Visão geral dos painéis

Compatível com:

Os painéis do SIEM do Google Security Operations podem ser usados para visualizar e analisar os dados no SIEM do Google Security Operations, incluindo a telemetria de segurança, métricas de ingestão, detecções, alertas e IOCs. Esses painéis foram criados com base recursos do Looker.

O SIEM do Google Security Operations oferece vários dashboards padrão, descritas neste documento. Também é possível criar painéis personalizados.

Painéis padrão

Para acessar a página Painéis, clique em Painéis na navegação à esquerda.

Os painéis padrão contêm visualizações predefinidas dos dados armazenados na sua instância do SIEM do Google Security Operations. Esses dashboards foram criados para casos de uso específicos, por exemplo, entender o estado do sistema de ingestão de dados SIEM das Operações de segurança do Google ou monitorar o status de ameaças na sua empresa.

Cada painel padrão inclui um filtro de intervalo de tempo que permite visualizar dados em um período específico. Isso pode ser útil ao resolver problemas ou identificar tendências. Por exemplo, é possível usar o filtro para conferir os dados da semana passada ou de um período específico.

Não é possível modificar os painéis padrão. É possível fazer uma cópia de um painel padrão e modificar o novo painel para oferecer suporte a um caso de uso específico.

O Google Security Operations SIEM oferece os seguintes painéis padrão:

Painel principal

O painel Principal mostra informações sobre o status do sistema de transferência de dados SIEM das operações de segurança do Google. Ele também inclui um mapa global que destaca a localização geográfica dos IOCs detectados na sua empresa.

Você pode conferir as seguintes visualizações no painel Principal:

  • Eventos ingeridos: o número total de eventos ingeridos.
  • Capacidade: o volume de dados processados em um período específico.
  • Alertas: o número total de alertas ocorridos.
  • Eventos ao longo do tempo: um gráfico de colunas que exibe os eventos que ocorreram durante um período.
  • Mapa de ameaças global: correspondências de IP de IOC: o local em que os eventos de correspondência de IOC ocorreram.

Visualizar painel

Você pode usar o recurso de painéis de visualização do Google Security Operations para criar visualizações em diferentes fontes de dados. Um painel do Google Security Operations é composto por diferentes gráficos, que são preenchidos usando a YARA-L 2.0.

Fontes de dados para os painéis de prévia das Operações de segurança do Google

As seguintes fontes de dados estão disponíveis nos painéis de pré-lançamento com o prefixo YARA-L.

Sintaxe da YARA-L 2.0 para os painéis de prévia das Operações de segurança do Google

O YARA-L 2.0 tem as seguintes propriedades exclusivas quando usado em painéis de pré-visualização:

  • Outras fontes de dados, como gráfico de entidade, métricas de ingestão, conjuntos de regras e detecções, estão disponíveis nos painéis. Estas fontes de dados ainda não estão disponíveis em regras YARA-L e pesquisa de UDM.

  • Os painéis de prévia das Operações de segurança do Google usam a sintaxe YARA-L. Para mais informações, consulte Funções YARA-L 2.0 para painéis de pré-visualização das operações de segurança do Google e funções agregadas que incluem medidas estatísticas. A pesquisa de UDM (por exemplo, principal.hostname = "john") não funciona com os painéis de pré-visualização das operações de segurança do Google.

  • A seção de eventos de uma regra YARA-L é implícita e não precisa ser declarada em consultas.

  • A seção de condição de uma regra YARA-L não é usada para painéis.

Primeiros passos com os painéis de pré-lançamento das Operações de segurança do Google

Criar um novo painel

Para criar um novo painel, faça o seguinte:

  1. Na página Visualizar painéis, clique em Criar painel. A janela "Criar painel" será exibida.

  2. Insira um nome e uma descrição para o painel.

  3. Na lista Começar com um painel atual, selecione Painel em branco. Você também pode começar copiando um painel existente.

  4. Defina o acesso ao painel como particular ou compartilhado. Os painéis particulares ficam visíveis apenas para você, enquanto os painéis compartilhados ficam visíveis para todos os usuários na sua organização.

  5. Clique em Criar para criar um novo painel.

Adicione um gráfico

Um painel é composto por gráficos preenchidos com dados usando YARA-L. Para adicionar um gráfico ao painel, faça o seguinte:

  1. Na página Editando painel, clique em Adicionar gráfico.

  2. Na seção Search, insira uma consulta YARA-L para analisar e transformar seus dados. A consulta YARA-L a seguir recupera as datas e os níveis de gravidade das detecções, filtrando aqueles com gravidade desconhecida e conta as detecções distintas para cada data. As detecções são classificadas por data em ordem crescente.

