Halaman ini diterjemahkan oleh Cloud Translation API.

Ringkasan dasbor

Didukung di:

Google SecOps SIEM

Dasbor SIEM Google Security Operations dapat digunakan untuk melihat dan menganalisis data di SIEM Google Security Operations, termasuk telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, dan IOC. Dasbor ini dibuat berdasarkan kemampuan Looker.

Google Security Operations SIEM menyediakan beberapa dasbor default, yang dijelaskan dalam dokumen ini. Anda juga dapat membuat dasbor kustom.

Dasbor default

Untuk membuka halaman Dasbor, klik Dasbor di navigasi sebelah kiri.

Dasbor default berisi visualisasi data standar yang disimpan dalam instance SIEM Google Security Operations Anda. Dasbor ini dirancang untuk kasus penggunaan tertentu, seperti memahami status sistem penyerapan data SIEM Google Security Operations atau memantau status ancaman di perusahaan Anda.

Setiap dasbor default menyertakan filter rentang waktu yang memungkinkan Anda melihat data untuk jangka waktu tertentu. Hal ini dapat membantu saat memecahkan masalah atau mengidentifikasi tren. Misalnya, Anda dapat menggunakan filter untuk melihat data selama seminggu terakhir atau selama rentang waktu tertentu.

Dasbor default tidak dapat diubah. Anda dapat membuat salinan dasbor default, lalu mengubah dasbor baru untuk mendukung kasus penggunaan tertentu.

SIEM Google Security Operations menyediakan dasbor default berikut:

Utama
Dasbor Pratinjau
Cloud Detection and Response
Deteksi Kontekstual - Risiko
Penyerapan dan Kesehatan Data
Kecocokan IOC
Deteksi Aturan
Ringkasan Login Pengguna

Dasbor utama

Dasbor Utama menampilkan informasi tentang status sistem penyerapan data SIEM Google Security Operations. Laporan ini juga menyertakan peta global yang menandai lokasi geografis IOC yang terdeteksi dalam perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor Utama:

Peristiwa yang Diserap: jumlah total peristiwa yang diserap.
Throughput: volume data yang diserap selama waktu tertentu.
Notifikasi: jumlah total notifikasi yang terjadi.
Peristiwa dari Waktu ke Waktu: diagram kolom yang menampilkan peristiwa yang terjadi selama jangka waktu tertentu.
Peta Ancaman Global - Kecocokan IP IOC: lokasi tempat peristiwa pencocokan IOC terjadi.

Pratinjau Dasbor

Anda dapat menggunakan fitur dasbor pratinjau Google Security Operations untuk membuat visualisasi di berbagai sumber data. Dasbor Google Security Operations terdiri dari berbagai diagram, yang diisi menggunakan YARA-L 2.0.

Sumber Data untuk dasbor pratinjau Google Security Operations

Sumber data berikut tersedia di dasbor pratinjau dengan awalan YARA-L berikut.

Sintaksis YARA-L 2.0 untuk dasbor pratinjau Google Security Operations

YARA-L 2.0 memiliki properti unik berikut saat digunakan di dasbor pratinjau:

Sumber data tambahan, seperti grafik entitas, metrik penyerapan, kumpulan aturan, dan deteksi tersedia di dasbor. Sumber data ini belum tersedia dalam aturan YARA-L dan penelusuran UDM.
Dasbor pratinjau Google Security Operations menggunakan sintaksis YARA-L. Untuk informasi selengkapnya, lihat Fungsi YARA-L 2.0 untuk dasbor pratinjau Google Security Operations dan fungsi gabungan yang menyertakan ukuran statistik. Penelusuran UDM (misalnya, principal.hostname = "john") tidak berfungsi dengan dasbor pratinjau Google Security Operations.
Bagian peristiwa dalam aturan YARA-L bersifat implisit dan tidak perlu dideklarasikan dalam kueri.
Bagian kondisi aturan YARA-L tidak digunakan untuk dasbor.

Memulai dasbor pratinjau Google Security Operations

Membuat dasbor baru

Untuk membuat dasbor baru, lakukan tindakan berikut:

Di halaman Preview dashboards, klik Create dashboard. Jendela Buat dasbor akan muncul.
Masukkan nama dan deskripsi dasbor Anda.
Dalam daftar Start with Existing Dashboard, pilih Blank dashboard. Anda juga dapat memulai dengan menyalin dasbor yang ada.
Tetapkan akses untuk dasbor Anda ke pribadi atau bersama. Dasbor pribadi hanya dapat dilihat oleh Anda, sedangkan dasbor bersama dapat dilihat oleh semua pengguna dalam organisasi Anda.
Klik Buat untuk membuat dasbor baru.

