Vista geral dos painéis de controlo

Use os painéis de controlo do SIEM do Google Security Operations para ver e analisar os dados no SIEM do Google Security Operations, incluindo telemetria de segurança, métricas de carregamento, deteções, alertas e IoCs. Estes painéis de controlo baseiam-se nas capacidades do Looker.

O SIEM do Google Security Operations oferece-lhe vários painéis de controlo predefinidos, descritos neste documento. Também pode criar painéis personalizados.

Painéis de controlo predefinidos

Clique em Painéis de controlo para abrir a página Painéis de controlo.

Os painéis de controlo predefinidos contêm visualizações predefinidas dos dados armazenados na sua instância do SIEM do Google Security Operations. Estes painéis de controlo foram concebidos para um exemplo de utilização específico, como compreender o estado do sistema de carregamento de dados SIEM do Google Security Operations ou monitorizar o estado das ameaças na sua empresa.

Cada painel de controlo predefinido inclui um filtro de intervalo de tempo que lhe permite ver dados para um período específico. Isto pode ser útil na resolução de problemas ou na identificação de tendências. Por exemplo, pode usar o filtro para ver dados da semana anterior ou de um intervalo de tempo específico.

O SIEM do Google Security Operations fornece os seguintes painéis de controlo predefinidos:

• Principal
• Deteção e resposta na nuvem
• Deteções sensíveis ao contexto – Risco
• Carregamento de dados e saúde
• Correspondências de IoC
• Deteções de regras
• Vista geral do início de sessão do utilizador

Painel de controlo principal

O painel de controlo Principal apresenta informações sobre o estado do sistema de carregamento de dados do SIEM do Google Security Operations. Também inclui um mapa global que realça a localização geográfica dos IOCs detetados na sua empresa.

Pode ver as seguintes visualizações no painel de controlo Principal:

• Eventos carregados: o número total de eventos carregados.
• Débito: o volume de dados carregados para um período específico.
• Alertas: o número total de deteções que ocorreram durante um período de tempo. O número de alertas apresentados na página Alertas e IoCs pode ser diferente, uma vez que esta página mostra apenas os alertas atuais. Para mais informações, consulte Ver alertas.
• Eventos ao longo do tempo: um gráfico de colunas que apresenta os eventos que ocorreram ao longo de um período.
• Mapa de ameaças global – Correspondências de IP de IoC: a localização a partir da qual ocorreram eventos de correspondência de indicadores de comprometimento (IoC).

Painel de controlo Vista geral da deteção e resposta na nuvem

O painel de controlo Deteção e resposta na nuvem ajuda a monitorizar o estado de segurança do seu ambiente de nuvem e a investigar potenciais ameaças. O painel de controlo mostra visualizações que ajudam a compreender o volume de origens de dados, conjuntos de regras, alertas e outras informações.

O filtro Hora permite-lhe filtrar os dados por período.

O filtro Tipo de registo da GCP permite-lhe filtrar os dados por Google Cloud tipo de registo.

Pode ver as seguintes visualizações no painel de controlo Vista geral da deteção e resposta na nuvem:

• Conjuntos de regras de CDIR ativados: apresenta a percentagem de conjuntos de regras do SIEM do Google Security Operations ativados para o seu ambiente de nuvem a partir do total de conjuntos de regras fornecidos pela GCTI para utilizadores do SIEM do Google Security Operations. A GCTI oferece várias regras pré-configuradas. Pode ativar ou desativar estes conjuntos de regras.

• Origens de dados da GCP abrangidas: apresenta a percentagem de origens de dados abrangidas, do total de Google Cloud origens de dados disponíveis. Por exemplo, se puder carregar dados através de 40 tipos de registos, mas enviar dados apenas para 20, o mosaico apresenta 50%.

• Alertas de CDIR: apresenta o número de alertas gerados a partir das regras nos conjuntos de regras da GCTI ou das ameaças na nuvem. Pode usar o filtro Hora para definir o número de dias durante os quais estes dados são apresentados.

