Dashboards – Übersicht

Unterstützt in:

Mit den SIEM-Dashboards von Google Security Operations können Sie die Daten in Google Security Operations SIEM aufrufen und analysieren, einschließlich Sicherheitstelemetrie, Aufnahmemesswerten, Erkennungen, Warnungen und IOCs. Diese Dashboards basieren auf den Funktionen von Looker.

Google Security Operations SIEM bietet mehrere Standard-Dashboards, die in diesem Dokument beschrieben werden. Sie können auch benutzerdefinierte Dashboards erstellen.

Standard-Dashboards

Klicken Sie in der linken Navigationsleiste auf Dashboards, um die Seite Dashboards aufzurufen.

Standard-Dashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihrer Google Security Operations-SIEM-Instanz gespeichert sind. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des SIEM-Datenaufnahmesystems von Google Security Operations zu ermitteln oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standarddashboard enthält einen Zeitbereichsfilter, mit dem Sie Daten für einen bestimmten Zeitraum aufrufen können. Das kann bei der Fehlerbehebung oder Erkennung von Trends hilfreich sein. So können Sie beispielsweise Daten für die letzte Woche oder für einen bestimmten Zeitraum aufrufen.

Google Security Operations SIEM bietet die folgenden Standard-Dashboards:

Haupt-Dashboard

Auf dem Hauptdashboard finden Sie Informationen zum Status des SIEM-Dateneinnahmesystems von Google Security Operations. Außerdem enthält sie eine globale Karte, auf der der geografische Standort der in Ihrem Unternehmen erkannten IOCs hervorgehoben wird.

Im Dashboard Haupt sind die folgenden Visualisierungen verfügbar:

  • Aufgenommene Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Durchsatz: Das Datenvolumen, das in einem bestimmten Zeitraum aufgenommen wird.
  • Benachrichtigungen: Die Gesamtzahl der Benachrichtigungen.
  • Ereignisse im Zeitverlauf: Ein Säulendiagramm, in dem die Ereignisse dargestellt werden, die in einem bestimmten Zeitraum aufgetreten sind.
  • Global Threat Map – IOC-IP-Übereinstimmungen: Der Standort, an dem IOC-Übereinstimmungsereignisse aufgetreten sind.

Cloud Detection and Response Overview-Dashboard

Mit dem Dashboard Cloud Detection and Response können Sie den Sicherheitsstatus Ihrer Cloud-Umgebung im Blick behalten und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen von Datenquellen, Regelsätzen, Benachrichtigungen und anderen Informationen besser nachvollziehen können.

Mit dem Filter Uhrzeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP-Logtyp können Sie die Daten nach Google Cloud Logtyp filtern.

Im Dashboard Cloud Detection and Response Overview (Übersicht über Cloud Detection and Response) sind die folgenden Visualisierungen verfügbar:

  • Aktivierte CDIR-Regeln: Der Prozentsatz der für Ihre Cloud-Umgebung aktivierten Google Security Operations-SIEM-Regeln im Vergleich zur Gesamtzahl der von GCTI für Google Security Operations-SIEM-Nutzer bereitgestellten Regeln. GCTI bietet mehrere vorkonfigurierte Regeln. Sie können diese Regelsätze aktivieren oder deaktivieren.

  • Abgedeckte GCP-Datenquellen: Der Prozentsatz der abgedeckten Datenquellen im Vergleich zur Gesamtzahl der verfügbaren Datenquellen. Google CloudWenn Sie beispielsweise Daten mit 40 Logtypen aufnehmen können, aber nur Daten für 20 von ihnen senden, wird in der Kachel 50 % angezeigt.

