Visão geral dos painéis

Os painéis do Chronicle SIEM podem ser usados para visualizar e analisar os dados no Chronicle SIEM, incluindo telemetria de segurança, métricas de ingestão, detecções, alertas e IOCs. Esses painéis são criados com base nas capacidades do Looker.

O Chronicle SIEM oferece vários painéis padrão, descritos neste documento. Você também pode criar painéis personalizados.

Painéis padrão

Para acessar a página Painéis, clique em Painéis na navegação à esquerda.

Os painéis padrão contêm visualizações predefinidas dos dados armazenados na instância do Chronicle SIEM. Esses painéis foram projetados para um caso de uso específico, como entender o estado do sistema de ingestão de dados do Chronicle SIEM ou monitorar o status de ameaças na sua empresa.

Cada painel padrão inclui um filtro de período que permite visualizar dados de um período específico. Isso pode ser útil ao solucionar problemas ou identificar tendências. Por exemplo, é possível usar o filtro para mostrar dados da última semana ou de um período específico.

Os painéis padrão não podem ser modificados. É possível fazer uma cópia de um painel padrão e depois modificar o novo painel para oferecer suporte a um caso de uso específico.

O Chronicle SIEM oferece os seguintes painéis padrão:

Principal
Detecção e resposta na nuvem
Detecção baseada no contexto: risco
Integridade e ingestão de dados
Correspondências do COI
Detecção de regras
Visão geral do login do usuário

Painel principal

O painel Main exibe informações sobre o status do sistema de ingestão de dados do Chronicle SIEM. Ele também inclui um mapa global com a localização geográfica dos IOCs detectados na sua empresa.

Você encontra as seguintes visualizações no painel Main:

Eventos ingeridos: o número total de eventos ingeridos.
Capacidade: o volume de dados ingeridos por um período específico.
Alertas: o número total de alertas que ocorreram.
Eventos ao longo do tempo: um gráfico de colunas que exibe os eventos que ocorreram ao longo de um período.
Mapa de ameaças globais - Correspondências de IP de IOC: o local em que os eventos correspondentes de IOC ocorreram.

Painel "Cloud Detection and Response Overview"

O painel Detecção e resposta na nuvem ajuda a monitorar o status de segurança do ambiente de nuvem e investigar possíveis ameaças. O painel mostra visualizações que ajudam a entender o volume de fontes de dados, conjuntos de regras, alertas e outras informações.

O filtro Tempo permite filtrar os dados por período.

O filtro Tipo de registro do GCP permite filtrar os dados por tipo de registro do Google Cloud.

É possível acessar as seguintes visualizações no painel Visão geral do Cloud Detection e da resposta:

Conjuntos de regras CDIR ativados: mostra a porcentagem de conjuntos de regras do Chronicle SIEM ativados para seu ambiente de nuvem com base no total de conjuntos de regras fornecidos pelo GCTI para usuários do Chronicle SIEM. O GCTI oferece várias regras selecionadas pré-empacotadas. Você pode ativar ou desativar esses grupos de regras.
Fontes de dados do GCP cobertas: exibe a porcentagem de fontes de dados cobertas em relação ao total disponível no Google Cloud. Por exemplo, se for possível ingerir dados usando 40 tipos de registro, mas enviar dados de apenas 20, o bloco exibirá 50%.
Alertas CDIR: exibe o número de alertas gerados pelas regras nos conjuntos de regras do GCTI ou ameaças do Cloud. Use o filtro Horário para definir o número de dias em que esses dados são exibidos.
Alertas recentes: exibe os alertas recentes com a gravidade e a pontuação de risco. É possível classificar a tabela usando a coluna Horário do carimbo de data/hora do evento e navegar até cada alerta para ver mais informações. Ele fornece o número de descobertas de segurança agregadas aprimoradas pelo Security Command Center. Essas descobertas de segurança são geradas por conjuntos de regras de detecção selecionadas pelo GCTI e categorizadas por tipo de descoberta. Use o filtro Horário para definir o número de dias em que esses dados serão exibidos.
Alertas por gravidade ao longo do tempo: exibe o total de alertas por gravidade, com tendências ao longo do tempo. Use o filtro Horário para definir o número de dias em que esses dados são exibidos.
Cobertura de detecção: fornece informações sobre os conjuntos de regras do Chronicle SIEM e o status, o total de detecções e a data da detecção mais recente. Use o filtro Horário para definir o número de dias em que esses dados serão exibidos.
Cobertura de dados da nuvem: fornece informações sobre todos os serviços disponíveis do Google Cloud, analisadores que abrangem cada serviço, evento visto pela primeira vez, evento visto pela última vez e a capacidade total.

Para mais informações sobre os conjuntos de regras de CDIR, consulte Visão geral da categoria de ameaças do Cloud.

A tabela é seguida por gráficos de todos os serviços do Google Cloud com os dados associados, que mostram a tendência de ingestão nos seguintes intervalos:

Últimas 24 horas
Últimos 30 dias
Últimos seis meses

Detecção baseada no contexto: painel de riscos

O painel Detecção baseada no contexto: risco mostra insights sobre o status atual das ameaças de recursos e usuários na sua empresa. Ele é criado usando campos na interface de navegação de detecção de regras.

Os valores de gravidade e pontuação de risco são variáveis definidas em cada regra. Para ver um exemplo, consulte a Sintaxe da seção de resultados. Em cada painel, os dados são classificados com base na gravidade e, em seguida, a pontuação de risco para identificar os usuários e recursos com maior risco.