• Alertas recentes: apresenta alertas recentes com a respetiva gravidade e pontuação de risco. Pode ordenar a tabela através da coluna Data/hora do evento e navegar para cada alerta para ver mais informações. Indica o número de resultados de segurança agregados melhorados pelo Security Command Center. Estas conclusões de segurança são geradas por conjuntos de regras de deteção preparados pelo GCTI e categorizadas por tipo de conclusão. Pode usar o filtro Hora para definir o número de dias durante os quais estes dados são apresentados.

• Alertas por gravidade ao longo do tempo: apresenta o total de alertas por gravidade, com tendências ao longo do tempo. Pode usar o filtro Hora para definir o número de dias durante os quais estes dados são apresentados.

• Cobertura de deteção: fornece informações sobre os conjuntos de regras do SIEM do Google Security Operations e o respetivo estado, o total de deteções e a data da deteção mais recente. Pode usar o filtro Hora para definir o número de dias durante os quais estes dados são apresentados.

• Cobertura de dados na nuvem: fornece informações sobre todos os serviços disponíveis, analisadores que abrangem cada serviço, evento visto pela primeira vez, evento visto pela última vez e débito total. Google Cloud

Para mais informações sobre conjuntos de regras de CDIR, consulte o artigo Vista geral da categoria de ameaças na nuvem.

A tabela é seguida de gráficos de todos os Google Cloud serviços com os respetivos dados associados que mostram a respetiva tendência de carregamento nos seguintes intervalos de tempo:

• Últimas 24 horas
• Últimos 30 dias
• Últimos seis meses

Deteções sensíveis ao contexto – Painel de controlo de risco

O painel de controlo Deteções sensíveis ao contexto – Risco fornece estatísticas sobre o estado atual das ameaças de recursos e utilizadores na sua empresa. É criada com campos na interface de exploração Deteções de regras.

Os valores de gravidade e de pontuação de risco são variáveis definidas em cada regra. Para ver um exemplo, consulte a sintaxe da secção de resultados. Em cada painel, os dados são ordenados com base na gravidade e, em seguida, na pontuação de risco para identificar os utilizadores e os recursos com maior risco.

Pode ver as seguintes visualizações no painel de controlo Deteções sensíveis ao contexto – Risco:

• Recursos e dispositivos em risco: apresenta os 10 principais recursos com base na gravidade que definiu na regra em Meta > Gravidade. Consulte a sintaxe da secção Meta. Os níveis de gravidade são Super alto, Crítico, Alto, Grande, Médio e Baixo. Se o valor hostname não estiver presente no registo, é apresentado o endereço IP.
• Utilizadores em risco: apresenta os 10 principais utilizadores com base na gravidade. Os níveis de gravidade são Super alto, Crítico, Alto, Grande, Médio e Baixo. Se o valor username não estiver presente no registo, é apresentado o ID do email.
• Risco agregado: para cada data, apresenta a pontuação de risco agregada total.
• Resultados da deteção: apresenta detalhes sobre as deteções devolvidas pelas regras do motor de deteção. A tabela inclui o nome da regra, o ID de deteção, a pontuação de risco e a gravidade.

Carregamento de dados e painel de controlo de saúde

O painel de controlo Carregamento de dados e estado fornece informações sobre o tipo, o volume e o estado dos dados que estão a ser carregados no seu inquilino do SIEM do Google Security Operations. Pode usar este painel de controlo para monitorizar anomalias no seu ambiente.

Este painel de controlo oferece visualizações que ajudam a compreender o volume de registos carregados, erros de carregamento e outras informações relevantes. Os dados no painel de controlo são atualizados a cada 15 minutos, pelo que pode ter de aguardar até 15 minutos para ver as informações mais recentes.

