Panoramica delle dashboard

Le dashboard di Chronicle SIEM possono essere utilizzate per visualizzare e analizzare i dati in Chronicle SIEM, inclusi telemetria di sicurezza, metriche di importazione, rilevamenti, avvisi e IOC. Queste dashboard si basano sulle funzionalità di Looker.

Chronicle SIEM fornisce più dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nel menu di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati all'interno dell'istanza Chronicle SIEM. Queste dashboard sono progettate per un caso d'uso specifico, come la comprensione dello stato del sistema di importazione dati SIEM Chronicle o il monitoraggio dello stato della minaccia nella tua azienda.

Ogni dashboard predefinita include un filtro per intervallo di tempo che consente di visualizzare i dati per un periodo di tempo specifico. Ciò può essere utile per la risoluzione dei problemi o per l'identificazione delle tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati dell'ultima settimana o relativi a un intervallo di tempo specifico.

Le dashboard predefinite non possono essere modificate. Puoi creare una copia di una dashboard predefinita, quindi modificare la nuova dashboard per supportare un caso d'uso specifico.

Chronicle SIEM fornisce le seguenti dashboard predefinite:

• Principale
• Rilevamento e risposta nel cloud
• Rilevamenti sensibili al contesto - Rischio
• Importazione dei dati e integrità
• Corrispondenze IOC
• Rilevamenti di regole
• Panoramica dell'accesso utente

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dati Chronicle SIEM. Include inoltre una mappa globale che evidenzia la posizione geografica degli IOC rilevati all'interno della tua azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Principale:

• Eventi importati: il numero totale di eventi importati.
• Velocità effettiva: il volume di dati importati in un periodo di tempo specifico.
• Avvisi: il numero totale di avvisi generati.
• Eventi nel tempo: un grafico a colonne che mostra gli eventi che si sono verificati in un determinato periodo di tempo.
• Global Threat Map - IOC IP Matches: la località da cui si sono verificati gli eventi di corrispondenza IOC.

Dashboard panoramica Cloud Detection and Response

La dashboard Rilevamento e risposta cloud consente di monitorare lo stato di sicurezza del tuo ambiente cloud ed esaminare le potenziali minacce. La dashboard mostra visualizzazioni che aiutano a comprendere il volume di origini dati, set di regole, avvisi e altre informazioni.

Il filtro Tempo ti consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log di Google Cloud consente di filtrare i dati in base al tipo di log di Google Cloud.

Nella dashboard Panoramica del rilevamento e delle risposte di Cloud puoi visualizzare le seguenti visualizzazioni:

• Set di regole CDIR abilitate: mostra la percentuale di serie di regole Chronicle SIEM abilitate per il tuo ambiente cloud rispetto al totale delle serie di regole fornite da GCTI per gli utenti Chronicle SIEM. GCTI fornisce più regole selezionate predefinite. È possibile abilitare o disabilitare queste serie di regole.

• Origini dati GCP coperte: mostra la percentuale di origini dati coperte rispetto al totale delle origini dati Google Cloud disponibili. Ad esempio, se puoi importare dati utilizzando 40 tipi di log, ma ne invii i dati solo per 20, il riquadro mostra il 50%.

• Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei set di regole GCTI o delle minacce Cloud. Puoi utilizzare il filtro Tempo per impostare il numero di giorni per i quali visualizzare questi dati.

• Avvisi recenti: mostra gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Data timestamp evento e accedere a ciascun avviso per ulteriori informazioni. Fornisce il numero di risultati di sicurezza aggregati migliorati da Security Command Center. Questi risultati sulla sicurezza vengono generati da serie di regole di rilevamento selezionate da GCTI e categorizzate per tipo di risultato. Puoi utilizzare il filtro Tempo per impostare il numero di giorni per cui visualizzare i dati.

• Avvisi per gravità nel tempo: visualizza gli avvisi totali in base alla gravità, con tendenza nel tempo. Puoi utilizzare il filtro Tempo per impostare il numero di giorni durante i quali visualizzare i dati.