  • CDIR-Benachrichtigungen: Die Anzahl der Benachrichtigungen, die durch die Regeln in Ihren GCTI-Regeln oder Cloud-Bedrohungen ausgelöst wurden. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Letzte Benachrichtigungen: Hier werden die letzten Benachrichtigungen mit ihrer Schwere und Risikobewertung angezeigt. Sie können die Tabelle anhand der Spalte Zeitstempel des Ereignisses sortieren und die einzelnen Benachrichtigungen aufrufen, um weitere Informationen zu erhalten. Sie enthält die Anzahl der aggregierten Sicherheitsergebnisse, die durch das Security Command Center ergänzt wurden. Diese Sicherheitsergebnisse werden von GCTI-kuratierten Erkennungsregelsätzen generiert und nach Ergebnistyp kategorisiert. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Benachrichtigungen nach Schweregrad im Zeitverlauf: Hier sehen Sie die Gesamtzahl der Benachrichtigungen nach Schweregrad und den Trend im Zeitverlauf. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Abdeckung der Erkennung: Hier finden Sie Informationen zu den Google Security Operations SIEM-Regeln und deren Status, zur Gesamtzahl der erkannten Bedrohungen und zum Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Abdeckung von Cloud-Daten: Hier finden Sie Informationen zu allen verfügbaren Google Cloud Diensten, Parsern, die jeden Dienst abdecken, zum ersten und letzten Ereignis, das erfasst wurde, und zum Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Cloud Threats Category – Übersicht.

Nach der Tabelle folgen Grafiken aller Google Cloud -Dienste mit den zugehörigen Daten, die den Datenaufnahmetrend in den folgenden Zeitintervallen zeigen:

  • Letzte 24 Stunden
  • Letzte 30 Tage
  • Letzte sechs Monate

Kontextsensitive Erkennungen – Risikodashboard

Das Dashboard Kontextbezogene Erkennungen – Risiko bietet einen Überblick über den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Er wird mithilfe von Feldern auf der Oberfläche der explorativen Datenanalyse Regeln für Erkennungen erstellt.

Die Werte für den Schweregrad und den Risikowert sind Variablen, die in jeder Regel definiert sind. Ein Beispiel finden Sie unter Syntax des Abschnitts „Ergebnisse“. In jedem Bereich werden die Daten nach Schweregrad und dann nach Risikobewertung sortiert, um die Nutzer und Assets mit dem höchsten Risiko zu ermitteln.

Im Dashboard Kontextbezogene Erkennungen – Risiko sind die folgenden Visualisierungen verfügbar:

  • Bedrohte Assets und Geräte: Hier werden die zehn wichtigsten Assets basierend auf der Schwere der Regel aufgeführt, die Sie unter Meta > Schwere festgelegt haben. Siehe Syntax des Metabereichs. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Hostnamenwert nicht im Eintrag vorhanden ist, wird die IP-Adresse angezeigt.
  • Nutzer mit Risiko: Hier werden die zehn wichtigsten Nutzer nach Schweregrad aufgeführt. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Nutzername nicht im Datensatz vorhanden ist, wird die E-Mail-ID angezeigt.
  • Gesamtrisiko: Für jedes Datum wird der aggregierte Risikowert angezeigt.
  • Ergebnisse der Erkennung: Hier finden Sie Details zu den Erkennungen, die von den Regeln der Erkennungs-Engine zurückgegeben wurden. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, den Risikowert und den Schweregrad.

Dashboard „Datenaufnahme und -integrität“

Das Dashboard Datenaufnahme und -integrität enthält Informationen zum Typ, Volumen und zur Integrität der Daten, die in Ihren Google Security Operations-SIEM-Tenant aufgenommen werden. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen.

Dieses Dashboard enthält Visualisierungen, mit denen Sie das Volumen der aufgenommenen Protokolle, Aufnahmefehler und andere relevante Informationen nachvollziehen können. Die Daten im Dashboard werden alle 15 Minuten aktualisiert. Es kann also bis zu 15 Minuten dauern, bis die neuesten Informationen angezeigt werden.