Pode ver as seguintes visualizações no painel de controlo Carregamento e estado dos dados:

• O filtro de tempo global configurado no painel de controlo aplica-se às seguintes visualizações:

  • Quantidade de eventos carregados: apresenta o número total de eventos carregados.
  • Distribuição do tipo de registo por débito: apresenta a distribuição do tipo de registo com base no débito.
  • Débito: apresenta o débito de carregamento.
  • Distribuição do tipo de registo por contagem de eventos: apresenta a distribuição dos tipos de registo com base no número de eventos para cada tipo de registo.
  • Contagem de erros de carregamento: apresenta o número total de erros encontrados durante o carregamento.
  • Carregamento – Eventos por estado: apresenta uma tabela com eventos com base no respetivo estado, ordenável por coluna: Data, Registos carregados, Eventos normalizados, Erros de análise, Erros de validação e Erros de indexação.
  • Gráfico de limite de picos: taxa de carregamento: apresenta a taxa de carregamento de registos por hora ao longo do tempo (consulte Limites de picos).
  • Gráfico de limite de picos – Limite de quota: apresenta a quota de carregamento de registos por hora ao longo do tempo (consulte Limites de picos).
  • Gráfico de rejeição de picos: apresenta o volume por hora ao longo do tempo dos registos que foram rejeitados por excederem o limite de picos (consulte Limites de picos).
  • Carregamento – Eventos por tipo de registo: apresenta eventos com base no tipo de registo, ordenáveis por coluna: Tipo de registo, Débito carregado, Registos carregados, Eventos normalizados, Erros de análise, Erros de validação e Erros de indexação.
  • Registo do agente Bindplane – Registos por gravidade ao longo do tempo: apresenta o número de registos por gravidade ao longo do tempo. O painel de controlo apresenta esta visualização apenas quando o Google SecOps carrega registos de um agente do Bindplane.
  • Registo do agente Bindplane – Contagem de mensagens: apresenta o número de registos por texto de mensagem, ordenáveis por coluna: Gravidade, Mensagem, Total, Visto pela primeira vez, Visto pela última vez. O painel de controlo apresenta esta visualização apenas quando o Google SecOps carrega registos de um agente do Bindplane.

• Os intervalos de tempo para as seguintes visualizações estão pré-selecionados (o filtro de tempo global não se aplica a elas):

  • Eventos carregados recentemente: apresenta os eventos carregados recentemente para cada tipo de registo.
  • Informações do registo diário: apresenta os números de registos de um dia para cada tipo de registo.
  • Contagem de eventos (últimas 24 horas) e Tamanho do evento (últimas 24 horas): apresentam as contagens de eventos e os tamanhos dos eventos das últimas 24 horas.
  • Contagem de eventos (últimos 7 dias) e Tamanho do evento (últimos 7 dias): apresentam as contagens de eventos e os tamanhos dos eventos dos últimos 7 dias.
  • Quantidade de eventos (últimos 3 meses) e Tamanho do evento (últimos 3 meses): apresentam as quantidades de eventos e os tamanhos dos eventos dos últimos 3 meses.
  • Carregamento – Débito por hora: apresenta o débito de carregamento por hora.
  • Carregamento – Débito semanal: apresenta o débito de carregamento semanal.
  • Carregamento – Débito (últimos 6 meses): apresenta o débito de carregamento nos últimos 6 meses.
  • Carregamento – Débito (sempre): apresenta o débito de carregamento por ano para todo o período em que existem dados.
  • Número de dias desde que o anfitrião comunicou um evento (últimos 7 dias): apresenta o número de dias desde que os anfitriões comunicaram um evento (nos últimos 7 dias).

Painel de controlo de correspondências de IoC

O painel de controlo de correspondências de IoC oferece visibilidade dos IoCs presentes na sua empresa.

Pode ver as seguintes visualizações no painel de controlo Correspondências de IoC:

• Correspondências de IoC ao longo do tempo por categoria: apresenta o número de correspondências de IoC com base na respetiva categoria.
• Principais 10 indicadores de IoC de domínios: apresenta uma lista dos 10 principais indicadores de IoC de domínios e as respetivas contagens.
• Os 10 principais indicadores de IoC de IP: apresenta os 10 principais indicadores de IoC de endereços IP e as respetivas contagens.
• Os 10 principais recursos por correspondências de IoC: lista os 10 principais recursos por correspondências de IoC e as respetivas contagens.
• As 10 principais correspondências de IoC por categoria, tipo e quantidade: apresenta as 10 principais correspondências de IoC por categoria, tipo e respetivas quantidades.
• 10 principais valores de IoC: apresenta os 10 principais valores de IoC, juntamente com a contagem.
• Os 10 principais valores raramente vistos: apresenta os 10 principais valores raramente ocorrentes de correspondências de IoC e as respetivas contagens.

