Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los paneles

Compatible con:

Google SecOps SIEM

Los paneles de SIEM de Google Security Operations se pueden usar para ver y analizar los datos del SIEM de Google Security Operations, incluida la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IOC. Estos paneles se basan en las funciones de Looker.

Google Security Operations SIEM te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en la barra de navegación izquierda.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos de SIEM de Operaciones de seguridad de Google o supervisar el estado de las amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de período que te permite ver los datos de un período específico. Esto puede ser útil cuando se solucionan problemas o se identifican tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la semana anterior o de un período específico.

Google Security Operations SIEM proporciona los siguientes paneles predeterminados:

Principal
Detección y respuesta en la nube
Detección adaptada al contexto: riesgo
Transferencia de datos y estado
Coincidencias de IOC
Detección de reglas
Descripción general del acceso de los usuarios

Panel principal

El panel Principal muestra información sobre el estado del sistema de transferencia de datos del SIEM de Google Security Operations. También incluye un mapa global que destaca la ubicación geográfica de los IOC detectados en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Principal:

Eventos transferidos: Es la cantidad total de eventos transferidos.
Capacidad de procesamiento: Es el volumen de datos que se transfiere durante un período específico.
Alertas: Es la cantidad total de alertas que se produjeron.
Eventos a lo largo del tiempo: Es un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
Mapa de amenazas global: coincidencias de IP de IOC: Es la ubicación desde la que ocurrieron los eventos que coinciden con los IOC.

Panel de descripción general de la detección y respuesta de Cloud

El panel de Detección y respuesta en la nube te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por Google Cloud tipo de registro.

Puedes ver las siguientes visualizaciones en el panel Descripción general de la detección y respuesta en la nube:

CDIR Rulesets Enabled: Muestra el porcentaje de conjuntos de reglas de SIEM de Google Security Operations habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para los usuarios de SIEM de Google Security Operations. GCTI proporciona varias reglas seleccionadas y empaquetadas. Puedes habilitar o inhabilitar estos conjuntos de reglas.
Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas, del total de fuentes de datos Google Cloud disponibles. Por ejemplo, si puedes transferir datos con 40 tipos de registros, pero solo envías datos de 20, la tarjeta mostrará el 50%.
Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla con la columna Event Timestamp Time y navegar a cada alerta para obtener más información. Proporciona la cantidad de hallazgos de seguridad agregados que mejoró Security Command Center. Estos resultados de seguridad los generan conjuntos de reglas de detección seleccionados por GCTI y se clasifican por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas por gravedad a lo largo del tiempo: Muestra el total de alertas por gravedad y las tendencias a lo largo del tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de detección: Proporciona información sobre los conjuntos de reglas de SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de datos de Cloud: Proporciona información sobre todos los servicios Google Cloud disponibles, los analizadores que abarcan cada servicio, el evento que se vio por primera vez, el último evento que se vio y la capacidad de procesamiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría Amenazas en la nube.

Después de la tabla, se muestran gráficos de todos los servicios Google Cloud con sus datos asociados que muestran su tendencia de transferencia durante los siguientes intervalos de tiempo:

Últimas 24 horas
Últimos 30 días
Últimos seis meses

Detecciones contextuales: Panel de riesgo

El panel Detección consciente del contexto: Riesgo proporciona estadísticas sobre el estado de amenaza actual de los activos y los usuarios de tu empresa. Se compila con campos en la interfaz de exploración Detección de reglas.

Los valores de gravedad y puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se ordenan según la gravedad y, luego, según la puntuación de riesgo para identificar a los usuarios y los recursos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Detecciones basadas en el contexto: riesgo:

Recursos y dispositivos en riesgo: Muestra una lista de los 10 recursos principales según la gravedad con la que configuraste la regla en Meta > Gravedad. Consulta Sintaxis de la sección de metadatos. Los niveles de gravedad son Muy alto, Crítico, Alto, Grande, Mediano y Bajo. Si el valor del nombre de host no está presente en el registro, se muestra la dirección IP.
Usuarios en riesgo: Muestra una lista de los 10 usuarios principales según la gravedad. Los niveles de gravedad son Muy alto, Crítico, Alto, Grande, Mediano y Bajo. Si el valor del nombre de usuario no está presente en el registro, se mostrará el ID de correo electrónico.
Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo total agregada.
Resultados de detección: Muestra detalles sobre las detecciones que muestran las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Panel de transferencia de datos y estado

El panel Estado y transferencia de datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu inquilino de SIEM de Google Security Operations. Puedes usar este panel para supervisar si hay anomalías en tu entorno.

