Présentation des tableaux de bord

Les tableaux de bord SIEM Chronicle permettent d'afficher et d'analyser les données du SIEM Chronicle, y compris la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes et les IOC. Ces tableaux de bord sont basés sur les fonctionnalités de Looker.

La solution SIEM Chronicle fournit plusieurs tableaux de bord par défaut, décrits dans ce document. Vous pouvez également créer des tableaux de bord personnalisés.

Tableaux de bord par défaut

Pour accéder à la page Tableaux de bord, cliquez sur Tableaux de bord dans le panneau de navigation de gauche.

Les tableaux de bord par défaut contiennent des visualisations prédéfinies des données stockées dans votre instance SIEM Chronicle. Ces tableaux de bord sont conçus pour un cas d'utilisation spécifique, par exemple pour comprendre l'état du système d'ingestion de données du SIEM Chronicle ou pour surveiller l'état des menaces dans votre entreprise.

Chaque tableau de bord par défaut inclut un filtre de période qui vous permet d'afficher les données d'une période spécifique. Cela peut être utile pour résoudre des problèmes ou identifier des tendances. Par exemple, vous pouvez utiliser le filtre pour afficher les données de la semaine passée ou sur une période spécifique.

Les tableaux de bord par défaut ne peuvent pas être modifiés. Vous pouvez créer une copie d'un tableau de bord par défaut, puis le modifier pour l'adapter à un cas d'utilisation spécifique.

Le SIEM Chronicle fournit les tableaux de bord par défaut suivants:

Tableau de bord principal

Le tableau de bord principal affiche des informations sur l'état du système d'ingestion de données SIEM Chronicle. Il inclut également une carte mondiale mettant en évidence l'emplacement géographique des centres de données géographiques détectés dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord principal:

  • Événements ingérés: nombre total d'événements ingérés.
  • Débit: volume de données ingéré pendant une période spécifique.
  • Alertes: nombre total d'alertes générées.
  • Événements au fil du temps: graphique à colonnes qui affiche les événements qui se sont produits au cours d'une période donnée.
  • Carte globale des menaces – Correspondances d'adresse IP IOC: emplacement à partir duquel les événements de mise en correspondance IOC se sont produits.

Tableau de bord de présentation de Cloud Detection and Response

Le tableau de bord Cloud Detection and Response vous aide à surveiller l'état de sécurité de votre environnement cloud et à enquêter sur les menaces potentielles. Le tableau de bord présente des visualisations qui vous aident à comprendre le volume de sources de données, de jeux de règles, d'alertes et d'autres informations.

Le filtre Durée vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par type de journal Google Cloud.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation de la détection et de la réponse du cloud:

  • CDIR Rulesets Enabled (Ensembles de règles CDIR activés) : affiche le pourcentage d'ensembles de règles SIEM Chronicle activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI pour les utilisateurs de la solution SIEM Chronicle. GCTI fournit plusieurs règles préparées prêtes à l'emploi. Vous pouvez activer ou désactiver ces jeux de règles.

  • Sources de données GCP couvertes: affiche le pourcentage de sources de données couvertes, par rapport au nombre total de sources de données Google Cloud disponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'en envoyez que 20, la carte affiche 50%.

  • CDIR Alerts (Alertes CDIR) : affiche le nombre d'alertes générées par les règles de vos ensembles de règles GCTI ou de vos menaces cloud. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Recent Alerts (Alertes récentes) : affiche les alertes récentes, ainsi que leur gravité et leur score de risque. Vous pouvez trier la table à l'aide de la colonne Heure de l'horodatage de l'événement et accéder à chaque alerte pour en savoir plus. Il fournit le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés par des ensembles de règles de détection sélectionnés par GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Alertes par gravité au fil du temps: affiche le nombre total d'alertes par gravité, tendances au fil du temps. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Couverture de la détection: fournit des informations sur les ensembles de règles SIEM Chronicle, leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours d'affichage de ces données.