As visualizações IoC Matches incluem o filtro de data/hora do evento em Campos apenas de filtragem.

Painel de controlo Deteções de regras

O painel de controlo Deteções de regras fornece estatísticas sobre as deteções devolvidas pelas regras do motor de deteção. Para receber deteções, tem de ativar as regras. Para mais informações, consulte o artigo Executar uma regra em dados em direto.

Pode ver as seguintes visualizações no painel de controlo Deteções de regras:

• Deteções de regras ao longo do tempo: apresenta o número de deteções de regras ao longo de um período.
• Deteções de regras por gravidade: apresenta a gravidade das deteções de regras.
• Deteções de regras por gravidade ao longo do tempo: apresenta a contagem diária de deteções por gravidade ao longo do tempo.
• Os 10 principais nomes de regras por deteções: apresenta as 10 principais regras que devolvem o maior número de deteções.
• Deteções de regras por nome ao longo do tempo: apresenta as regras que devolveram deteções todos os dias e o número de deteções devolvidas.
• 10 principais utilizadores por deteções de regras: apresenta uma lista dos 10 principais identificadores de utilizadores que apareceram em eventos que acionaram deteções.
• Os 10 principais nomes de recursos por deteções de regras: apresenta os 10 principais nomes de recursos que apareceram em eventos que acionaram deteções, como o nome do anfitrião.
• 10 principais IPs por deteções de regras: apresenta os 10 principais endereços IP que apareceram em eventos que acionaram deteções.

Painel de controlo Vista geral de início de sessão do utilizador

O painel de controlo Vista geral do início de sessão do utilizador oferece estatísticas sobre os utilizadores que iniciam sessão na sua empresa. Estas informações podem ser úteis para monitorizar as tentativas de atores maliciosos de aceder à sua empresa.

Por exemplo, pode descobrir que um determinado utilizador tentou aceder à sua empresa a partir de um país onde não tem um escritório ou que um utilizador específico parece aceder repetidamente a uma aplicação de contabilidade.

Pode ver as seguintes visualizações no painel de controlo Vista geral do início de sessão do utilizador:

• Número de inícios de sessão com êxito: apresenta o número total de inícios de sessão com êxito.
• Número de inícios de sessão falhados: apresenta o número total de inícios de sessão falhados.
• Inícios de sessão por estado: apresenta a divisão dos inícios de sessão com êxito e sem êxito.
• Inícios de sessão por estado ao longo do tempo: apresenta a divisão dos inícios de sessão bem-sucedidos e falhados ao longo do intervalo de tempo.
• As 10 principais aplicações por inícios de sessão: apresenta a divisão das 10 principais aplicações frequentes com base no número de inícios de sessão.
• Inícios de sessão por aplicação: apresenta a contagem do estado de início de sessão para cada aplicação. A contagem de cada aplicação é preenchida com base nos dados de registo que define no campo security_result.action. Consulte os tipos enumerados de eventos.
• 10 principais países por inícios de sessão: apresenta a contagem dos 10 principais países a partir dos quais os utilizadores iniciaram sessão.
• Inícios de sessão por país: apresenta a contagem de todos os países a partir dos quais os utilizadores iniciaram sessão.
• 10 principais inícios de sessão por IP: apresenta os 10 principais endereços IP a partir dos quais os utilizadores iniciaram sessão.
• Mapa de localização de início de sessão: apresenta as localizações dos endereços IP a partir dos quais os utilizadores iniciaram sessão.
• 10 principais utilizadores por estado de início de sessão: apresenta a contagem do estado de início de sessão de cada utilizador. A contagem de cada aplicação é preenchida com base nos dados de registo que define no campo security_result.action. Consulte os tipos enumerados de eventos.

O que se segue?

• Saiba como criar um painel de controlo personalizado

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.