Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle dashboard

Supportato in:

Google SecOps SIEM

Le dashboard SIEM di Google Security Operations possono essere utilizzate per visualizzare e analizzare i dati in Google Security Operations SIEM, tra cui telemetria di sicurezza, metriche di importazione, rilevamenti, avvisi e indicatori di compromissione. Queste dashboard si basano sulle funzionalità di Looker.

Google Security Operations SIEM fornisce più dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nel riquadro di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati all'interno della tua istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dei dati SIEM di Google Security Operations o per monitorare lo stato delle minacce nella tua azienda.

Ogni dashboard predefinita include un filtro per intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Ciò può essere utile per la risoluzione dei problemi o per identificare le tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati della settimana precedente o di un intervallo di tempo specifico.

Google Security Operations SIEM fornisce le seguenti dashboard predefinite:

Principale
Rilevamento e risposta cloud
Rilevamento sensibile al contesto - Rischio
Importazione e integrità dei dati
Corrispondenze IOC
Rilevamenti delle regole
Panoramica degli accessi utente

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dei dati SIEM di Google Security Operations. Include anche una mappa mondiale che evidenzia la posizione geografica degli indicatori di compromissione rilevati all'interno della tua azienda.

Nella dashboard Principale puoi visualizzare le seguenti visualizzazioni:

Eventi importati: il numero totale di eventi importati.
Throughput: il volume di dati importati per un periodo di tempo specifico.
Avvisi: il numero totale di avvisi che si sono verificati.
Eventi nel tempo: un grafico a colonne che mostra gli eventi occorsi in un determinato periodo di tempo.
Global Threat Map - IOC IP Matches (Mappa delle minacce globali - Corrispondenze IP IOC): la posizione da cui si sono verificati gli eventi corrispondenti agli indicatori di compromissione.

Dashboard Panoramica di rilevamento e risposta cloud

La dashboard Cloud Detection and Response ti aiuta a monitorare lo stato di sicurezza del tuo ambiente cloud e a indagare sulle potenziali minacce. La dashboard mostra visualizzazioni che ti aiutano a comprendere il volume delle origini di dati, degli insiemi di regole, degli avvisi e di altre informazioni.

Il filtro Ora consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log Google Cloud consente di filtrare i dati in base al Google Cloud tipo di log.

Nella dashboard Panoramica del rilevamento e della risposta cloud puoi visualizzare le seguenti visualizzazioni:

Regole CDIR attivate: mostra la percentuale di regole SIEM di Google Security Operations attivate per il tuo ambiente cloud rispetto al totale delle regole fornite da GCTI per gli utenti SIEM di Google Security Operations. GCTI fornisce più regole selezionate e preconfezionate. Puoi attivare o disattivare questi set di regole.
Origini dati Google Cloud coperte: mostra la percentuale di origini dati coperte rispetto al totale Google Cloud delle origini dati disponibili. Ad esempio, se puoi importare i dati utilizzando 40 tipi di log, ma ne invii solo 20, il riquadro mostra il 50%.
Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei set di regole GCTI o dalle minacce Cloud. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi recenti: mostra gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Ora timestamp evento e accedere a ogni avviso per ulteriori informazioni. Fornisce il numero di risultati di sicurezza aggregati migliorati da Security Command Center. Questi risultati di sicurezza vengono generati da gruppi di regole di rilevamento selezionati dal GCTI e classificati in base al tipo di risultato. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi per gravità nel tempo: mostra gli avvisi totali per gravità e la relativa tendenza nel tempo. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Copertura dei rilevamenti: fornisce informazioni sugli insiemi di regole SIEM di Google Security Operations e sul relativo stato, sui rilevamenti totali e sulla data del rilevamento più recente. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Copertura dei dati di Cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sugli analizzatori che coprono ciascun servizio, sull'evento di prima apparizione, sull'evento di ultima apparizione e sul throughput totale.

Per ulteriori informazioni sui set di regole CDIR, consulta la Panoramica della categoria Cloud Threats.

La tabella è seguita da grafici di tutti i Google Cloud servizi con i relativi dati associati che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

Ultime 24 ore
Ultimi 30 giorni
Ultimi sei mesi

Rilevamento sensibile al contesto - Dashboard dei rischi

La dashboard Rilevamento contestuale delle minacce - Rischio fornisce informazioni sullo stato attuale delle minacce per gli asset e gli utenti della tua azienda. Viene creato utilizzando i campi nell'interfaccia dell'esplorazione Rilevamento regole.

I valori di gravità e punteggio di rischio sono variabili definite in ogni regola. Per un esempio, consulta la Sintassi della sezione relativa al risultato. In ogni riquadro, i dati vengono ordinati in base alla gravità e al punteggio di rischio per identificare gli utenti e le risorse più a rischio.

Nella dashboard Rilevamento contestuale - Rischio puoi visualizzare le seguenti visualizzazioni:

Asset e dispositivi a rischio: elenca i 10 asset principali in base alla gravità impostata per la regola in Meta > Gravità. Consulta la sintassi della sezione Meta. I livelli di gravità sono Molto alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.
Utenti a rischio: vengono elencati i 10 utenti principali in base alla gravità. I livelli di gravità sono Molto alto, Critico, Alto, Grande, Medio e Basso. Se il valore del nome utente non è presente nel record, viene visualizzato l'ID indirizzo email.
Rischio aggregato: per ogni data, mostra il punteggio di rischio aggregato totale.
Risultati del rilevamento: mostra i dettagli sui rilevamenti restituiti dalle regole del motore di rilevamento. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Dashboard Importazione dati e stato

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, sul volume e sull'integrità dei dati importati nel tenant SIEM di Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che ti aiutano a comprendere il volume dei log importati, gli errori di importazione e altre informazioni pertinenti. I dati della dashboard vengono aggiornati ogni 15 minuti, quindi potrebbe essere necessario attendere fino a 15 minuti per visualizzare le informazioni più recenti.

