信息中心概览

Chronicle SIEM 信息中心可用于查看和分析 Chronicle SIEM 中的数据,包括安全遥测、提取指标、检测、提醒和 IOC。这些信息中心基于 Looker 的功能构建而成。

Chronicle SIEM 为您提供了多个默认信息中心,如本文档中所述。您还可以创建自定义信息中心

默认信息中心

如需前往信息中心页面,请点击左侧导航栏中的信息中心

默认信息中心包含存储在 Chronicle SIEM 实例中的数据的预定义可视化图表。这些信息中心专为特定使用场景而设计,例如了解 Chronicle SIEM 数据注入系统的状态或监控企业中的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件,可让您查看特定时间段的数据。这在排查问题或确定趋势时非常有用。例如,您可以使用该过滤条件查看过去一周或特定时间范围内的数据。

无法修改默认信息中心。您可以复制默认信息中心,然后修改新信息中心以支持特定用例。

Chronicle SIEM 提供以下默认信息中心:

主信息中心

Main 信息中心会显示有关 Chonicle SIEM 数据注入系统状态的信息。它还包括一张全球地图,突出显示在贵企业内检测到的 IOC 的地理位置。

您可以在信息中心内查看以下可视化图表:

  • 注入的事件:注入的事件总数。
  • 吞吐量:在特定时间内注入的数据量。
  • 提醒次数:发生的提醒总数。
  • 事件随时间变化情况:柱形图显示一段时间内发生的事件。
  • 全球威胁地图 - IOC IP 匹配:发生 IOC 匹配事件的位置。

“Cloud Detection and Response Overview”信息中心

Cloud Detection and Response 信息中心可帮助您监控云环境的安全状态并调查潜在威胁。 信息中心显示的可视化图表可帮助您了解数据源、规则集、提醒和其他信息的数量。

借助时间过滤条件,您可以按时间段过滤数据。

借助 GCP 日志类型过滤条件,您可以按 Google Cloud 日志类型过滤数据。

您可以在 Cloud Detection and Response 概览信息中心内查看以下可视化效果:

  • CDIR Rulesets Enabled:显示为您的云环境启用的 Chronicle SIEM 规则集占 GCTI 为 Chronicle SIEM 用户提供的规则集总数的百分比。GCTI 提供多种预封装的精选规则。您可以启用或停用这些规则集。

  • 涵盖的 GCP 数据源:显示涵盖的数据源占可用 Google Cloud 总数据源的百分比。例如,如果您可以使用 40 种日志类型来注入数据,但只针对 20 种日志类型发送数据,功能块会显示 50%。

  • CDIR 提醒:显示 GCTI 规则集中的规则或云威胁引发的提醒数量。您可以使用时间过滤条件设置要在多少天内显示此数据。

  • 近期提醒:显示近期提醒及其严重程度和风险得分。您可以使用事件时间戳时间列对表进行排序,然后导航至每个提醒以了解详情。它提供由 Security Command Center 增强的汇总安全发现结果的数量。这些安全性发现结果由 GCTI 精选的检测规则集生成,并按发现结果类型分类。您可以使用时间过滤条件设置要在多少天内显示此数据。

  • 提醒(按严重级别变化):按严重级别显示提醒总数,以及随时间变化的趋势。您可以使用时间过滤条件设置要在多少天内显示此数据。

  • 检测覆盖率:提供有关 Chronicle SIEM 规则集及其状态、检测总数以及最近一次检测的日期的信息。您可以使用时间过滤条件设置要在多少天内显示此类数据。

  • 云数据覆盖范围:提供有关所有可用的 Google Cloud 服务、涵盖每项服务的解析器、首次出现的事件、上次出现的事件以及总吞吐量的信息。

如需详细了解 CDIR 规则集,请参阅云威胁类别概览

表格后面是所有 Google Cloud 服务及其关联数据的图表,显示了这些服务在以下时间间隔内的提取趋势:

  • 过去 24 小时
  • 过去 30 天
  • 过去 6 个月

情境感知检测 - 风险信息中心

通过情境感知检测 - 风险信息中心,您可以深入了解企业中的资产和用户当前的威胁状态。它是使用规则检测探索界面中的字段构建的。

严重级别和风险得分值是每条规则中定义的变量。如需查看示例,请参阅“结果”部分语法。在每个面板中,数据按严重程度进行排序,然后是风险得分,以识别风险最大的用户和资源。

您可以在 Context Aware Detections - Risk(情境感知检测 - 风险)信息中心内查看以下可视化效果:

  • 存在风险的资产和设备:根据您在 Meta > 严重性中设置的规则严重性列出前 10 项资产。请参阅元部分语法。 严重级别为超高严重。如果记录中不存在主机名值,则会显示 IP 地址。
  • 面临风险的用户:根据严重程度列出排在前 10 名的用户。严重级别包括超高严重。如果记录中不存在用户名值,则会显示电子邮件 ID。
  • 汇总风险:对于每个日期,显示汇总的风险得分总和。
  • 检测结果:显示有关检测引擎规则返回的检测的详细信息。表格包含规则名称、检测 ID、风险得分和严重程度。

