ダッシュボードの概要

Google Security Operations SIEM ダッシュボードを使用すると、セキュリティ テレメトリー、取り込み指標、検出、アラート、IOC などのデータを Google Security Operations SIEM で表示して分析できます。これらのダッシュボードは、Looker の機能の上に構築されています。

Google Security Operations SIEM には、このドキュメントで説明する複数のデフォルトのダッシュボードが用意されています。カスタムダッシュボードを 作成することもできます

デフォルトのダッシュボード

[ダッシュボード] ページに移動するには、左側のナビゲーションで [ダッシュボード] をクリックします。

デフォルトのダッシュボードには、Google Security Operations SIEM インスタンスに格納されているデータの事前定義された可視化が含まれています。これらのダッシュボードは、Google Security Operations SIEM データ取り込みシステムの状態の把握や、企業内の脅威のステータスのモニタリングなど、特定のユースケースに合わせて設計されています。

デフォルトのダッシュボードには、特定の期間のデータを表示できる時間範囲フィルタが含まれています。これは、問題のトラブルシューティングや傾向の特定に役立ちます。たとえば、このフィルタを使用して、過去 1 週間または特定の期間のデータを表示できます。

デフォルトのダッシュボードは変更できません。デフォルトのダッシュボードのコピーを作成して、新しいダッシュボードを特定のユースケースに対応するように変更できます。

Google Security Operations SIEM には、次のデフォルトのダッシュボードが用意されています。

[Main] ダッシュボード

[メイン] ダッシュボードには、Google Security Operations SIEM のデータ取り込みシステムのステータスに関する情報が表示されます。また、企業内で検出された IOC の地理的位置を強調したグローバル マップも含まれます。

[メイン] ダッシュボードには、次の内容を可視化して表示できます。

  • 取り込まれたイベント数: 取り込まれたイベントの合計数。
  • スループット: 特定の時間に取り込まれるデータの量。
  • アラート: 発生したアラートの合計数。
  • イベント数の推移: 特定の期間に発生したイベントを表示する縦棒グラフ。
  • グローバル脅威マップ - IOC IP 一致: IOC 一致イベントが発生した場所。

[Cloud での検出と対応の概要] ダッシュボード

[Cloud での検出と対応] ダッシュボードは、クラウド環境のセキュリティ ステータスをモニタリングし、潜在的な脅威を調査するのに役立ちます。ダッシュボードには、データソースの量、ルールセット、アラート、その他の情報を理解するのに役立つ可視化が表示されます。

[時間] フィルタを使用すると、期間でデータをフィルタできます。

[GCP ログタイプ] フィルタを使用すると、Google Cloud ログタイプでデータをフィルタリングできます。

[Cloud での検出と対応の概要] ダッシュボードには、次の内容を可視化して表示できます。

  • 有効な CDIR ルールセット: Google Security Operations SIEM ユーザー向けに GCTI が提供する合計ルールセットのうち、クラウド環境で有効になっている Google Security Operations SIEM ルールセットの割合が表示されます。GCTI では、複数のパッケージ化されたキュレーション ルールが提供されています。これらのルールセットを有効または無効にできます。

  • 対象となる GCP データソース: 使用可能な Google Cloud データソース全体のうち、対象となるデータソースの割合が表示されます。たとえば、40 個のログタイプを使用してデータを取り込むことができるものの、20 個のデータのみを送信する場合、タイルには 50% と表示されます。

  • CDIR アラート: GCTI ルールセットまたは Cloud 脅威内のルールから発生したアラートの数を表示します。[時間] フィルタを使用して、このデータが表示される日数を設定できます。

  • 最近のアラート: 最近のアラートを重大度とリスクスコアとともに表示します。[イベント タイムスタンプ時間] 列でテーブルを並べ替え、各アラートに移動して詳細情報を確認できます。この中には、Security Command Center によって強化されたセキュリティ機能による検出結果の集計数が表示されます。これらのセキュリティ検出結果は、GCTI のキュレートされた検出ルールセットによって生成され、検出結果のタイプごとに分類されます。[時間] フィルタを使用して、このデータが表示される日数を設定できます。