  • Couverture des données cloud: fournit des informations sur tous les services Google Cloud disponibles, les analyseurs qui couvrent chaque service, la première occurrence et le dernier événement vu, ainsi que le débit total.

Pour en savoir plus sur les jeux de règles CDIR, consultez la page Présentation des catégories de menaces cloud.

Le tableau est suivi de graphiques de tous les services Google Cloud et des données associées, qui montrent leur tendance d'ingestion sur les intervalles de temps suivants:

  • Last 24 hours
  • 30 derniers jours
  • 6 derniers mois

Détections contextuelles – Tableau de bord des risques

Le tableau de bord Détections contextuelles – Risques fournit des informations sur l'état actuel des menaces qui pèsent sur les éléments et les utilisateurs de votre entreprise. Elle est construite à l'aide des champs de l'interface d'exploration Rule Detection.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour obtenir un exemple, consultez la section Syntaxe de la section Résultat. Dans chaque panneau, les données sont triées en fonction de leur gravité, puis le score de risque pour identifier les utilisateurs et les ressources les plus à risque.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Context Aware Detections - Risk:

  • Assets and Devices at Risk (Éléments et appareils à risque) : ce tableau présente les 10 principaux éléments en fonction de la gravité de la règle définie dans Meta > Severity (Méta> > Gravité). Consultez la section Syntaxe de la section Meta. Les niveaux de gravité sont Très élevé, Critique, Élevé, Grand, Moyen et Faible. Si la valeur du nom d'hôte n'est pas présente dans l'enregistrement, l'adresse IP est affichée.
  • Utilisateurs à risque: répertorie les 10 principaux utilisateurs en fonction de leur gravité. Les niveaux de gravité sont Très élevé, Critique, Élevé, Grand, Moyen et Faible. Si la valeur du nom d'utilisateur ne figure pas dans l'enregistrement, l'ID de l'adresse e-mail est affiché.
  • Risque cumulé: pour chaque date, affiche le score de risque agrégé total.
  • Detection Results (Résultats de la détection) : affiche les détails des détections renvoyées par les règles du moteur de détection. Le tableau inclut le nom de la règle, l'ID de détection, le score de risque et la gravité.

Tableau de bord "Ingestion de données et état"

Le tableau de bord Ingestion et état des données fournit des informations sur le type, le volume et l'état des données ingérées dans votre locataire SIEM Chronicle. Vous pouvez utiliser ce tableau de bord pour surveiller les anomalies dans votre environnement. L'image suivante

Ce tableau de bord présente des visualisations qui vous aident à comprendre le volume de journaux ingérés, les erreurs d'ingestion et d'autres informations.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et état des données:

  • Nombre d'événements ingérés: nombre total d'événements ingérés.
  • Nombre d'erreurs d'ingestion: nombre total d'erreurs rencontrées lors de l'ingestion.
  • Distribution des types de journaux par nombre d'événements: affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
  • Distribution des types de journaux par débit: affiche la distribution des types de journaux en fonction du débit.
  • Ingestion - Événements par état: affiche le nombre d'événements en fonction de leur état.
  • Ingestion - Events by Log Type (Ingestion - Événements par type de journal) : affiche le nombre d'événements en fonction de leur état et de leur type de journal.
  • Événements récemment ingérés: affiche les événements récemment ingérés pour chaque type de journal.
  • Daily Log Information (Informations de journal quotidiennes) : affiche le nombre de journaux par jour pour chaque type de journal.
  • Nombre d'événements et taille: compare le nombre et la taille des événements sur une période donnée.
  • Débit d'ingestion: affiche le débit d'ingestion sur une période donnée.