• Copertura del rilevamento: fornisce informazioni sui set di regole SIEM Chronicle e sul relativo stato, sui rilevamenti totali e sulla data del rilevamento più recente. Puoi utilizzare il filtro Tempo per impostare il numero di giorni per i quali visualizzare i dati.

• Copertura dati cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sui parser che coprono ciascun servizio, sull'evento "primo evento" e sull'ultimo evento rilevato, e sulla velocità effettiva totale.

Per ulteriori informazioni sui set di regole CDIR, consulta la Panoramica della categoria Cloud Threats.

La tabella è seguita da grafici di tutti i servizi Google Cloud con i relativi dati associati che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

• Ultime 24 ore
• Ultimi 30 giorni
• Ultimi sei mesi

Rilevamenti sensibili al contesto - Dashboard rischi

La dashboard Rilevamenti sensibili al contesto - Rischio fornisce informazioni sullo stato di minaccia attuale per gli asset e gli utenti della tua azienda. Si basa sui campi dell'interfaccia di esplorazione Rule Detections (Rilevamenti regole).

I valori di gravità e di punteggio di rischio sono variabili definite in ciascuna regola. Per un esempio, consulta la sintassi della sezione Risultati. In ogni riquadro, i dati vengono ordinati in base alla gravità e poi al punteggio di rischio per identificare gli utenti e gli asset più a rischio.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamenti sensibili al contesto - Rischio:

• Asset e dispositivi a rischio: elenca i primi 10 asset in base alla gravità con cui hai impostato la regola in Meta > Gravità. Consulta la pagina sulla sintassi delle meta sezioni. I livelli di gravità sono Super alta, Critica, Elevata, Grande, Media e Bassa. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.
• Utenti a rischio: elenca i primi 10 utenti in base alla gravità. I livelli di gravità sono Alto, Critico, Alto, Grande, Medio e Basso. Se il valore del nome utente non è presente nel record, verrà visualizzato l'ID email.
• Rischio aggregato: per ogni data viene visualizzato il punteggio di rischio aggregato totale.
• Risultati del rilevamento: mostra i dettagli sui rilevamenti restituiti dalle regole del motore di rilevamento. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Dashboard per l'importazione dei dati e l'integrità

La dashboard Importazione e integrità dei dati fornisce informazioni su tipo, volume e integrità dei dati importati nel tenant Chronicle SIEM. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente. Nell'immagine seguente

Questa dashboard mostra visualizzazioni che ti aiutano a comprendere il volume dei log importati, gli errori di importazione e altre informazioni.

Nella dashboard Importazione dati e integrità puoi vedere le seguenti visualizzazioni:

• Conteggio eventi importati: il numero totale di eventi importati.
• Conteggio errori di importazione: il numero totale di errori riscontrati durante l'importazione.
• Distribuzione dei tipi di log per conteggio eventi: mostra la distribuzione dei tipi di log in base al numero di eventi per ciascun tipo di log.
• Distribuzione dei tipi di log per velocità effettiva: visualizza la distribuzione dei tipi di log in base alla velocità effettiva.
• Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
• Importazione - Eventi per tipo di log: mostra il numero di eventi in base al loro stato e al tipo di log.
• Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
• Informazioni di log giornaliero: visualizza il numero di log per un giorno per ogni tipo di log.
• Conteggio eventi e dimensione: confronta il numero e la dimensione degli eventi in un periodo di tempo.
• Velocità effettiva di importazione: mostra la velocità effettiva di importazione relativa a un periodo di tempo.

Dashboard delle corrispondenze IOC

La dashboard delle corrispondenze dell'indicatore di compromissione (IOC) fornisce visibilità sugli IOC presenti nella tua azienda.

