Descripción general de los paneles

Los paneles de Chronicle SIEM se pueden usar para ver y analizar los datos en Chronicle SIEM, incluida la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IOC. Estos paneles se basan en las capacidades de Looker.

Chronicle SIEM te proporciona varios paneles predeterminados, como se describe en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en el panel de navegación izquierdo.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de Chronicle SIEM. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos de Chronicle SIEM o supervisar el estado de las amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de intervalo de tiempo que te permite ver los datos de un período específico. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la última semana o de un intervalo de tiempo específico.

No se pueden modificar los paneles predeterminados. Puedes hacer una copia de un panel predeterminado y, luego, modificar el panel nuevo para admitir un caso de uso específico.

Chronicle SIEM proporciona los siguientes paneles predeterminados:

• Principal
• Detección y respuesta de Cloud
• Detecciones adaptadas al contexto: Riesgo
• Transferencia de datos y estado
• Coincidencias de IC
• Detectaciones de reglas
• Descripción general del acceso de usuarios

Panel principal

En el panel Main, se muestra información sobre el estado del sistema de transferencia de datos Chronicle SIEM. También incluye un mapa mundial que destaca la ubicación geográfica de los IOC detectados en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Main:

• Eventos transferidos: la cantidad total de eventos transferidos
• Capacidad de procesamiento: Es el volumen de datos que se transfieren durante un período específico.
• Alertas: Se refiere a la cantidad total de alertas que ocurrieron.
• Eventos a lo largo del tiempo: Un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
• Mapa de amenazas globales - Coincidencias de IP de IOC: Es la ubicación desde la que ocurrieron los eventos de coincidencia de IOC.

Panel Descripción general de la detección y la respuesta en la nube

El panel de Detección y respuesta de Cloud te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, los conjuntos de reglas, las alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro GCP Log Type te permite filtrar los datos por tipo de registro de Google Cloud.

Puedes ver las siguientes visualizaciones en el panel Cloud Detection and Response Overview:

• Conjuntos de reglas de CDIR habilitados: Muestra el porcentaje de conjuntos de reglas de Chronicle SIEM habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI a los usuarios de Chronicle SIEM. GCTI proporciona varias reglas seleccionadas previamente. Puedes habilitar o inhabilitar estos conjuntos de reglas.

• Fuentes de datos de GCP cubiertas (GCP Data Sources Covered): Muestra el porcentaje de fuentes de datos cubiertas del total de fuentes de datos de Google Cloud disponibles. Por ejemplo, si puedes transferir datos mediante 40 tipos de registro, pero envías datos solo de 20, la tarjeta muestra un 50%.

• Alertas del CDIR: Muestra la cantidad de alertas generadas a partir de las reglas dentro de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla usando la columna Hora de la marca de tiempo del evento y navegar a cada alerta para obtener más información. Proporciona la cantidad de resultados de seguridad agregados mejorados por Security Command Center. Estos resultados de seguridad se generan mediante conjuntos de reglas de detección seleccionadas de GCTI y se clasifican por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Alertas por gravedad a lo largo del tiempo: Muestra el total de alertas por gravedad, que son tendencia en el tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Cobertura de detección: Proporciona información sobre los conjuntos de reglas de Chronicle SIEM y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Cobertura de datos de Cloud: Proporciona información sobre todos los servicios de Google Cloud disponibles, los analizadores que cubren cada servicio, el evento visto por primera vez, el evento visto por última vez y la capacidad de procesamiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría de Cloud Threats.

A la tabla le siguen los gráficos de todos los servicios de Google Cloud con sus datos asociados que muestran la tendencia de transferencia en los siguientes intervalos de tiempo:

• Últimas 24 horas (Last 24 hours)
• Últimos 30 días
• Últimos seis meses

Detecciones teniendo en cuenta el contexto: Panel de riesgo

El panel Detectaciones adaptadas al contexto: riesgos proporciona estadísticas sobre el estado actual de las amenazas de los recursos y usuarios de la empresa. Se compila con campos en la interfaz de exploración de Detectaciones de reglas.

Los valores de gravedad y puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se ordenan según la gravedad y, luego, la puntuación de riesgo para identificar a los usuarios y recursos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Detecciones adaptadas al contexto: Riesgo:

• Assets and Devices at Risk: Se muestran los 10 recursos principales según la gravedad que hayas definido en la regla Meta > Gravedad. Consulta la sintaxis de la sección meta. Los niveles de gravedad son Super alta, Crítica, Alta, Grande, Media y Baja. Si el valor del nombre de host no está presente en el registro, muestra la dirección IP.
• Usuarios en riesgo: Muestra una lista de los 10 usuarios principales según su gravedad. Los niveles de gravedad son Super alto, Crítico, Alta, Grande, Media y Baja. Si el valor del nombre de usuario no está presente en el registro, se muestra el ID del correo electrónico.
• Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo agregado total.
• Resultados de la detección: muestra detalles sobre las detecciones que muestran las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Panel de estado y transferencia de datos

El panel Transferencia de datos y estado proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu usuario de Chronicle SIEM. Puedes usar este panel para supervisar las anomalías en tu entorno. La siguiente imagen

En este panel, se muestran visualizaciones que te ayudan a comprender el volumen de registros transferidos, los errores de transferencia y otra información.