Tableau de bord des matchs IOC

Le tableau de bord des correspondances de l'indicateur de compromission (IOC) offre une visibilité sur les indicateurs de compromission présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Correspondances CIO:

  • Correspondances IOC au fil du temps par catégorie: affiche le nombre de correspondances IOC en fonction de leur catégorie.
  • 10 indicateurs IOC principaux des domaines: répertorie les 10 indicateurs IOC principaux des domaines ainsi que leur nombre.
  • 10 principaux indicateurs IOC d'adresse IP: répertorie les 10 principaux indicateurs IOC d'adresse IP ainsi que le nombre d'indicateurs.
  • Top 10 Assets by IOC Correspondances (Les 10 principaux éléments par correspondances IOC) : ce tableau présente les 10 premiers éléments par correspondance IOC et le nombre d'éléments.
  • 10 premières correspondances IOC par catégorie, type et nombre: répertorie les 10 premières correspondances IOC par catégorie et par type, ainsi que leur nombre.
  • 10 principales valeurs IOC: répertorie les 10 principales valeurs IOC ainsi que le nombre total.
  • Top 10 Rarely Seen Values (10 premières valeurs rarement vues) : répertorie les 10 correspondances IOC les plus rares ainsi que leur nombre.

Tableau de bord des détections de règles

Le tableau de bord Rule Detections (Détection de règles) fournit des informations sur les détections renvoyées par les règles du moteur de détection. Pour recevoir des détections, vous devez activer les règles. Pour en savoir plus, consultez la section Exécuter une règle sur des données actives.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Rule Detections (Détection de règles) :

  • Détection de règles au fil du temps: affiche le nombre de détections de règles sur une période donnée.
  • Détection de règles par gravité: affiche la gravité des détections de règles.
  • Détection de règles par gravité au fil du temps: affiche le nombre quotidien de détections par gravité au fil du temps.
  • 10 principaux noms de règles par détections: répertorie les 10 règles principales renvoyant le plus grand nombre de détections.
  • Détection de règles par nom au fil du temps: affiche les règles qui ont renvoyé des détections chaque jour et le nombre de détections renvoyées.
  • 10 principaux utilisateurs par détection de règles: liste les 10 principaux identifiants utilisateur qui sont apparus dans les événements ayant déclenché des détections.
  • 10 principaux noms d'éléments par détection de règles: liste les 10 principaux noms d'éléments qui sont apparus dans les événements ayant déclenché des détections, tels que le nom d'hôte.
  • 10 principales adresses IP par détection de règles: liste les 10 principales adresses IP qui sont apparues dans les événements ayant déclenché des détections.

Tableau de bord "Vue d'ensemble de la connexion utilisateur"

Le tableau de bord Vue d'ensemble de la connexion des utilisateurs fournit des informations sur les utilisateurs qui se connectent à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'accès à votre entreprise par des acteurs malveillants.

Par exemple, vous pouvez constater qu'un utilisateur particulier a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder de manière répétée à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord User Sign In Overview (Vue d'ensemble de la connexion des utilisateurs) :

  • Nombre de connexions réussies: nombre total de connexions réussies.
  • Nombre d'échecs de connexion: nombre total d'échecs de connexion.
  • Connexions par état: affiche la répartition des connexions ayant réussi et échoué.
  • Sign Ins by Status Over Time (Connexions par état dans le temps) : affiche la répartition des connexions ayant réussi et échoué sur la période.
  • Top 10 Applications by Sign-Ins (Les 10 principales applications par connexion) : affiche la répartition des 10 applications les plus fréquentes en fonction du nombre de connexions.
  • Connexions par application: indique le nombre d'états de connexion pour chaque application. Le nombre de chaque application est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types d'événements énumérés.
  • 10 premiers pays par nombre de connexions: affiche le nombre des 10 principaux pays depuis lesquels les utilisateurs se sont connectés.
  • Connexions par pays: affiche le nombre total de pays à partir desquels les utilisateurs se sont connectés.
  • 10 principales adresses IP de connexion par adresse IP: affiche les 10 principales adresses IP à partir desquelles les utilisateurs se sont connectés.
  • La carte des emplacements de connexion affiche les emplacements des adresses IP à partir desquelles les utilisateurs se sont connectés.
  • 10 principaux utilisateurs par état de connexion: affiche le nombre d'utilisateurs présentant l'état de connexion. Le nombre de chaque application est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types d'événements énumérés.

Étapes suivantes