Ringkasan dasbor

Didukung di:

Dasbor SIEM Google Security Operations dapat digunakan untuk melihat dan menganalisis data di SIEM Google Security Operations, termasuk telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, dan IOC. Dasbor ini dibuat berdasarkan kemampuan Looker.

Google Security Operations SIEM menyediakan beberapa dasbor default, yang dijelaskan dalam dokumen ini. Anda juga dapat membuat dasbor kustom.

Dasbor default

Untuk membuka halaman Dasbor, klik Dasbor di navigasi sebelah kiri.

Dasbor default berisi visualisasi data standar yang disimpan dalam instance SIEM Google Security Operations Anda. Dasbor ini dirancang untuk kasus penggunaan tertentu, seperti memahami status sistem penyerapan data SIEM Google Security Operations atau memantau status ancaman di perusahaan Anda.

Setiap dasbor default menyertakan filter rentang waktu yang memungkinkan Anda melihat data untuk jangka waktu tertentu. Hal ini dapat membantu saat memecahkan masalah atau mengidentifikasi tren. Misalnya, Anda dapat menggunakan filter untuk melihat data selama seminggu terakhir atau selama rentang waktu tertentu.

Google Security Operations SIEM menyediakan dasbor default berikut:

Dasbor utama

Dasbor Utama menampilkan informasi tentang status sistem penyerapan data SIEM Google Security Operations. Laporan ini juga menyertakan peta global yang menandai lokasi geografis IOC yang terdeteksi dalam perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor Utama:

  • Peristiwa yang Diserap: jumlah total peristiwa yang diserap.
  • Throughput: volume data yang diserap selama waktu tertentu.
  • Notifikasi: jumlah total notifikasi yang terjadi.
  • Peristiwa dari Waktu ke Waktu: diagram kolom yang menampilkan peristiwa yang terjadi selama jangka waktu tertentu.
  • Peta Ancaman Global - Kecocokan IP IOC: lokasi tempat peristiwa pencocokan IOC terjadi.

Dasbor Ringkasan Deteksi dan Respons Cloud

Dasbor Cloud Detection and Response membantu Anda memantau status keamanan lingkungan cloud dan menyelidiki potensi ancaman. Dasbor menampilkan visualisasi yang membantu Anda memahami volume sumber data, kumpulan aturan, pemberitahuan, dan informasi lainnya.

Filter Waktu memungkinkan Anda memfilter data menurut jangka waktu.

Filter Jenis Log GCP memungkinkan Anda memfilter data menurut Google Cloud jenis log.

Anda dapat melihat visualisasi berikut di dasbor Ringkasan Deteksi dan Respons Cloud:

  • Kumpulan Aturan CDIR Diaktifkan: menampilkan persentase kumpulan aturan SIEM Google Security Operations yang diaktifkan untuk lingkungan cloud Anda dari total kumpulan aturan yang disediakan oleh GCTI untuk pengguna SIEM Google Security Operations. GCTI menyediakan beberapa aturan pilihan yang dikemas sebelumnya. Anda dapat mengaktifkan atau menonaktifkan kumpulan aturan ini.

  • Sumber Data GCP yang Dicakup: menampilkan persentase sumber data yang dicakup, dari total Google Cloud sumber data yang tersedia. Misalnya, jika Anda dapat menyerap data menggunakan 40 jenis log, tetapi hanya mengirim data untuk 20 jenis log, kartu akan menampilkan 50%.

  • Pemberitahuan CDIR: menampilkan jumlah pemberitahuan yang dimunculkan dari aturan dalam kumpulan aturan GCTI atau ancaman Cloud Anda. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.

  • Peringatan Terbaru: menampilkan peringatan terbaru dengan tingkat keparahan dan skor risikonya. Anda dapat mengurutkan tabel menggunakan kolom Waktu Stempel Waktu Peristiwa dan membuka setiap pemberitahuan untuk mengetahui informasi selengkapnya. Laporan ini memberikan jumlah temuan keamanan agregat yang ditingkatkan oleh Security Command Center. Temuan keamanan ini dihasilkan oleh kumpulan aturan deteksi pilihan GCTI dan dikategorikan menurut jenis temuan. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari yang datanya ditampilkan.

  • Notifikasi menurut Tingkat Keparahan dari Waktu ke Waktu: menampilkan total notifikasi menurut tingkat keparahan, yang sedang trending dari waktu ke waktu. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari yang datanya ditampilkan.

  • Cakupan Deteksi: memberikan informasi tentang kumpulan aturan SIEM Google Security Operations dan statusnya, total deteksi, serta tanggal deteksi terbaru. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari yang datanya ditampilkan.