“数据注入和健康状况”信息中心

数据注入和健康状况信息中心提供了要注入到 Chronicle SIEM 租户中的数据的类型、数量和健康状况的信息。您可以使用此信息中心监控您环境中的异常情况。下图

此信息中心显示的可视化图表可帮助您了解提取的日志量、提取错误和其他信息。

您可以在数据提取和健康状况信息中心内查看以下可视化效果:

  • 注入的事件数:注入的事件总数。
  • 提取错误数:提取期间遇到的错误总数。
  • 日志类型分布(按事件计数):根据每种日志类型的事件数量显示日志类型分布。
  • 按吞吐量显示日志类型分布:根据吞吐量显示日志类型分布。
  • 提取 - 事件(按状态):根据事件状态显示事件数量。
  • 提取 - 按日志类型列出的事件:根据状态和日志类型显示事件数量。
  • 最近提取的事件:显示每种日志类型最近提取的事件。
  • Daily Log Information:显示每种日志类型一天内的日志数。
  • 事件数与事件规模:比较一段时间内的事件数和事件规模。
  • 注入吞吐量:显示一段时间内的注入吞吐量。

IOC 比赛信息中心

入侵指标 (IOC) 匹配信息中心可让您了解企业中存在的 IOC。

您可以在 IOC 匹配信息中心内查看以下可视化效果:

  • IOC 匹配时间(按类别):根据类别显示 IOC 匹配数量。
  • 排名前 10 的网域 IOC 指标:列出了排名前 10 的网域 IOC 指标以及计数。
  • 排名前 10 的 IP IOC 指标:列出了排名前 10 的 IP 地址 IOC 指标以及计数。
  • 按 IOC 匹配数排名前 10 的资产:列出了按 IOC 匹配数排名前 10 的资产及计数。
  • 按类别、类型和计数排名前 10 的 IOC 匹配项:按类别、类型和计数列出了排名前 10 的 IOC 匹配项。
  • 前 10 个 IOC 值:列出了前 10 个 IOC 值以及计数。
  • 排名前 10 的罕见值:列出排名前 10 的 IOC 匹配项以及计数。

规则检测信息中心

您可以通过规则检测信息中心深入了解检测引擎规则返回的检测。如需接收检测,您必须启用规则。如需了解详情,请参阅针对实时数据运行规则

您可以在规则检测信息中心内查看以下可视化效果:

  • 一段时间内的规则检测次数:显示一段时间内规则检测的数量。
  • 按严重级别划分的规则检测:显示规则检测的严重程度。
  • 按严重级别划分的规则检测次数随时间的变化趋势:按严重级别显示一段时间内的每日检测次数。
  • 检测次数最多的 10 个规则名称:列出了返回检测次数最多的前 10 条规则。
  • 按名称统计的规则检测次数随时间的变化趋势:显示每天返回检测的规则以及返回的检测数量。
  • 按规则检测划分的 10 大用户:列出了触发检测的事件中出现的前 10 个用户标识符。
  • 按规则检测次数排名前 10 的资产名称:列出在触发检测的事件(例如主机名)中出现的前 10 个资产名称。
  • 按规则检测最多的 10 个 IP:列出触发检测的事件中的前 10 个 IP 地址。

用户登录概览信息中心

通过用户登录概览信息中心,您可以深入了解登录企业的用户。此信息有助于跟踪恶意操作者访问您企业的尝试。

例如,您可能会发现特定用户尝试从您没有办公室的国家/地区访问您的企业,或者该用户似乎重复访问会计应用。

您可以在用户登录概览信息中心内查看以下可视化图表:

  • 成功登录次数:成功登录的总次数。
  • 登录失败次数:登录失败的总次数。
  • Sign Ins By Status(按状态登录):显示成功登录和失败登录的分布情况。
  • 随时间变化的登录状态(按状态划分):显示时间范围内成功登录和失败的登录次数的分布情况。
  • 按登录次数排序的 10 大应用:显示根据登录次数排列的 10 大常用应用。
  • Sign Ins By Application(按应用登录):列出了每个应用的登录状态计数。每个应用的计数根据您在 security_result.action 字段中定义的日志数据填充。请参阅事件枚举类型
  • 登录用户数量最多的 10 个国家/地区:显示登录用户数量最多的前 10 个国家/地区。
  • Sign Ins by Country:显示已登录用户的所有国家/地区的数量。
  • 前 10 个 IP 地址:显示用户登录时所用的前 10 个 IP 地址。
  • Sign In Location Map(登录位置地图):显示用户登录时所用的 IP 地址的位置。
  • 按登录状态排名前 10 的用户:显示每个用户的登录状态计数。每个应用的计数根据您在 security_result.action 字段中定义的日志数据填充。请参阅事件枚举类型

后续步骤