込まれるデータの種類、ボリューム、健全性に関する情報が表示されます。このダッシュボードを使用して、環境内の異常をモニタリングできます。

このダッシュボードには、取り込まれたログの量、取り込みエラー、その他の関連情報を理解するのに役立つ可視化が表示されます。ダッシュボードのデータは 15 分ごとに更新されるため、最新の情報が表示されるまでに最大 15 分かかる場合があります。

[データの取り込みと健全性] ダッシュボードには、次の内容を可視化して表示できます。

取り込まれたイベント数: 取り込まれたイベントの合計数。
取り込みエラー数: 取り込み中に発生したエラーの合計数。
イベントタイプ別のログタイプの分布: 各ログタイプのイベント数に基づいてログタイプの分布が表示されます。
スループット別のログタイプの分布: スループットに基づいてログタイプの分布が表示されます。
取り込み - ステータス別のイベント: ステータスに基づいてイベントの数が表示されます。
取り込み - ログタイプ別のイベント: ステータスとログタイプに基づいてイベントの数が表示されます。
最近取り込まれたイベント: 各ログタイプの最近取り込まれたイベントが表示されます。
日次ログ情報: ログタイプごとに 1 日のログ数が表示されます。
イベント数とサイズ: 一定期間のイベント数とサイズを比較します。
取り込みスループット: 一定期間における取り込みスループットを表示します。

[IOC の一致数] ダッシュボード

[セキュリティ侵害インジケーター（IOC）の一致数] ダッシュボードには、企業内に存在する IOC が表示されます。

[IOC の一致数] ダッシュボードには、次の内容を可視化して表示できます。

カテゴリ別の IOC の一致数の推移: カテゴリに基づいて IOC の一致数が表示されます。
上位 10 個のドメインの IOC インジケーター: 上位 10 個のドメイン IOC インジケーターと数が表示されます。
上位 10 件の IP IOC インジケーター: 上位 10 件の IP アドレスの IOC インジケーターと数が表示されます。
IOC 一致による上位 10 個のアセット: IOC 一致による上位 10 個のアセットと数が表示されます。
カテゴリ、タイプ、カウント別の上位 10 個の IOC の一致: カテゴリ、タイプ、カウント別の上位 10 個の IOC の一致が一覧表示されます。
上位 10 件の IOC 値: 上位 10 件の IOC 値と数が表示されます。
まれに確認される上位 10 個の値: まれに発生する上位 10 件の IOC 一致と数が表示されます。

[ルール検出] ダッシュボード

[ルール検出] ダッシュボードには、検出エンジンルールによって返された検出結果に関する分析情報が表示されます。検出結果を受け取るには、ルールを有効にする必要があります。詳細については、ライブデータに対するルールの実行をご覧ください。

[ルール検出] ダッシュボードには、次の内容を可視化して表示できます。

時間の経過に伴うルール検出: 一定期間におけるルール検出数の推移を表示します。
重大度ごとのルール検出: ルール検出の重大度が表示されます。
重大度別のルール検出数の推移: 重大度別の 1 日の検出数の推移が表示されます。
検出に基づく上位 10 個のルール名: 最も多くの検出を返す上位 10 個のルールが一覧表示されます。
名前別のルール検出数の推移: 日ごとに検出結果を返したルールと、返された検出数が表示されます。
ルール検出による上位 10 人のユーザー: 検出をトリガーしたイベントに表示されている上位 10 人のユーザー ID が表示されます。
ルール検出に基づく上位 10 個のアセット名: 検出をトリガーしたイベント（ホスト名など）に表示された回数が上位 10 件のアセット名が一覧表示されます。
ルール検出に基づく上位 10 件の IP: 検出をトリガーしたイベントに表示されている上位 10 件の IP アドレスの表示数が一覧表示されます。

[ユーザーログインの概要] ダッシュボードでは、企業にログインしたユーザーに関する分析情報を確認できます。この情報は、悪意のある行為者による企業へのアクセス試行を追跡する際に活用できます。

たとえば、オフィスを開設していない国から特定のユーザーがご自身の企業にアクセスしようとしたことが確認された場合や、特定のユーザーが会計アプリケーションに繰り返しアクセスしているように思われる場合があります。

[ユーザーログインの概要] ダッシュボードには、次の内容を可視化して表示できます。

成功したログインの数: 成功したログインの合計数。
失敗したログインの数: 失敗したログインの合計数。
ステータス別のログイン数: 成功したログイン数と失敗したログイン数が分けて表示されます。
ステータス別のログイン数の推移: 一定期間における成功したログイン数と失敗したログイン数が分けて表示されます。
ログイン数に基づく上位 10 個のアプリケーション: ログイン数に基づいて、利用頻度の高いアプリケーションの上位 10 個が分けて表示されます。
アプリケーション別のログイン数: 各アプリケーションのログインステータスの数が一覧表示されます。各アプリケーションの数は、security_result.action フィールドで定義したログデータに基づいて入力されます。イベント列挙型をご覧ください。
ログイン数の上位 10 か国: ログインしたユーザーが存在する上位 10 か国のログイン数が表示されます。
国別のログイン数: ログインしたユーザーが存在するすべての国の数が表示されます。
上位 10 件の IP 別のログイン数: ユーザーのログイン元である、ログイン数が上位 10 件の IP アドレスが表示されます。
ログインロケーションマッピング: ユーザーのログイン元の IP アドレスのロケーションが表示されます。
ログインステータス別の上位 10 人のユーザー: 各ユーザーのログインステータスの数が表示されます。各アプリケーションの数は、security_result.action フィールドで定義したログデータに基づいて入力されます。イベント列挙型をご覧ください。

次のステップ

カスタムダッシュボードの作成方法を学習する