Im Dashboard Datenaufnahme und -integrität sind die folgenden Visualisierungen verfügbar:

  • Aufgenommene Ereignisse insgesamt: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Anzahl der Datenaufnahmefehler: Die Gesamtzahl der Fehler, die während der Datenaufnahme aufgetreten sind.
  • Anzahl der Parsefehler: Die Gesamtzahl der Fehler, die beim Parsen aufgetreten sind.
  • Anzahl der Validierungsfehler: Die Gesamtzahl der Fehler, die bei der Validierung aufgetreten sind.
  • Gesamtzahl der Fehler: Die Gesamtzahl der aufgetretenen Fehler.
  • Verteilung der Protokolltypen nach Ereignisanzahl: Hier sehen Sie die Verteilung der Protokolltypen basierend auf der Anzahl der Ereignisse für jeden Protokolltyp.
  • Logtypverteilung nach Durchsatz: Hier sehen Sie die Verteilung der Logtypen nach Durchsatz.
  • Aufnahme – Ereignisse nach Status: Hier sehen Sie die Anzahl der Ereignisse nach Status.
  • Aufnahme – Ereignisse nach Protokolltyp: Hier sehen Sie die Anzahl der Ereignisse nach Status und Protokolltyp.
  • Zuletzt aufgenommene Ereignisse: Hier werden die zuletzt aufgenommenen Ereignisse für jeden Protokolltyp angezeigt.
  • Tägliche Protokollinformationen: Hier sehen Sie die Anzahl der Protokolle pro Tag für jeden Protokolltyp.
  • Ereignisanzahl im Vergleich zur Größe: Hier werden die Ereignisanzahl und die Größe über einen bestimmten Zeitraum verglichen.
  • Aufnahmedurchsatz: Der Aufnahmedurchsatz über einen bestimmten Zeitraum.

Dashboard „IOC-Übereinstimmungen“

Das Dashboard „Übereinstimmungen mit Indikatoren für eine Manipulation“ (Indicator of Compromise, IOC) bietet einen Überblick über die IOCs in Ihrem Unternehmen.

Im Dashboard IOC-Übereinstimmungen sind die folgenden Visualisierungen verfügbar:

  • IOC-Übereinstimmungen im Zeitverlauf nach Kategorie: Hier sehen Sie die Anzahl der IOC-Übereinstimmungen nach Kategorie.
  • IOC-Indikatoren der Top 10-Domains: Hier sind die IOC-Indikatoren der Top 10-Domains mit der Anzahl aufgeführt.
  • Top 10 IP-IOC-Indikatoren: Hier werden die 10 wichtigsten IP-IOC-Indikatoren zusammen mit der Anzahl aufgeführt.
  • Top 10 Assets nach IOC-Übereinstimmungen: Hier werden die zehn Assets mit den meisten IOC-Übereinstimmungen sowie die Anzahl der Übereinstimmungen aufgeführt.
  • Top 10 IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl: Hier werden die Top 10 IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl aufgelistet.
  • Top 10 IOC-Werte: Hier werden die zehn wichtigsten IOC-Werte zusammen mit der Anzahl aufgeführt.
  • Top 10 seltene Werte: Hier werden die zehn seltensten IOC-Übereinstimmungen mit der Anzahl aufgeführt.

Die Visualisierungen IOC-Übereinstimmungen enthalten den Ereigniszeitstempelfilter unter Nur-Filter-Felder.

Dashboard „Regelerkennungen“

Das Dashboard Regelerkennungen bietet Einblicke in die Erkennungen, die von den Regeln der Erkennungs-Engine zurückgegeben werden. Damit Sie erkannte Probleme erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel auf Live-Daten anwenden.