  • Cakupan Data Cloud: memberikan informasi tentang semua layanan Google Cloud yang tersedia, parser yang mencakup setiap layanan, peristiwa pertama kali dilihat, peristiwa terakhir kali dilihat, dan total throughput.

Untuk mengetahui informasi selengkapnya tentang kumpulan aturan CDIR, lihat Ringkasan Kategori Ancaman Cloud.

Tabel ini diikuti dengan grafik semua layanan Google Cloud beserta data terkaitnya yang menunjukkan tren penyerapannya selama interval waktu berikut:

  • 24 jam terakhir
  • 30 hari terakhir
  • Enam bulan terakhir

Deteksi Kontekstual - Dasbor risiko

Dasbor Deteksi Kontekstual - Risiko memberikan insight tentang status ancaman saat ini dari aset dan pengguna di perusahaan Anda. Aturan ini dibuat menggunakan kolom di antarmuka eksplorasi Deteksi Aturan.

Nilai tingkat keparahan dan skor risiko adalah variabel yang ditentukan dalam setiap aturan. Sebagai contoh, lihat Sintaksis bagian hasil. Di setiap panel, data diurutkan berdasarkan tingkat keparahan, lalu skor risiko untuk mengidentifikasi pengguna dan aset yang paling berisiko.

Anda dapat melihat visualisasi berikut di dasbor Deteksi Berbasis Konteks - Risiko:

  • Aset dan Perangkat yang Berisiko: mencantumkan 10 aset teratas berdasarkan tingkat keparahan yang Anda tetapkan aturannya di Meta > Keparahan. Lihat Sintaksis bagian Meta. Tingkat keparahannya adalah Super Tinggi, Penting, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama host tidak ada dalam data, nilai tersebut akan menampilkan alamat IP.
  • Pengguna yang Berisiko: mencantumkan 10 pengguna teratas berdasarkan tingkat keparahan. Tingkat keseriusan adalah Super Tinggi, Penting, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama pengguna tidak ada dalam data, nilai tersebut akan menampilkan ID email.
  • Aggregate Risk: untuk setiap tanggal, menampilkan total skor risiko gabungan.
  • Detection Results: menampilkan detail tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Tabel ini mencakup nama aturan, ID deteksi, skor risiko, dan tingkat keparahan.

Dasbor Penyerapan dan Kesehatan Data

Dasbor Penyerapan dan Kondisi Data memberikan informasi tentang jenis, volume, dan kondisi data yang diserap ke tenant SIEM Google Security Operations Anda. Anda dapat menggunakan dasbor ini untuk memantau anomali di lingkungan Anda.

Dasbor ini menyediakan visualisasi yang membantu Anda memahami volume log yang ditransfer, error transfer, dan informasi relevan lainnya. Data di dasbor diperbarui setiap 15 menit, jadi Anda mungkin perlu menunggu hingga 15 menit untuk melihat informasi terbaru.

Anda dapat melihat visualisasi berikut di dasbor Penyerapan dan Kesehatan Data:

  • Jumlah Peristiwa yang Ditransfer: jumlah total peristiwa yang ditransfer.
  • Jumlah Error Proses Transfer: jumlah total error yang terjadi selama proses transfer.
  • Jumlah Error Mengurai: jumlah total error yang ditemukan selama penguraian.
  • Jumlah Error Validasi: jumlah total error yang ditemukan selama validasi.
  • Total Jumlah Error: jumlah total error yang terjadi.
  • Distribusi Jenis Log menurut Jumlah Peristiwa: menampilkan distribusi jenis log berdasarkan jumlah peristiwa untuk setiap jenis log.
  • Distribusi Jenis Log menurut Throughput: menampilkan distribusi jenis log berdasarkan throughput.
  • Penyerapan - Peristiwa menurut Status: menampilkan jumlah peristiwa berdasarkan statusnya.
  • Penyerapan - Peristiwa menurut Jenis Log: menampilkan jumlah peristiwa berdasarkan status dan jenis lognya.
  • Peristiwa yang Baru Ditransfer: menampilkan peristiwa yang baru ditransfer untuk setiap jenis log.
  • Informasi Log Harian: menampilkan jumlah log untuk satu hari untuk setiap jenis log.
  • Jumlah peristiwa vs. Ukuran: membandingkan jumlah dan ukuran peristiwa selama jangka waktu tertentu.
  • Throughput Proses Transfer: menampilkan throughput proses transfer selama jangka waktu tertentu.