  • 重大度別のアラートの推移: 重大度別のアラートの推移が時系列で表示されます。[時間] フィルタを使用して、このデータが表示される日数を設定できます。

  • 検出範囲: Google Security Operations SIEM ルールセットとそれらのステータス、合計検出数、最新の検出日に関する情報を提供します。[時間] フィルタを使用して、このデータが表示される日数を設定できます。

  • Cloud Data カバレッジ: 使用可能なすべての Google Cloud サービス、各サービスをカバーするパーサー、最初に検知されたイベント、最後に検知されたイベント、および合計スループットに関する情報が表示されます。

CDIR ルールセットの詳細については、Cloud 脅威カテゴリの概要をご覧ください。

表の下には、次の期間にわたる取り込みの傾向を示す関連データとともに、すべての Google Cloud サービスのグラフが表示されます。

  • Last 24 hours
  • 過去 30 日間
  • 過去 6 か月間

[Context Aware Detections - Risk] ダッシュボード

[コンテキストアウェア検出 - リスク] ダッシュボードには、企業内のアセットとユーザーの現在の脅威ステータスに関する分析情報が表示されます。これは、ルール検出の探索インターフェースのフィールドを使用して構築されます。

重大度とリスクスコアの値は、各ルールで定義される変数です。例については、結果セクションの構文をご覧ください。各パネルでは、データが重大度に基づいて並べ替えられ、リスクスコアに基づいて最もリスクの高いユーザーとアセットが特定されます。

[コンテキストアウェア検出 - リスク] ダッシュボードには、次の内容を可視化して表示できます。

  • リスクのあるアセットとデバイス: [Meta] > [Severity] でルールを設定した重大度に基づいて、上位 10 件のアセットが一覧表示されます。メタセクションの構文をご覧ください。重大度は「超巨大」、「重大」、「巨大」、「」、「」、「」です。レコードにホスト名の値が存在しない場合は、IP アドレスが表示されます。
  • リスクのあるユーザー: 重大度に基づいて上位 10 人のユーザーが一覧表示されます。重大度は「超巨大」、「重大」、「巨大」、「」、「」、「」です。レコードにユーザー名の値が存在しない場合は、メール ID が表示されます。
  • 集計リスク: 日付ごとに、集計されたリスクスコアの合計が表示されます。
  • 検出結果: 検出エンジンルールによって返された検出の詳細を表示します。テーブルには、ルール名、検出 ID、リスクスコア、重大度が含まれます。

[Data Ingestion and Health] ダッシュボード

[データの取り込みと健全性] ダッシュボードには、Google Security Operations SIEM テナントに取り込まれるデータの種類、ボリューム、健全性に関する情報が表示されます。このダッシュボードを使用して、環境内の異常をモニタリングできます。

このダッシュボードには、取り込まれたログの量、取り込みエラー、その他の関連情報を理解するのに役立つ可視化が表示されます。ダッシュボードのデータは 15 分ごとに更新されるため、最新の情報が表示されるまでに最大 15 分かかる場合があります。

[データの取り込みと健全性] ダッシュボードには、次の内容を可視化して表示できます。

  • 取り込まれたイベント数: 取り込まれたイベントの合計数。
  • 取り込みエラー数: 取り込み中に発生したエラーの合計数。
  • イベントタイプ別のログタイプの分布: 各ログタイプのイベント数に基づいてログタイプの分布が表示されます。
  • スループット別のログタイプの分布: スループットに基づいてログタイプの分布が表示されます。
  • 取り込み - ステータス別のイベント: ステータスに基づいてイベントの数が表示されます。
  • 取り込み - ログタイプ別のイベント: ステータスとログタイプに基づいてイベントの数が表示されます。
  • 最近取り込まれたイベント: 各ログタイプの最近取り込まれたイベントが表示されます。
  • 日次ログ情報: ログタイプごとに 1 日のログ数が表示されます。
  • イベント数とサイズ: 一定期間のイベント数とサイズを比較します。
  • 取り込みスループット: 一定期間における取り込みスループットを表示します。