Im Dashboard Regeln erkannt sind die folgenden Visualisierungen verfügbar:

  • Regelverstöße im Zeitverlauf: Hier sehen Sie die Anzahl der Regelverstöße in einem bestimmten Zeitraum.
  • Regelerkennungen nach Schweregrad: Hier sehen Sie den Schweregrad der Regelerkennungen.
  • Regelerkennungen nach Schweregrad im Zeitverlauf: Hier sehen Sie die tägliche Anzahl der Erkennungen nach Schweregrad im Zeitverlauf.
  • Top 10 der Regelnamen nach Erkennungen: Hier sind die zehn Regeln aufgeführt, die die meisten Erkennungen zurückgegeben haben.
  • Regelerkennungen nach Name im Zeitverlauf: Hier sehen Sie die Regeln, für die täglich Erkennungen zurückgegeben wurden, und die Anzahl der zurückgegebenen Erkennungen.
  • Top 10 Nutzer nach Regelerkennungen: Hier werden die zehn häufigsten Nutzer-IDs aufgeführt, die in Ereignissen aufgetreten sind, die Erkennungen ausgelöst haben.
  • Top 10 der Asset-Namen nach Regelerkennungen: Hier sind die zehn Asset-Namen aufgeführt, die in Ereignissen aufgetreten sind, die Erkennungen ausgelöst haben, z. B. der Hostname.
  • Top 10 IP-Adressen nach Regelerkennungen: Hier werden die zehn häufigsten IP-Adressen aufgeführt, die in Ereignissen aufgetreten sind, die Erkennungen ausgelöst haben.

Dashboard „Übersicht über die Nutzeranmeldung“

Das Dashboard Übersicht über die Nutzeranmeldung bietet Informationen zu Nutzern, die sich in Ihrem Unternehmen anmelden. Diese Informationen können nützlich sein, um Versuche von böswilligen Akteuren zum Zugriff auf Ihr Unternehmen zu verfolgen.

Beispielsweise stellen Sie fest, dass ein bestimmter Nutzer versucht hat, von einem Land aus auf Ihr Unternehmen zuzugreifen, in dem Sie kein Büro haben, oder dass ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zugreift.

Im Dashboard Übersicht über die Nutzeranmeldung sind die folgenden Visualisierungen verfügbar:

  • Anzahl der erfolgreichen Anmeldungen: Die Gesamtzahl der erfolgreichen Anmeldungen.
  • Anzahl der fehlgeschlagenen Anmeldungen: Die Gesamtzahl der fehlgeschlagenen Anmeldungen.
  • Anmeldungen nach Status: Hier sehen Sie die Aufschlüsselung in erfolgreiche und fehlgeschlagene Anmeldungen.
  • Anmeldungen nach Status im Zeitverlauf: Hier sehen Sie die Aufschlüsselung der erfolgreichen und fehlgeschlagenen Anmeldungen im ausgewählten Zeitraum.
  • Top 10 Anwendungen nach Anmeldungen: Hier sehen Sie eine Aufschlüsselung der zehn häufigsten Anwendungen nach der Anzahl der Anmeldungen.
  • Anmeldungen nach Anwendung: Hier sehen Sie die Anzahl der Anmeldestatus für jede Anwendung. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ausgefüllt, die Sie im Feld security_result.action definieren. Weitere Informationen finden Sie unter Aufzählungstypen für Ereignisse.
  • Top 10 Länder nach Anmeldungen: Hier sehen Sie die Anzahl der Nutzer in den zehn Ländern mit den meisten Anmeldungen.
  • Anmeldungen nach Land: Die Anzahl der Länder, in denen sich Nutzer angemeldet haben.
  • Top 10 Anmeldungen nach IP-Adresse: Hier sehen Sie die zehn häufigsten IP-Adressen, über die sich Nutzer angemeldet haben.
  • Karte der Anmeldeorte: Hier sehen Sie die Standorte der IP-Adressen, über die sich Nutzer angemeldet haben.
  • Top 10 Nutzer nach Anmeldestatus: Hier sehen Sie die Anzahl der Anmeldestatus für jeden Nutzer. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ausgefüllt, die Sie im Feld security_result.action definieren. Siehe Aufzählungstypen für Ereignisse.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten