信息中心概览
Chronicle SIEM 信息中心可用于查看和分析 Chronicle SIEM 中的数据,包括安全遥测、提取指标、检测、提醒和 IOC。这些信息中心基于 Looker 的功能构建而成。
Chronicle SIEM 为您提供了多个默认信息中心,如本文档中所述。您还可以创建自定义信息中心。
默认信息中心
如需前往信息中心页面,请点击左侧导航栏中的信息中心。
默认信息中心包含存储在 Chronicle SIEM 实例中的数据的预定义可视化图表。这些信息中心专为特定使用场景而设计,例如了解 Chronicle SIEM 数据注入系统的状态或监控企业中的威胁状态。
每个默认信息中心都包含一个时间范围过滤条件,可让您查看特定时间段的数据。这在排查问题或确定趋势时非常有用。例如,您可以使用该过滤条件查看过去一周或特定时间范围内的数据。
无法修改默认信息中心。您可以复制默认信息中心,然后修改新信息中心以支持特定用例。
Chronicle SIEM 提供以下默认信息中心:
主信息中心
Main 信息中心会显示有关 Chonicle SIEM 数据注入系统状态的信息。它还包括一张全球地图,突出显示在贵企业内检测到的 IOC 的地理位置。
您可以在主信息中心内查看以下可视化图表:
- 注入的事件:注入的事件总数。
- 吞吐量:在特定时间内注入的数据量。
- 提醒次数:发生的提醒总数。
- 事件随时间变化情况:柱形图显示一段时间内发生的事件。
- 全球威胁地图 - IOC IP 匹配:发生 IOC 匹配事件的位置。
“Cloud Detection and Response Overview”信息中心
Cloud Detection and Response 信息中心可帮助您监控云环境的安全状态并调查潜在威胁。 信息中心显示的可视化图表可帮助您了解数据源、规则集、提醒和其他信息的数量。
借助时间过滤条件,您可以按时间段过滤数据。
借助 GCP 日志类型过滤条件,您可以按 Google Cloud 日志类型过滤数据。
您可以在 Cloud Detection and Response 概览信息中心内查看以下可视化效果:
CDIR Rulesets Enabled:显示为您的云环境启用的 Chronicle SIEM 规则集占 GCTI 为 Chronicle SIEM 用户提供的规则集总数的百分比。GCTI 提供多种预封装的精选规则。您可以启用或停用这些规则集。
涵盖的 GCP 数据源:显示涵盖的数据源占可用 Google Cloud 总数据源的百分比。例如,如果您可以使用 40 种日志类型来注入数据,但只针对 20 种日志类型发送数据,功能块会显示 50%。
CDIR 提醒:显示 GCTI 规则集中的规则或云威胁引发的提醒数量。您可以使用时间过滤条件设置要在多少天内显示此数据。
近期提醒:显示近期提醒及其严重程度和风险得分。您可以使用事件时间戳时间列对表进行排序,然后导航至每个提醒以了解详情。它提供由 Security Command Center 增强的汇总安全发现结果的数量。这些安全性发现结果由 GCTI 精选的检测规则集生成,并按发现结果类型分类。您可以使用时间过滤条件设置要在多少天内显示此数据。
提醒(按严重级别变化):按严重级别显示提醒总数,以及随时间变化的趋势。您可以使用时间过滤条件设置要在多少天内显示此数据。
检测覆盖率:提供有关 Chronicle SIEM 规则集及其状态、检测总数以及最近一次检测的日期的信息。您可以使用时间过滤条件设置要在多少天内显示此类数据。
云数据覆盖范围:提供有关所有可用的 Google Cloud 服务、涵盖每项服务的解析器、首次出现的事件、上次出现的事件以及总吞吐量的信息。
如需详细了解 CDIR 规则集,请参阅云威胁类别概览。
表格后面是所有 Google Cloud 服务及其关联数据的图表,显示了这些服务在以下时间间隔内的提取趋势:
- 过去 24 小时
- 过去 30 天
- 过去 6 个月
情境感知检测 - 风险信息中心
通过情境感知检测 - 风险信息中心,您可以深入了解企业中的资产和用户当前的威胁状态。它是使用规则检测探索界面中的字段构建的。
严重级别和风险得分值是每条规则中定义的变量。如需查看示例,请参阅“结果”部分语法。在每个面板中,数据按严重程度进行排序,然后是风险得分,以识别风险最大的用户和资源。
您可以在 Context Aware Detections - Risk(情境感知检测 - 风险)信息中心内查看以下可视化效果:
- 存在风险的资产和设备:根据您在 Meta > 严重性中设置的规则严重性列出前 10 项资产。请参阅元部分语法。 严重级别为超高、严重、高、大、中和低。如果记录中不存在主机名值,则会显示 IP 地址。
- 面临风险的用户:根据严重程度列出排在前 10 名的用户。严重级别包括超高、严重、高、大、中和低。如果记录中不存在用户名值,则会显示电子邮件 ID。