Este panel proporciona visualizaciones que te ayudan a comprender el volumen de registros transferidos, los errores de transferencia y otra información relevante. Los datos del panel se actualizan cada 15 minutos, por lo que es posible que debas esperar hasta 15 minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Data Ingestion and Health:

Recuento de eventos transferidos: Es la cantidad total de eventos transferidos.
Cantidad de errores de transferencia: Es la cantidad total de errores que se encontraron durante la transferencia.
Cantidad de errores de análisis: Es la cantidad total de errores que se encontraron durante el análisis.
Cantidad de errores de validación: Es la cantidad total de errores encontrados durante la validación.
Cantidad total de errores: Es la cantidad total de errores encontrados.
Distribución de tipos de registro por recuento de eventos: Muestra la distribución de los tipos de registro según la cantidad de eventos de cada tipo de registro.
Distribución de tipos de registro por capacidad de procesamiento: Muestra la distribución de los tipos de registro según la capacidad de procesamiento.
Transferencia: Eventos por estado: Muestra la cantidad de eventos según su estado.
Transferencia: Eventos por tipo de registro: Muestra la cantidad de eventos según su estado y tipo de registro.
Eventos transferidos recientemente: Muestra los eventos transferidos recientemente para cada tipo de registro.
Información de registro diario: Muestra la cantidad de registros de un día para cada tipo de registro.
Recuento de eventos en comparación con el tamaño: Compara el recuento y el tamaño de los eventos durante un período.
Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.

Panel de coincidencias de IOC

El panel Coincidencias de indicadores de compromiso (IOC) proporciona visibilidad sobre los IOC presentes en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Partidos de IOC:

IOC Matches Over Time by Category: Muestra la cantidad de coincidencias de IOC según su categoría.
Top 10 Domains IOC indicators: Muestra una lista de los 10 indicadores de IOC de dominio principales junto con el recuento.
Top 10 indicadores de IOC de IP: Muestra una lista de los 10 indicadores de IOC de direcciones IP principales junto con el recuento.
Top 10 recursos por coincidencias de IOC: Muestra los 10 recursos más populares por coincidencias de IOC junto con el recuento.
Top 10 IOC matches by Category, Type, and Count: Muestra las 10 coincidencias de IOC más importantes por categoría, tipo y recuento.
Top 10 IOC Values: Muestra una lista de los 10 valores de IOC principales junto con el recuento.
Top 10 valores poco frecuentes: Muestra las 10 coincidencias de IOC que ocurren con menos frecuencia, junto con el recuento.

Las visualizaciones de Partidos de IOC incluyen el Filtro de marca de tiempo del evento en Campos solo de filtro.

Panel de detecciones de reglas

El panel Detección de reglas proporciona estadísticas sobre las detecciones que muestran las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Cómo ejecutar una regla en datos en vivo.

Puedes ver las siguientes visualizaciones en el panel Detección de reglas:

Detección de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas durante un período.
Detección de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
Detección de reglas por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad a lo largo del tiempo.
Top 10 Rule Names by Detections: Muestra una lista de las 10 reglas principales que muestran la mayor cantidad de detecciones.
Detección de reglas por nombre a lo largo del tiempo: Muestra las reglas que generaron detecciones cada día y la cantidad de detecciones que se generaron.
10 usuarios principales por detecciones de reglas: Muestra una lista de los 10 identificadores de usuario principales que aparecieron en los eventos que activaron las detecciones.
Top 10 Asset Names by Rule Detections: Muestra una lista de los 10 nombres de activos principales que aparecieron en los eventos que activaron detecciones, como el nombre de host.
Top 10 IPs por detecciones de reglas: Muestra las 10 direcciones IP principales que aparecieron en los eventos que activaron las detecciones.

El panel Resumen de accesos de los usuarios proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de personas malintencionadas de acceder a tu empresa.

Por ejemplo, es posible que descubras que un usuario en particular intentó acceder a tu empresa desde un país en el que no tienes una oficina o que un usuario específico parece acceder de forma reiterada a una aplicación de contabilidad.

Puedes ver las siguientes visualizaciones en el panel Descripción general de accesos de los usuarios:

Cantidad de accesos correctos: Es la cantidad total de accesos correctos.
Cantidad de accesos fallidos: Es la cantidad total de accesos fallidos.
Accesos por estado: Muestra la división de los accesos correctos y fallidos.
Accesos por estado a lo largo del tiempo: Muestra la división de accesos exitosos y fallidos durante el período.
Top 10 de aplicaciones por accesos: Muestra la división de las 10 aplicaciones frecuentes principales según la cantidad de accesos.
Accesos por aplicación: Muestra el recuento del estado de acceso de cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.
Top 10 países por accesos: Muestra el recuento de los 10 países principales desde los que los usuarios accedieron.
Accesos por país: Muestra el recuento de todos los países desde los que los usuarios accedieron.
Top 10 accesos por IP: Muestra las 10 direcciones IP principales desde las que los usuarios accedieron.
Mapa de ubicaciones de acceso: Muestra las ubicaciones de las direcciones IP desde las que los usuarios accedieron.
10 usuarios principales por estado de acceso: Muestra el recuento del estado de acceso de cada usuario. El recuento de cada aplicación se propaga en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.

¿Qué sigue?

Obtén información para crear un panel personalizado.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.