Confira as seguintes visualizações no painel Detecção com base no contexto - Risco:

Assets and Devices at Risk: lista os 10 principais recursos com base na gravidade que você definiu a regra em Meta > Severity. Consulte Sintaxe de metaseção. Os níveis de gravidade são Super alto, Crítico, Alto, Grande, Média e Baixa. Se esse valor não estiver presente no registro, o endereço IP será exibido.
Usuários em risco: lista os 10 principais usuários com base na gravidade. Os níveis de gravidade são Super alto, Crítico, Alto, Grande, Média e Baixa. Se o valor do nome de usuário não estiver presente no registro, ele exibirá o ID do e-mail.
Risco agregado: para cada data, mostra a pontuação de risco agregada total.
Resultados da detecção: exibe detalhes sobre as detecções retornadas pelas regras do mecanismo de detecção. A tabela inclui o nome da regra, o ID de detecção, a pontuação de risco e a gravidade.

Ingestão de dados e painel de integridade

O painel Ingestão de dados e integridade fornece informações sobre o tipo, o volume e a integridade dos dados que estão sendo ingeridos no locatário do Chronicle SIEM. Use esse painel para monitorar anomalias no seu ambiente. A imagem a seguir

Esse painel mostra visualizações que ajudam a entender o volume de registros ingeridos, erros de ingestão e outras informações.

É possível visualizar as seguintes visualizações no painel Ingestão de dados e integridade:

Contagem de eventos ingeridos: o número total de eventos ingeridos.
Contagem de erros de ingestão: a quantidade total de erros encontrados durante o processamento.
Distribuição do tipo de registro por contagem de eventos: mostra a distribuição dos tipos de registro com base no número de eventos para cada tipo de registro.
Distribuição do tipo de registro por capacidade: mostra a distribuição dos tipos de registro com base na capacidade.
Ingestão – eventos por status: mostra o número de eventos com base no status.
Ingestão – eventos por tipo de registro: mostra o número de eventos com base no status e no tipo de registro.
Eventos ingeridos recentemente: exibe os eventos ingeridos recentemente para cada tipo de registro.
Informações de registro diário: exibe o número de registros de um dia para cada tipo de registro.
Contagem de eventos x tamanho: compara a contagem e o tamanho de eventos ao longo de um período.
Capacidade de ingestão: mostra a capacidade de ingestão ao longo de um período.

Painel de correspondências do IOC

O painel "Indicador de comprometimento" (IOC, na sigla em inglês) Correspondências oferece visibilidade dos IOCs presentes na sua empresa.

É possível acessar as seguintes visualizações no painel Correspondências de COI:

Correspondências de IOC ao longo do tempo por categoria: exibe o número de correspondências de IOC com base na categoria.
10 principais indicadores de IOC de domínios: lista os 10 principais indicadores de IOC de domínio, além da contagem.
10 principais indicadores de IOC de IP: lista os 10 principais indicadores de IOC de endereço IP, além da contagem.
10 principais recursos por correspondências de IOC: lista os 10 principais recursos por correspondências de IOC, além da contagem.
10 principais correspondências de IOC por categoria, tipo e contagem: lista as 10 principais correspondências de IOC por categoria, tipo e com a contagem.
10 principais valores de IOC: lista os 10 principais valores de IOC com a contagem.
10 principais valores raramente vistos: lista as 10 principais correspondências de IOC que raramente ocorrem, além da contagem.

Painel de detecção de regras

O painel Detecção de regras fornece insights sobre as detecções retornadas pelas regras do mecanismo de detecção. Para receber detecções, ative as regras. Para mais informações, consulte Como executar uma regra em dados ativos.

As seguintes visualizações estão disponíveis no painel Detecção de regras:

Detecção de regras ao longo do tempo: exibe o número de detecções de regras durante um período.
Detecção de regras por gravidade: exibe a gravidade das detecções de regras.
Detecção de regras por gravidade ao longo do tempo: exibe a contagem diária de detecções por gravidade ao longo do tempo.
10 principais nomes de regras por detecção: lista as 10 principais regras que retornam o maior número de detecções.
Detecção de regras por nome ao longo do tempo: exibe as regras que retornaram detecções a cada dia e o número de detecções retornadas.
10 principais usuários por detecção de regras: lista os 10 principais identificadores de usuários que apareceram em eventos que acionaram detecções.
10 principais nomes de recursos por detecção de regras: lista os 10 principais nomes de recursos que apareceram em eventos que acionaram detecções, como nome de host.
10 principais IPs por detecção de regras: lista os 10 principais endereços IP que apareceram em eventos que acionaram detecções.

O painel Visão geral do login do usuário apresenta insights sobre os usuários que fazem login na sua empresa. Essas informações podem ser úteis para rastrear tentativas de usuários mal-intencionados para acessar sua empresa.

Por exemplo, é possível descobrir que um usuário específico tentou acessar sua empresa de um país onde você não tem um escritório ou que um usuário específico parece acessar um aplicativo de contabilidade repetidamente.

O painel Visão geral do login do usuário inclui as seguintes visualizações:

Número de logins bem-sucedidos: o número total de logins concluídos.
Número de logins com falha: o número total de logins com falha.
Logins por status: mostra a divisão dos logins bem-sucedidos e com falha.
Logins por status ao longo do tempo: mostra a divisão de logins bem-sucedidos e com falha ao longo do período.
10 principais aplicativos por login: mostra a divisão dos 10 principais aplicativos frequentes com base no número de logins.
Logins por aplicativo: lista o número de status de login de cada aplicativo. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.
10 principais países por login: mostra o número dos 10 principais países em que os usuários fizeram login.
Logins por país: exibe a contagem de todos os países em que os usuários fizeram login.
10 principais logins por IP: exibe os 10 principais endereços IP de onde os usuários fizeram login.
Mapa de local de login: exibe os locais dos endereços IP de onde os usuários fizeram login.
10 principais usuários por status de login: mostra o número de status de login de cada usuário. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.

A seguir

Saiba como criar um painel personalizado.