此页面由 Cloud Translation API 翻译。

信息中心概览

Google Security Operations SIEM 信息中心可用于查看和分析 Google Security Operations SIEM 中的数据，包括安全遥测、注入指标、检测、警报和 IOC。这些信息中心基于 Looker 的功能。

Google Security Operations SIEM 可为您提供多个默认信息中心如本文档中所述。您也可以创建自定义信息中心。

默认信息中心

如需前往信息中心页面，请点击左侧导航栏中的信息中心。

默认信息中心包含存储在您的 Google Security Operations SIEM 实例。这些信息中心设计用于特定用例，例如了解 Google Security Operations SIEM 数据注入系统的状态或监控企业中的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件，可让您查看数据特定时间段的数据在排查问题或识别趋势例如，您可以使用过滤条件来查看数据过去一周或特定时间范围内的数据

无法修改默认信息中心。您可以复制默认信息中心，然后修改新信息中心以支持特定用例。

Google Security Operations SIEM 提供以下默认信息中心：

主要部分
云检测和响应
情境感知检测 - 风险
数据注入和运行状况
IOC 匹配项
规则检测
用户登录概览

主信息中心

主要信息中心会显示 Google Security Operations SIEM 数据注入系统。它还包含全球地图突出显示在您的企业中检测到的 IOC 的地理位置。

您可以在主信息中心内查看以下可视化图表：

注入的事件：注入的事件总数。
吞吐量：特定时间提取的数据量。
提醒：提醒的总数。
事件随时间的变化趋势：一个柱形图，显示一段时间内发生的事件
全球威胁地图 - IOC IP 匹配：IOC 的来源位置发生了匹配的事件。

。

“云检测和响应概览”信息中心

云检测和响应信息中心可帮助您监控您的云环境的安全状态，并调查潜在威胁。信息中心会显示各种可视化图表，可帮助您了解数据量来源、规则集、提醒和其他信息。

通过时间过滤条件，您可以按时间段过滤数据。

借助 GCP 日志类型过滤条件，您可以按 Google Cloud 日志类型过滤数据。

您可以在云检测和响应概览信息中心内查看以下可视化图表：

CDIR Rulesets Enabled：显示已启用的 Google Security Operations SIEM 规则集的百分比从 GCTI 为 Google Security Operations SIEM 提供的所有规则集中，用户。GCTI 提供多个预封装的精选规则。您可以启用或停用这些规则集。
涵盖的 GCP 数据源：显示涵盖的数据源在 Google Cloud 总数中所占的百分比可用的数据源。例如，如果您可以使用 40 种日志类型但您仅发送了 20% 的数据，则板块会显示 50%。
CDIR 提醒：显示根据 GCTI 规则集中的规则引发的提醒数量或云威胁。您可以使用时间过滤条件来设置相应数据
近期提醒：显示近期提醒及其严重程度和风险得分。您可以使用 Event Timestamp Time 列对表进行排序，请导航至每个提醒以了解详情。它可提供进一步增强了安全性。这些安全性发现结果是并按发现结果类型进行分类。您可以使用时间过滤条件来设置显示该数据的天数。
提醒数（按严重级别随时间变化的情况）：按严重程度显示提醒总数。趋势您可以使用时间过滤条件来设置具体天数数据的显示位置
检测覆盖率：提供有关 Google Security Operations SIEM 的信息规则集及其状态、检测总数和最近一次检测的日期。您可以使用时间过滤条件来设置显示此数据的天数。
云数据覆盖率：提供有关所有可用 Google Cloud 的信息服务、涵盖每项服务的解析器、首次出现的事件、上次出现的事件和总吞吐量

如需详细了解 CDIR 规则集，请参阅云威胁类别概览。

表格后面是所有 Google Cloud 服务的图表及其关联的显示它们在以下时间间隔内的提取趋势的数据：

过去 24 小时
过去 30 天
过去 6 个月

情境感知检测 - 风险信息中心

情境感知检测 - 风险信息中心可帮助您深入了解企业中资产和用户的当前威胁状态。它是专为 规则检测探索界面中的字段。

严重程度和风险得分值是每条规则中定义的变量。对于请参阅“结果”部分的语法。在每个面板中按严重程度排序然后根据风险得分识别用户和风险最大的资产。

您可以在情境感知检测 - 风险信息中心内查看以下可视化图表：

存在风险的资产和设备：根据严重程度列出前 10 项资产在 Meta > 中设置规则严重性。请参阅元部分语法。严重级别包括超高、严重、高、大、中和低。如果中不存在主机名值，记录，则会显示 IP 地址。
风险用户：根据严重程度列出前 10 名用户。通过严重级别包括超高、严重、高、大、中、和低。如果记录中不存在用户名值，会显示电子邮件 ID。
汇总风险：显示每个日期的汇总风险得分。
检测结果：显示检测返回的检测详细信息引擎规则该表包含规则名称、检测 ID、风险得分和严重程度。