    $date = timestamp.get_date(detection.created_time.seconds)
    $severity = detection.detection.severity
    $severity != "UNKNOWN_SEVERITY"
    match:
        $date, $severity
    outcome:
        $detection_count = count_distinct(detection.id)
    order:
        $date asc
    
  3. Para o período especificado, selecione absoluto ou relativo.

  4. Depois de inserir a consulta, clique em Executar pesquisa. Os resultados são mostrados em um formato tabular, que é o tipo de gráfico padrão.

  5. Em Detalhes do gráfico, insira um nome para ele.

  6. Para transformar os dados dos resultados de pesquisa tabulados em um gráfico de barras, selecione Tipo de gráfico > Gráfico de barras.

  7. Nas Configurações de dados, insira um tipo de dados e um valor de campo para o eixo X e o eixo Y. Para desenvolver o exemplo de regra YARA-L, insira os seguintes valores:

    • Campo do eixo X: date
    • Campo do eixo Y: detection_count
  8. Em Identificador do eixo, insira um identificador para o eixo X e o eixo Y.

  9. Em Agrupamento, selecione Agrupado.

  10. Em Série, defina o campo de agrupamento como "Gravidade". Isso muda o gráfico para ser agrupado por gravidade.

  11. Analise os resultados e clique em Adicionar ao painel.

Adicionar um filtro

É possível usar filtros para modificar os dados disponíveis com base em um campo específico, afetando apenas os gráficos que usam esse campo na consulta.

Para adicionar um filtro, faça o seguinte:

  1. Na página principal do painel, clique no ícone de lápis para editar o painel.

  2. Na página Editar painel, clique no ícone de filtro para adicionar um filtro.

  3. Na janela Gerenciar filtros, clique no ícone de adição para configurar um novo filtro.

  4. No campo Campo a ser filtrado, insira um campo com base no qual você quer filtrar os dados. Por exemplo, detection.collection_elements.references.event.principal.hostname

  5. No campo Nome do filtro, insira um nome para o filtro.

  6. Em Aplicar ao campo, selecione um gráfico em que o filtro precisa ser aplicado.

  7. Opcional: defina um valor padrão para o filtro.

  8. Clique em Concluído para adicionar o filtro e fechar a janela "Gerenciar filtros".

Aplicar o filtro

Para aplicar um filtro ao gráfico, faça o seguinte:

  1. Na visualização do painel, clique no ícone para conferir os filtros do painel.

  2. Na janela Filtros do painel, selecione o filtro criado.

  3. Insira um valor para o campo que você quer filtrar.

  4. Clique em Aplicar. O gráfico em que o filtro é aplicado é atualizado para refletir os resultados filtrados.

Adicionar um filtro de tempo global

É possível aplicar um filtro de horário global para selecionar um período em que os dados podem ser visualizados em todos os gráficos. O filtro de tempo global está disponível por padrão para todos gráficos e é capaz de lidar com o tempo em todas as fontes de dados. Ao contrário de outros filtros de tempo (por exemplo, a criação de um filtro no campo metadata.event_timestmap) que filtram apenas dentro do período especificado no gráfico individual, um filtro de tempo global, quando aplicado, tem precedência sobre o período selecionado no gráfico individual.

Para adicionar um filtro de tempo global, faça o seguinte:

  1. Na página principal do painel, clique no ícone de lápis para editar o painel.

  2. Na página "Edição do painel", clique no ícone para adicionar um filtro.

  3. Na janela Gerenciar filtros, selecione Filtro de tempo global na lista de filtros.

  4. Clique no botão para ativar o filtro de tempo global.

  5. No campo Aplicar a, selecione os gráficos em que o filtro de tempo global precisa ser aplicado.

  6. No campo Definir valores padrão, defina um período em que os dados são visualizados em termos absolutos ou relativos.

  7. Clique em Concluído para adicionar o filtro e feche a janela "Gerenciar filtros".

Painel "Visão geral da resposta e detecção de ameaças do Cloud"

O painel Cloud Detection and Response ajuda a monitorar o status de segurança do seu ambiente de nuvem e investigar possíveis ameaças. O painel mostra visualizações que ajudam a entender o volume de origens de dados, conjuntos de regras, alertas e outras informações.

O filtro Tempo permite filtrar os dados por período.

O filtro Tipo de registro do GCP permite filtrar os dados por tipo de registro do Google Cloud.

É possível conferir as seguintes visualizações no painel Visão geral de detecção e resposta na nuvem:

  • Conjuntos de regras CDIR ativados: mostra a porcentagem de conjuntos de regras de SIEM das Operações de segurança do Google ativados. para seu ambiente de nuvem em relação ao total de conjuntos de regras fornecidos pelo GCTI para o SIEM de operações de segurança do Google usuários. O GCTI oferece várias regras pré-empacotadas e selecionadas. É possível ativar ou desativar esses conjuntos de regras.