Nella dashboard Importazione e integrità dei dati puoi visualizzare le seguenti visualizzazioni:

Conteggio eventi importati: il numero totale di eventi importati.
Numero di errori di importazione: il numero totale di errori riscontrati durante l'importazione.
Numero errori di analisi: il numero totale di errori riscontrati durante l'analisi.
Numero errori di convalida: il numero totale di errori rilevati durante la convalida.
Numero di errori totali: il numero totale di errori riscontrati.
Distribuzione dei tipi di log in base al conteggio eventi: mostra la distribuzione dei tipi di log in base al numero di eventi per ciascun tipo di log.
Distribuzione dei tipi di log in base alla produttività: mostra la distribuzione dei tipi di log in base alla produttività.
Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
Importazione - Eventi per tipo di log: mostra il numero di eventi in base al loro stato e al tipo di log.
Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
Informazioni sui log giornalieri: mostra il numero di log per un giorno per ciascun tipo di log.
Conteggio eventi e dimensioni: confronta il conteggio e le dimensioni degli eventi in un determinato periodo di tempo.
Throughput di importazione: mostra il throughput di importazione in un determinato periodo di tempo.

Dashboard Corrispondenze IOC

La dashboard Corrispondenze degli indicatori di compromissione (IOC) fornisce visibilità sui IOC presenti nella tua azienda.

Nella dashboard Partite IOC puoi visualizzare le seguenti visualizzazioni:

Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze IOC in base alla categoria.
Indicatori IOC dei 10 principali domini: elenca i 10 indicatori IOC dei principali domini insieme al conteggio.
Primi 10 indicatori IOC relativi all'indirizzo IP: elenca i primi 10 indicatori IOC relativi all'indirizzo IP insieme al conteggio.
Primi 10 asset per corrispondenze con indicatori di compromissione: elenca i 10 asset principali per corrispondenze con indicatori di compromissione, insieme al conteggio.
Le 10 corrispondenze IOC principali per categoria, tipo e conteggio: elenca le 10 corrispondenze IOC principali per categoria, tipo e conteggio.
Primi 10 valori IOC: elenca i primi 10 valori IOC insieme al conteggio.
Primi 10 valori raramente visualizzati: elenca i primi 10 valori IOC raramente occorrono insieme al conteggio.

Le visualizzazioni Corrispondenze IOC includono il Filtro timestamp evento in Campi solo con filtri.

Dashboard Rilevamento regole

La dashboard Rilevamento regole fornisce informazioni sui rilevamenti restituiti dalle regole del motore di rilevamento. Per ricevere i rilevamenti, devi attivare le regole. Per ulteriori informazioni, vedi Eseguire una regola sui dati in tempo reale.

Nella dashboard Rilevamento regole puoi visualizzare le seguenti visualizzazioni:

Rilevamento delle regole nel tempo: mostra il numero di rilevamenti delle regole in un determinato periodo di tempo.
Rilevamento delle regole per gravità: mostra la gravità del rilevamento delle regole.
Rilevamento delle regole per gravità nel tempo: mostra il conto giornaliero dei rilevamenti per gravità nel tempo.
Primi 10 nomi di regole per rilevamenti: elenca le prime 10 regole che restituiscono il maggior numero di rilevamenti.
Rilevamento delle regole per nome nel tempo: vengono visualizzate le regole che hanno restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
Primi 10 utenti per rilevamenti delle regole: elenca i 10 identificatori utente principali che sono comparsi negli eventi che hanno attivato i rilevamenti.
Primi 10 nomi asset per rilevamenti regola: elenca i 10 nomi asset principali visualizzati negli eventi che hanno attivato i rilevamenti, ad esempio l'hostname.
Primi 10 IP per rilevamenti delle regole: elenca i 10 indirizzi IP principali che sono comparsi negli eventi che hanno attivato i rilevamenti.

La dashboard Panoramica degli accessi utente fornisce informazioni sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per monitorare i tentativi di attori malintenzionati di accedere alla tua azienda.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o che un utente specifico sembra accedere ripetutamente a un'applicazione di contabilità.

Nella dashboard Panoramica degli accessi utente puoi visualizzare le seguenti visualizzazioni:

Numero di accessi riusciti: il numero totale di accessi riusciti.
Numero di accessi non riusciti: il numero totale di accessi non riusciti.
Accessi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
Accessi per stato nel tempo: mostra la suddivisione degli accessi riusciti e non riusciti nell'intervallo di tempo.
Le 10 app più utilizzate in base agli accessi: mostra la suddivisione delle 10 app più utilizzate in base al numero di accessi.
Accessi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Vedi Tipi enumerati di eventi.
Primi 10 paesi per accessi: mostra il conteggio dei primi 10 paesi da cui gli utenti hanno eseguito l'accesso.
Accessi per paese: mostra il conteggio di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
Accessi principali per indirizzo IP (top 10): mostra i 10 indirizzi IP principali da cui gli utenti hanno eseguito l'accesso.
Mappa delle località di accesso: mostra le località degli indirizzi IP da cui gli utenti hanno eseguito l'accesso.
Primi 10 utenti per stato di accesso: mostra il conteggio dello stato di accesso per ciascun utente. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Vedi Tipi enumerati di eventi.

Passaggi successivi

Scopri come creare una dashboard personalizzata

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.