[IOC の一致数] ダッシュボード

[セキュリティ侵害インジケーター(IOC)の一致数] ダッシュボードには、企業内に存在する IOC が表示されます。

[IOC の一致数] ダッシュボードには、次の内容を可視化して表示できます。

  • カテゴリ別の IOC の一致数の推移: カテゴリに基づいて IOC の一致数が表示されます。
  • 上位 10 個のドメインの IOC インジケーター: 上位 10 個のドメイン IOC インジケーターと数が表示されます。
  • 上位 10 件の IP IOC インジケーター: 上位 10 件の IP アドレスの IOC インジケーターと数が表示されます。
  • IOC 一致による上位 10 個のアセット: IOC 一致による上位 10 個のアセットと数が表示されます。
  • カテゴリ、タイプ、カウント別の上位 10 個の IOC の一致: カテゴリ、タイプ、カウント別の上位 10 個の IOC の一致が一覧表示されます。
  • 上位 10 件の IOC 値: 上位 10 件の IOC 値と数が表示されます。
  • まれに確認される上位 10 個の値: まれに発生する上位 10 件の IOC 一致と数が表示されます。

[ルール検出] ダッシュボード

[ルール検出] ダッシュボードには、検出エンジンルールによって返された検出結果に関する分析情報が表示されます。検出結果を受け取るには、ルールを有効にする必要があります。詳細については、ライブデータに対するルールの実行をご覧ください。

[ルール検出] ダッシュボードには、次の内容を可視化して表示できます。

  • 時間の経過に伴うルール検出: 一定期間におけるルール検出数の推移を表示します。
  • 重大度ごとのルール検出: ルール検出の重大度が表示されます。
  • 重大度別のルール検出数の推移: 重大度別の 1 日の検出数の推移が表示されます。
  • 検出に基づく上位 10 個のルール名: 最も多くの検出を返す上位 10 個のルールが一覧表示されます。
  • 名前別のルール検出数の推移: 日ごとに検出結果を返したルールと、返された検出数が表示されます。
  • ルール検出による上位 10 人のユーザー: 検出をトリガーしたイベントに表示されている上位 10 人のユーザー ID が表示されます。
  • ルール検出に基づく上位 10 個のアセット名: 検出をトリガーしたイベント(ホスト名など)に表示された回数が上位 10 件のアセット名が一覧表示されます。
  • ルール検出に基づく上位 10 件の IP: 検出をトリガーしたイベントに表示されている上位 10 件の IP アドレスの表示数が一覧表示されます。

[ユーザー ログインの概要] ダッシュボード

[ユーザー ログインの概要] ダッシュボードでは、企業にログインしたユーザーに関する分析情報を確認できます。この情報は、悪意のある行為者による企業へのアクセス試行を追跡する際に活用できます。

たとえば、オフィスを開設していない国から特定のユーザーがご自身の企業にアクセスしようとしたことが確認された場合や、特定のユーザーが会計アプリケーションに繰り返しアクセスしているように思われる場合があります。

[ユーザー ログインの概要] ダッシュボードには、次の内容を可視化して表示できます。

  • 成功したログインの数: 成功したログインの合計数。
  • 失敗したログインの数: 失敗したログインの合計数。
  • ステータス別のログイン数: 成功したログイン数と失敗したログイン数が分けて表示されます。
  • ステータス別のログイン数の推移: 一定期間における成功したログイン数と失敗したログイン数が分けて表示されます。
  • ログイン数に基づく上位 10 個のアプリケーション: ログイン数に基づいて、利用頻度の高いアプリケーションの上位 10 個が分けて表示されます。
  • アプリケーション別のログイン数: 各アプリケーションのログイン ステータスの数が一覧表示されます。各アプリケーションの数は、security_result.action フィールドで定義したログデータに基づいて入力されます。イベント列挙型をご覧ください。
  • ログイン数の上位 10 か国: ログインしたユーザーが存在する上位 10 か国のログイン数が表示されます。
  • 国別のログイン数: ログインしたユーザーが存在するすべての国の数が表示されます。
  • 上位 10 件の IP 別のログイン数: ユーザーのログイン元である、ログイン数が上位 10 件の IP アドレスが表示されます。
  • ログイン ロケーション マッピング: ユーザーのログイン元の IP アドレスのロケーションが表示されます。
  • ログイン ステータス別の上位 10 人のユーザー: 各ユーザーのログイン ステータスの数が表示されます。各アプリケーションの数は、security_result.action フィールドで定義したログデータに基づいて入力されます。イベント列挙型をご覧ください。

次のステップ