- 汇总风险:对于每个日期,显示汇总的风险得分总和。
- 检测结果:显示有关检测引擎规则返回的检测的详细信息。表格包含规则名称、检测 ID、风险得分和严重程度。
“数据注入和健康状况”信息中心
数据注入和健康状况信息中心提供了要注入到 Chronicle SIEM 租户中的数据的类型、数量和健康状况的信息。您可以使用此信息中心监控您环境中的异常情况。下图
此信息中心显示的可视化图表可帮助您了解提取的日志量、提取错误和其他信息。
您可以在数据提取和健康状况信息中心内查看以下可视化效果:
- 注入的事件数:注入的事件总数。
- 提取错误数:提取期间遇到的错误总数。
- 日志类型分布(按事件计数):根据每种日志类型的事件数量显示日志类型分布。
- 按吞吐量显示日志类型分布:根据吞吐量显示日志类型分布。
- 提取 - 事件(按状态):根据事件状态显示事件数量。
- 提取 - 按日志类型列出的事件:根据状态和日志类型显示事件数量。
- 最近提取的事件:显示每种日志类型最近提取的事件。
- Daily Log Information:显示每种日志类型一天内的日志数。
- 事件数与事件规模:比较一段时间内的事件数和事件规模。
- 注入吞吐量:显示一段时间内的注入吞吐量。
IOC 比赛信息中心
入侵指标 (IOC) 匹配信息中心可让您了解企业中存在的 IOC。
您可以在 IOC 匹配信息中心内查看以下可视化效果:
- IOC 匹配时间(按类别):根据类别显示 IOC 匹配数量。
- 排名前 10 的网域 IOC 指标:列出了排名前 10 的网域 IOC 指标以及计数。
- 排名前 10 的 IP IOC 指标:列出了排名前 10 的 IP 地址 IOC 指标以及计数。
- 按 IOC 匹配数排名前 10 的资产:列出了按 IOC 匹配数排名前 10 的资产及计数。
- 按类别、类型和计数排名前 10 的 IOC 匹配项:按类别、类型和计数列出了排名前 10 的 IOC 匹配项。
- 前 10 个 IOC 值:列出了前 10 个 IOC 值以及计数。
- 排名前 10 的罕见值:列出排名前 10 的 IOC 匹配项以及计数。
规则检测信息中心
您可以通过规则检测信息中心深入了解检测引擎规则返回的检测。如需接收检测,您必须启用规则。如需了解详情,请参阅针对实时数据运行规则。
您可以在规则检测信息中心内查看以下可视化效果:
- 一段时间内的规则检测次数:显示一段时间内规则检测的数量。
- 按严重级别划分的规则检测:显示规则检测的严重程度。
- 按严重级别划分的规则检测次数随时间的变化趋势:按严重级别显示一段时间内的每日检测次数。
- 检测次数最多的 10 个规则名称:列出了返回检测次数最多的前 10 条规则。
- 按名称统计的规则检测次数随时间的变化趋势:显示每天返回检测的规则以及返回的检测数量。
- 按规则检测划分的 10 大用户:列出了触发检测的事件中出现的前 10 个用户标识符。
- 按规则检测次数排名前 10 的资产名称:列出在触发检测的事件(例如主机名)中出现的前 10 个资产名称。
- 按规则检测最多的 10 个 IP:列出触发检测的事件中的前 10 个 IP 地址。
用户登录概览信息中心
通过用户登录概览信息中心,您可以深入了解登录企业的用户。此信息有助于跟踪恶意操作者访问您企业的尝试。
例如,您可能会发现特定用户尝试从您没有办公室的国家/地区访问您的企业,或者该用户似乎重复访问会计应用。
您可以在用户登录概览信息中心内查看以下可视化图表:
- 成功登录次数:成功登录的总次数。
- 登录失败次数:登录失败的总次数。
- Sign Ins By Status(按状态登录):显示成功登录和失败登录的分布情况。
- 随时间变化的登录状态(按状态划分):显示时间范围内成功登录和失败的登录次数的分布情况。
- 按登录次数排序的 10 大应用:显示根据登录次数排列的 10 大常用应用。
- Sign Ins By Application(按应用登录):列出了每个应用的登录状态计数。每个应用的计数根据您在
security_result.action
字段中定义的日志数据填充。请参阅事件枚举类型。 - 登录用户数量最多的 10 个国家/地区:显示登录用户数量最多的前 10 个国家/地区。
- Sign Ins by Country:显示已登录用户的所有国家/地区的数量。
- 前 10 个 IP 地址:显示用户登录时所用的前 10 个 IP 地址。
- Sign In Location Map(登录位置地图):显示用户登录时所用的 IP 地址的位置。
- 按登录状态排名前 10 的用户:显示每个用户的登录状态计数。每个应用的计数根据您在
security_result.action
字段中定义的日志数据填充。请参阅事件枚举类型。