Puedes ver las siguientes visualizaciones en el panel Transferencia de datos y estado:

• Recuento de eventos transferidos: La cantidad total de eventos transferidos.
• Recuento de errores de transferencia: La cantidad total de errores que se encontraron durante la transferencia.
• Distribución del tipo de registro por recuento de eventos (Log Type Distribution by Events Count): Muestra la distribución de los tipos de registros en función de la cantidad de eventos para cada tipo de registro.
• Distribución de tipos de registro por capacidad de procesamiento: Muestra la distribución de los tipos de registros según la capacidad de procesamiento.
• Transferencia (Events by Status): Muestra la cantidad de eventos según su estado.
• Transferencia: eventos por tipo de registro: Muestra la cantidad de eventos según su estado y tipo de registro.
• Recently Ingested Events: Muestra los eventos transferidos recientemente para cada tipo de registro.
• Información de registro diario: muestra la cantidad de registros de un día para cada tipo de registro.
• Cantidad de eventos frente a Tamaño: Compara la cantidad y el tamaño de los eventos durante un período.
• Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.

Panel de coincidencias del IOC

El panel de indicador de coincidencias de compromiso (IOC) proporciona visibilidad de los IOC presentes en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Coincidencias de IC:

• Coincidencias de IOC a lo largo del tiempo por categoría: Muestra la cantidad de coincidencias de IOC según su categoría.
• Principales 10 indicadores de IOC de dominios: Enumera los 10 indicadores principales de IOC de dominio junto con el recuento.
• Los 10 indicadores principales de IOC de IP: Muestra los 10 indicadores principales de IOC de direcciones IP junto con el recuento.
• Top 10 Assets by IOC Matches: Muestra los 10 activos principales por coincidencias de IOC junto con el recuento.
• Las 10 coincidencias principales de IOC por categoría, tipo y recuento: Muestra una lista de las 10 coincidencias principales de IOC por categoría, tipo y recuento.
• Top 10 IOC Values: Enumera los 10 valores principales de IOC junto con el recuento.
• Los 10 valores más frecuentes de IOC: Enumera las 10 coincidencias principales de IOC que se producen con poca frecuencia, junto con el recuento.

Panel de detecciones de reglas

El panel Rule Detections proporciona estadísticas sobre las detecciones que muestran las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Ejecuta una regla en datos activos.

Puedes ver las siguientes visualizaciones en el panel Detecciones de reglas:

• Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas durante un período.
• Rule Detections by Graverity (detecciones de reglas por gravedad): muestra la gravedad de las detecciones de reglas.
• Regla de detecciones por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad en el tiempo.
• Los 10 nombres de reglas principales por detecciones: Muestra una lista de las 10 reglas principales que muestran la mayor cantidad de detecciones.
• Regla de detección de detecciones por nombre a lo largo del tiempo: Muestra las reglas que mostraron detecciones cada día y la cantidad de detecciones mostradas.
• Los 10 usuarios principales por detecciones de reglas: Muestra una lista de los 10 identificadores de usuario principales que aparecieron en los eventos que activaron las detecciones.
• Top 10 Asset Names by Rule Detection: Muestra los 10 nombres de elementos principales que aparecieron en los eventos que activaron las detecciones, como el nombre de host.
• Las 10 IP principales por detecciones de reglas: Muestra una lista de las 10 direcciones IP principales que aparecieron en los eventos que activaron las detecciones.

Panel Descripción general del acceso de los usuarios

El panel Descripción general del acceso del usuario proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de acceso a tu empresa por parte de actores maliciosos.

Por ejemplo, es posible que un usuario en particular haya intentado acceder a tu empresa desde un país donde no tienes una oficina o que un usuario específico parezca acceder reiteradamente a una aplicación de contabilidad.

Puedes ver las siguientes visualizaciones en el panel Descripción general del acceso de usuarios:

• Cantidad de accesos correctos: Indica la cantidad total de accesos correctos.
• Cantidad de accesos con errores: La cantidad total de accesos con errores.
• Sign Ins By Status: Muestra la división de accesos correctos y fallidos.
• Sign Ins by Status Over Time: Muestra la división de accesos correctos y con errores durante el intervalo de tiempo.
• Top 10 Applications By Sign Ins: Muestra la división de las 10 aplicaciones más frecuentes según el número de accesos.
• Sign Ins By Application: Detalla la cantidad de estados de acceso de cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta Tipos de eventos enumerados.
• Los 10 países principales por accesos: Muestra el recuento de los 10 países principales desde los que accedieron los usuarios.
• Accesos por país: Muestra el recuento de todos los países desde los que accedieron los usuarios.
• Top 10 Sign Ins By IP: Muestra las 10 direcciones IP principales desde las que accedieron los usuarios.
• Mapa de ubicación de acceso: Muestra las ubicaciones de las direcciones IP desde las que accedieron los usuarios.
• Los 10 usuarios principales por estado de acceso: Muestra el recuento de estados de acceso de cada usuario. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta Tipos de eventos enumerados.

¿Qué sigue?

• Más información para crear un panel personalizado