  • Origens de dados do GCP cobertas: mostra a porcentagem de origens de dados cobertas em relação ao total de origens de dados do Google Cloud disponíveis. Por exemplo, se você puder processar dados usando 40 tipos de registro, mas enviar dados apenas para 20, o bloco será exibido em 50%.

  • Alertas de CDIR: exibe o número de alertas gerados pelas regras nos seus conjuntos de regras do GCTI. ou ameaças à nuvem. Use o filtro Time para definir o número de dias em que esses dados são mostrados.

  • Alertas recentes: exibe os alertas recentes com a gravidade deles. e pontuação de risco. É possível classificar a tabela usando a coluna Hora do carimbo de data/hora do evento e acesse cada alerta para mais informações. Ela mostra o número de visualizações descobertas de segurança aprimoradas pelo Security Command Center. Essas descobertas de segurança são geradas por conjuntos de regras de detecção selecionados pela GCTI e categorizadas por tipo de descoberta. Você pode usar use o filtro Hora para definir o número de dias para os quais esses dados são exibidos.

  • Alertas por gravidade ao longo do tempo: exibe o total de alertas por gravidade, em alta com o tempo. Use o filtro Hora para definir o número de dias. para os quais esses dados são exibidos.

  • Cobertura de detecção: fornece informações sobre o SIEM das Operações de segurança do Google. conjuntos de regras e o status, o total de detecções e a data da detecção mais recente. Use o filtro Tempo para definir o número de dias em que esses dados serão mostrados.

  • Cobertura de dados em nuvem: oferece informações sobre todos os serviços do Google Cloud serviços, analisadores que abrangem cada serviço, evento visto pela primeira e pela última vez, e a capacidade de processamento total.

Para mais informações sobre os conjuntos de regras do CDIR, consulte Visão geral da categoria Ameaças à nuvem.

A tabela é seguida por gráficos de todos os serviços do Google Cloud com os respectivos que mostram a tendência de ingestão nos seguintes intervalos de tempo:

  • Últimas 24 horas
  • Últimos 30 dias
  • Últimos seis meses

Detecções com reconhecimento de contexto: painel de risco

O painel Detecções com reconhecimento de contexto: risco mostra insights sobre o status atual de ameaças dos recursos e usuários na sua empresa. Ele é construído usando campos da interface de exploração Detecções de regras.

Os valores da gravidade e da pontuação de risco são variáveis definidas em cada regra. Para um exemplo, consulte Sintaxe da seção de resultados. Em cada painel, os dados é classificado com base na gravidade e, em seguida, a pontuação de risco para identificar usuários e ativos com maior risco.

Você pode conferir as seguintes visualizações no painel Detecções com base no contexto: risco:

  • Recursos e dispositivos em risco: lista os 10 principais recursos com base na gravidade. que você defina a regra no Meta > Gravidade. Consulte Sintaxe da seção de meta. Os níveis de gravidade são Super alta, Crítica, Alta, Grande, Média e Baixa. Se o valor do nome do host não estiver presente no registro, o endereço IP será exibido.
  • Usuários em risco: lista os 10 principais usuários com base na gravidade. O níveis de gravidade: Super alta, Crítica, Alta, Grande, Média, e Baixa. Se o valor do nome de usuário não estiver presente no registro, ele exibe o ID do e-mail.
  • Risco agregado: para cada data, exibe a pontuação de risco total agregado.
  • Resultados da detecção: mostra detalhes sobre as detecções retornadas pelas regras do mecanismo de detecção. A tabela inclui o nome da regra, o ID de detecção, a pontuação de risco e a gravidade.

Painel de integridade e ingestão de dados

O painel Ingestão de dados e integridade fornece informações sobre o tipo, volume e integridade dos dados ingeridos pelo seu locatário do SIEM das Operações de segurança do Google. Use esse painel para monitorar anomalias no seu ambiente.

Esse painel oferece visualizações que ajudam a entender o volume de registros ingeridos, erros de ingestão e outras informações relevantes. Os dados no painel são atualizados a cada 15 minutos. Portanto, talvez seja necessário aguardar até 15 minutos para conferir as informações mais recentes.