Dasbor Kecocokan IOC

Dasbor Kecocokan Indikator Gangguan (IOC) memberikan visibilitas ke IOC yang ada di perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor IOC Matches:

  • IOC Matches Over Time by Category: menampilkan jumlah IOC match berdasarkan kategorinya.
  • 10 Indikator IOC Domain Teratas: mencantumkan 10 indikator IOC domain teratas beserta jumlahnya.
  • 10 Indikator IOC IP Teratas: mencantumkan 10 indikator IOC alamat IP teratas beserta jumlahnya.
  • 10 Aset Teratas menurut Kecocokan IOC: mencantumkan 10 aset teratas menurut kecocokan IOC beserta jumlahnya.
  • 10 pencocokan IOC teratas menurut Kategori, Jenis, dan Jumlah: mencantumkan 10 pencocokan IOC teratas menurut kategori, jenis, dan jumlah.
  • 10 Nilai IOC Teratas: mencantumkan 10 nilai IOC teratas bersama dengan jumlahnya.
  • 10 Nilai Teratas yang Jarang Dilihat: mencantumkan 10 kecocokan IOC teratas yang jarang terjadi beserta jumlahnya.

Visualisasi IOC Matches menyertakan Event Timestamp Filter di bagian Filter-only fields.

Dasbor Deteksi Aturan

Dasbor Deteksi Aturan memberikan insight tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Untuk menerima deteksi, Anda harus mengaktifkan aturan. Untuk mengetahui informasi selengkapnya, lihat Menjalankan aturan terhadap data langsung.

Anda dapat melihat visualisasi berikut di dasbor Deteksi Aturan:

  • Deteksi Aturan dari Waktu ke Waktu: menampilkan jumlah deteksi aturan selama jangka waktu tertentu.
  • Deteksi Aturan menurut Tingkat Keparahan: menampilkan tingkat keparahan deteksi aturan.
  • Deteksi Aturan menurut Tingkat Keparahan dari Waktu ke Waktu: menampilkan jumlah harian deteksi menurut tingkat keparahan dari waktu ke waktu.
  • 10 Nama Aturan Teratas berdasarkan Deteksi: mencantumkan 10 aturan teratas yang menampilkan jumlah deteksi terbesar.
  • Deteksi Aturan menurut Nama dari Waktu ke Waktu: menampilkan aturan yang menampilkan deteksi setiap hari dan jumlah deteksi yang ditampilkan.
  • 10 Pengguna Teratas menurut Deteksi Aturan: mencantumkan 10 ID pengguna teratas yang muncul dalam peristiwa yang memicu deteksi.
  • 10 Nama Aset Teratas menurut Deteksi Aturan: mencantumkan 10 nama aset teratas yang muncul dalam peristiwa yang memicu deteksi, seperti nama host.
  • 10 IP Teratas menurut Deteksi Aturan: mencantumkan 10 alamat IP teratas yang muncul dalam peristiwa yang memicu deteksi.

Dasbor Ringkasan Login Pengguna

Dasbor Ringkasan Login Pengguna memberikan insight tentang pengguna yang login ke perusahaan Anda. Informasi ini dapat berguna untuk melacak upaya pelaku berbahaya untuk mengakses perusahaan Anda.

Misalnya, Anda mungkin mendapati bahwa pengguna tertentu telah mencoba mengakses perusahaan Anda dari negara tempat Anda tidak memiliki kantor atau pengguna tertentu tampaknya berulang kali mengakses aplikasi akuntansi.

Anda dapat melihat visualisasi berikut di dasbor Ringkasan Login Pengguna:

  • Jumlah Login yang Berhasil: jumlah total login yang berhasil.
  • Jumlah Login Gagal: jumlah total login yang gagal.
  • Login Menurut Status: menampilkan pemisahan login yang berhasil dan gagal.
  • Login menurut Status dari Waktu ke Waktu: menampilkan pemisahan login yang berhasil dan gagal selama rentang waktu.
  • 10 Aplikasi Teratas Berdasarkan Login: menampilkan pemisahan 10 aplikasi yang paling sering digunakan berdasarkan jumlah login.
  • Login Menurut Aplikasi: mencantumkan jumlah status login untuk setiap aplikasi. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis peristiwa yang dihitung.
  • 10 Negara Teratas menurut Login: menampilkan jumlah 10 negara teratas tempat pengguna login.
  • Login berdasarkan Negara: menampilkan jumlah semua negara tempat pengguna login.
  • 10 Login Teratas Menurut IP: menampilkan 10 alamat IP teratas tempat pengguna login.
  • Peta Lokasi Login: menampilkan lokasi alamat IP tempat pengguna login.
  • 10 Pengguna Teratas berdasarkan Status Login: menampilkan jumlah status login untuk setiap pengguna. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis peristiwa yang dihitung.

Langkah selanjutnya