Puoi visualizzare le seguenti visualizzazioni nella dashboard Corrispondenze IOC:

• Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze IOC in base alla categoria.
• Principali 10 indicatori IOC dei domini: elenca i 10 principali indicatori IOC di dominio insieme al numero.
• Primi 10 indicatori IOC IP: elenca i 10 principali indicatori IOC degli indirizzi IP insieme al numero.
• prime 10 risorse per corrispondenze IOC: elenca le prime 10 risorse per corrispondenze del IOC e per il relativo numero.
• Principali 10 corrispondenze IOC per categoria, tipo e numero: elenca le prime 10 corrispondenze IOC per categoria, tipo e insieme al numero.
• Primi 10 valori IOC: elenca i primi 10 valori IOC insieme al conteggio.
• Primi 10 valori rilevati raramente: elenca insieme al numero le prime 10 corrispondenze di IOC che si verificano raramente.

Dashboard Rilevamenti regole

La dashboard Rilevamenti regole fornisce insight sui rilevamenti restituiti dalle regole del motore di rilevamento. Per ricevere i rilevamenti, devi abilitare le regole. Per ulteriori informazioni, consulta Esecuzione di una regola in base ai dati in tempo reale.

Nella dashboard Rilevamenti regole puoi vedere le seguenti visualizzazioni:

• Rilevamenti delle regole nel tempo: mostra il numero di rilevamenti delle regole in un periodo di tempo.
• Rilevamenti di regole per gravità: mostra la gravità dei rilevamenti delle regole.
• Rilevamenti di regole per gravità nel tempo: mostra il numero giornaliero di rilevamenti in base alla gravità nel tempo.
• Primi 10 nomi di regole per rilevamenti: elenca le prime 10 regole che restituiscono il maggior numero di rilevamenti.
• Rilevamenti di regole per nome nel tempo: mostra le regole che hanno restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
• Primi 10 utenti per rilevamenti delle regole: elenca i 10 principali identificatori utente che sono stati utilizzati negli eventi che hanno attivato dei rilevamenti.
• Primi 10 nomi di asset per rilevamenti delle regole: elenca i primi 10 nomi di asset visualizzati negli eventi che hanno attivato rilevamenti, ad esempio il nome host.
• Primi 10 IP per rilevamenti delle regole: elenca i primi 10 indirizzi IP visualizzati negli eventi che hanno attivato dei rilevamenti.

Dashboard Panoramica dell'accesso utente

La dashboard Panoramica dell'accesso utente fornisce informazioni dettagliate sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per monitorare i tentativi di accesso alla tua azienda da parte di malintenzionati.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o che un determinato utente sembra accedere ripetutamente a un'applicazione di contabilità.

Nella dashboard Panoramica dell'accesso utente puoi vedere le seguenti visualizzazioni:

• Numero di accessi riusciti: il numero totale di accessi riusciti.
• Numero di accessi non riusciti: il numero totale di accessi non riusciti.
• Accedi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
• Accedi per stato nel tempo: mostra la suddivisione degli accessi riusciti e non riusciti nell'intervallo di tempo.
• Top 10 Applications per Sign Ins: mostra la suddivisione delle prime 10 applicazioni frequenti in base al numero di accessi.
• Accedi per applicazione: elenca il numero di volte in cui è stato eseguito l'accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Vedi Tipi enumerati di eventi.
• Primi 10 paesi per accessi: mostra il numero dei primi 10 paesi da cui gli utenti hanno eseguito l'accesso.
• Accedi per paese: mostra il numero di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
• Primi 10 accessi per IP: mostra i primi 10 indirizzi IP da cui gli utenti hanno eseguito l'accesso.
• Mappa della posizione di accesso: mostra la posizione degli indirizzi IP da cui gli utenti hanno eseguito l'accesso.
• Primi 10 utenti per stato di accesso: mostra il numero di volte in cui è stato eseguito l'accesso per ogni utente. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Vedi Tipi enumerati di eventi.

Passaggi successivi

• Scopri come creare una dashboard personalizzata