É possível conferir as seguintes visualizações no painel Ingestão e integridade de dados:

  • Contagem de eventos ingeridos: o número total de eventos ingeridos.
  • Contagem de erros de ingestão: o número total de erros encontrados durante o processamento.
  • Distribuição do tipo de registro por contagem de eventos: exibe o registro distribuição de tipos com base no número de eventos de cada tipo de registro.
  • Distribuição do tipo de registro por capacidade: exibe os tipos de registro com base na capacidade de processamento.
  • Ingestão – eventos por status: exibe o número de eventos. com base no status delas.
  • Ingestão – Eventos por tipo de registro: exibe o número de eventos com base no status e tipo de registro.
  • Eventos ingeridos recentemente: exibe eventos ingeridos recentemente. para cada tipo de registro.
  • Informações de registro diário: exibe os números de registros para um dia para cada tipo de registro.
  • Contagem de eventos x tamanho: compara a contagem e o tamanho do evento ao longo de um período.
  • Capacidade de processamento: exibe a capacidade de processamento durante um período.

Painel de correspondências de IOC

O painel de correspondências de indicadores de comprometimento (IOCs) oferece visibilidade sobre os IOCs presentes na sua empresa.

Você pode conferir as seguintes visualizações no painel IOC Matches:

  • IOC Matches Over Time by Category: mostra o número de correspondências de IOC com base na categoria.
  • Os 10 principais indicadores de IOC de domínios: lista os 10 principais domínios indicadores de IOC junto com a contagem.
  • Dez principais indicadores de IOC IP: lista os 10 principais IOCs de endereços IP junto com a contagem.
  • 10 principais recursos por correspondências de IOC: lista os 10 principais recursos por correspondências de IOC com a contagem.
  • 10 principais correspondências de IOC por categoria, tipo e contagem: lista as 10 principais Correspondências de IOC por categoria, tipo e junto com a contagem.
  • 10 principais valores de IOC: lista os 10 principais valores de IOC junto com a contagem.
  • 10 valores raramente vistos: lista as 10 correspondências de IOC mais raras, além da contagem.

Painel "Rule Detections"

O painel Rule Detections fornece insights sobre as detecções retornadas pelas regras do mecanismo de detecção. Para receber detecções, ative as regras. Para mais informações, consulte Como executar uma regra em dados em tempo real.

O painel Detecções de regras mostra as seguintes visualizações:

  • Detecções de regras ao longo do tempo: mostra o número de regras de detecção ao longo de um período.
  • Regras detectadas por gravidade: mostra a gravidade das regras detectadas.
  • Detecções de regras por gravidade ao longo do tempo: exibe as informações diárias de detecções por gravidade ao longo do tempo.
  • 10 principais nomes de regras por detecções: lista os 10 principais regras que retornam o maior número de detecções.
  • Detecções de regras por nome ao longo do tempo: exibe as regras. que retornassem detecções a cada dia e o número de detecções retornadas.
  • 10 principais usuários por detecções de regras: lista os 10 usuários principais identificadores que apareceram em eventos que acionaram detecções.
  • 10 principais nomes de recursos por detecções de regras: lista os 10 principais nomes de recursos que apareceram em eventos que acionaram detecções, como o nome do host.
  • 10 principais IPs por detecções de regras: lista os 10 principais endereços IP que apareceram em eventos que acionaram detecções.

Painel de visão geral do login do usuário

O painel Visão geral do login do usuário mostra insights sobre os usuários. fazer login na empresa. Essas informações podem ser úteis para o acompanhamento tentativas de acesso à empresa por pessoas mal-intencionadas.

Por exemplo, você pode descobrir que um usuário específico tentou acessar sua empresa de um país em que você não tem um escritório ou que um usuário específico parece acessar repetidamente um aplicativo de contabilidade.

Confira as seguintes visualizações no painel Visão geral do login do usuário:

  • Número de logins bem-sucedidos: o número total de logins bem-sucedidos.
  • Número de falhas de login: o número total de falhas de login.
  • Logins por status: exibe a divisão de logins bem-sucedidos e com falha.
  • Entradas por status ao longo do tempo: mostra a divisão de entradas bem-sucedidas e com falha no período.
  • Os 10 principais aplicativos por login: mostra a divisão. das 10 principais inscrições frequentes com base no número de logins.
  • Falas por aplicativo: lista a contagem do status de login para cada aplicativo. A contagem de cada aplicativo é preenchida com base no os dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.
  • Os 10 principais países por logins: mostra o número de os 10 principais países de onde os usuários fizeram login.
  • Logins por país: exibe o número de todos os países. de onde os usuários fizeram login.
  • 10 principais logins por IP: mostra os 10 principais endereços IP. de onde os usuários fizeram login.
  • Mapa de local de login: mostra os locais dos endereços IP em que os usuários fizeram login.
  • Os 10 principais usuários por status de login: mostra o número de status de login. de cada usuário. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.

A seguir