“数据注入和健康状况”信息中心

数据提取和运行状况信息中心会提供数据类型、注入您的 Google Security Operations SIEM 租户的数据的数量和运行状况。您可以使用此信息中心来监控您环境中的异常情况。

该信息中心提供了各种直观的图表，可帮助您了解注入日志、注入错误和其他相关信息。数据来源：信息中心每 15 分钟刷新一次，因此最多可能需要等待 15 以了解最新信息。

您可以在数据提取与运行状况信息中心内查看以下可视化图表：

注入的事件数：注入的事件总数。
提取错误次数：提取期间遇到的错误总数。
日志类型分布（按事件计数）：显示日志根据每种日志类型的事件数量划分的类型分布情况。
日志类型分布（按吞吐量）：显示日志类型根据吞吐量进行分配
提取 - 事件（按状态）：显示事件数量根据其状态
提取 - 事件（按日志类型）：显示监控事件。
近期注入的事件：显示最近注入的事件日志类型
每日日志信息：显示日志类型。
事件数与规模：比较一段时间内的事件数和事件规模。
注入吞吐量：显示一段时间内的注入吞吐量。

IOC 匹配信息中心

入侵指标 (IOC) 匹配信息中心集成到您企业中的 IOC。

您可以在 IOC 匹配信息中心内查看以下可视化图表：

按类别统计的 IOC 匹配数：显示数字按类别划分的 IOC 匹配项。
前 10 个网域 IOC 指标：列出前 10 个网域 IOC 指标以及计数。
前 10 个 IP IOC 指标：列出前 10 个 IP 地址 IOC 以及计数
按 IOC 匹配的排名前 10 的资产：列出排名前 10 的资产以及计数。
按类别、类型和计数排名前 10 位的 IOC 匹配项：列出前 10 个 IOC 可按类别、类型和计数匹配。
前 10 个 IOC 值：列出前 10 个 IOC 值以及计数
10 个最罕见的值：列出前 10 个很少出现的值发生的 IOC 匹配项以及计数。

规则检测信息中心

规则检测信息中心提供有关返回的检测结果的数据分析检测引擎规则。若要接收检测结果，您必须启用规则。有关详情，请参阅针对实时数据运行规则。

您可以在规则检测信息中心内查看以下可视化图表：

规则检测数量随时间的变化趋势：显示规则数量一段时间内检测到的检测结果。
按严重性划分的规则检测：显示严重性规则检测结果。
规则检测（按严重级别）随时间的变化情况：显示每日一段时间内按严重程度划分的检测数量。
检测次数最多的 10 个规则名称：列出排名前 10 位的规则返回最多检测数的规则。
规则检测（按名称随时间变化的情况）：显示规则每天返回的检测结果数以及返回的检测数。
按规则检测结果排名前 10 位的用户：列出排名前 10 位的用户在触发检测的事件中出现的标识符。
按规则检测结果排名前 10 的素材资源名称：列出排名前 10 位的素材资源触发检测的事件中出现的素材资源名称，例如主机名。
按规则检测结果排名前 10 位的 IP：列出排名前 10 位的 IP 触发检测的事件中出现的地址。

用户登录概览信息中心提供了关于用户的数据分析登录你的企业这些信息有助于跟踪企图访问您的企业。

例如，您可能会发现特定用户曾尝试通过你没有设立办事处或某个用户似乎在某个国家/地区会反复访问会计应用。

您可以在用户登录概览信息中心内查看以下可视化图表：

成功登录次数：成功登录的总次数。
登录失败次数：登录失败的总次数。
登录状态（按状态）：显示登录成功和登录失败的比例。
按状态随时间变化的登录次数：显示在特定时间范围内成功登录和失败登录的数量
登录次数排名前 10 的应用：显示拆分情况排名前 10 的热门应用（基于登录次数）。
按应用登录：列出登录状态的次数应用场景系统会按照您在 security_result.action 字段中定义的日志数据。请参阅事件枚举类型。
按登录用户数排名前 10 的国家/地区：显示用户登录前 10 个国家/地区。
按国家/地区划分的登录次数：显示所有国家/地区的登录次数用户的登录位置
按 IP 划分的前 10 个登录：显示前 10 个 IP 地址用户的登录位置
登录位置地图：显示 IP 地址的位置用户的登录位置
按登录状态排名前 10 位的用户：显示登录状态的计数为每一位用户定制系统会按照您在 security_result.action 字段中定义的日志数据。请参阅事件枚举类型。

后续步骤

了解如何创建自定义信息中心