Menambahkan diagram

Dasbor terdiri dari diagram yang diisi dengan data menggunakan YARA-L. Untuk menambahkan diagram ke dasbor, lakukan tindakan berikut:

Di halaman Mengedit dasbor, klik Tambahkan diagram.
Di bagian Telusuri, masukkan kueri YARA-L untuk menjelajahi dan mengubah data Anda. Kueri YARA-L berikut mengambil tanggal dan tingkat keparahan deteksi, memfilter deteksi dengan tingkat keparahan yang tidak diketahui, dan menghitung deteksi yang berbeda untuk setiap tanggal. Deteksi diurutkan berdasarkan tanggal dalam urutan menaik.
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
Untuk rentang waktu yang ditentukan, pilih absolut atau relatif.
Setelah Anda memasukkan kueri, klik Run Search. Hasilnya ditampilkan dalam format tabel, yang merupakan jenis diagram default.
Di bagian Detail diagram, masukkan nama untuk diagram.
Untuk mengubah data dari hasil penelusuran yang ditata dalam tabel menjadi diagram batang, pilih Jenis diagram > Diagram batang.
Di Setelan data, masukkan jenis data dan nilai kolom untuk sumbu X dan sumbu Y. Untuk membuat contoh aturan YARA-L, Anda dapat memasukkan nilai berikut:
- Kolom sumbu X: date
- Kolom sumbu Y: detection_count
Di Label sumbu, masukkan label untuk sumbu X dan sumbu Y.
Di Pengelompokan, pilih Dikelompokkan.
Di Rangkaian, tetapkan kolom untuk pengelompokan ke tingkat keparahan. Tindakan ini akan mengubah diagram agar dikelompokkan berdasarkan tingkat keparahan.
Tinjau hasilnya, lalu klik Tambahkan ke dasbor.

Menambahkan filter

Anda dapat menggunakan filter untuk mengubah data yang tersedia berdasarkan kolom tertentu, yang hanya memengaruhi diagram yang menggunakan kolom tersebut dalam kuerinya.

Untuk menambahkan filter, lakukan tindakan berikut:

Di halaman dasbor utama, klik ikon pensil untuk mengedit dasbor.
Di halaman Editing dashboard, klik ikon filter untuk menambahkan filter.
Di jendela Kelola filter, klik ikon plus untuk mengonfigurasi filter baru.
Di kolom Kolom yang akan difilter, masukkan kolom yang ingin Anda gunakan untuk memfilter data. Misalnya, detection.collection_elements.references.event.principal.hostname
Di kolom Filter name, masukkan nama untuk filter.
Di kolom Apply to, pilih diagram tempat filter perlu diterapkan.
Opsional: Tetapkan nilai default untuk filter.
Klik Selesai untuk menambahkan filter dan menutup jendela Kelola filter.

Menerapkan filter

Untuk menerapkan filter ke diagram, lakukan tindakan berikut:

Di tampilan dasbor, klik ikon filter untuk melihat filter dasbor.
Di jendela Filter dasbor, pilih filter yang Anda buat.
Masukkan nilai untuk kolom yang ingin Anda filter.
Klik Terapkan. Diagram tempat filter diterapkan akan diperbarui untuk mencerminkan hasil yang difilter.

Menambahkan filter waktu global

Anda dapat menerapkan filter waktu global untuk memilih rentang waktu yang datanya dapat dilihat di semua diagram. Filter waktu global tersedia secara default untuk semua diagram dan mampu menangani waktu di semua sumber data. Tidak seperti filter waktu lainnya (misalnya, membuat filter di kolom metadata.event_timestmap) yang hanya memfilter dari dalam rentang waktu yang ditentukan di setiap diagram, filter waktu global saat diterapkan, lebih diutamakan daripada jangka waktu yang dipilih di setiap diagram.

Untuk menambahkan filter waktu global, lakukan hal berikut:

Di halaman dasbor utama, klik ikon pensil untuk mengedit dasbor.
Di halaman dasbor Pengeditan, klik ikon filter untuk menambahkan filter.
Di jendela Kelola filter, pilih Filter waktu global dari daftar filter.
Klik tombol untuk memastikan filter waktu global diaktifkan.
Di kolom Terapkan ke, pilih diagram tempat filter waktu global perlu diterapkan.
Di kolom Tetapkan nilai default, tetapkan rentang waktu yang digunakan untuk melihat data dalam istilah absolut atau relatif.
Klik Selesai untuk menambahkan filter dan menutup jendela Kelola filter.

Dasbor Ringkasan Deteksi dan Respons Cloud

Dasbor Cloud Detection and Response membantu Anda memantau status keamanan lingkungan cloud dan menyelidiki potensi ancaman. Dasbor menampilkan visualisasi yang membantu Anda memahami volume sumber data, kumpulan aturan, pemberitahuan, dan informasi lainnya.

Filter Waktu memungkinkan Anda memfilter data menurut jangka waktu.

Filter Jenis Log GCP memungkinkan Anda memfilter data menurut jenis log Google Cloud.

Anda dapat melihat visualisasi berikut di dasbor Ringkasan Deteksi dan Respons Cloud:

Kumpulan Aturan CDIR Diaktifkan: menampilkan persentase kumpulan aturan SIEM Google Security Operations yang diaktifkan untuk lingkungan cloud Anda dari total kumpulan aturan yang disediakan oleh GCTI untuk pengguna SIEM Google Security Operations. GCTI menyediakan beberapa aturan pilihan yang dikemas sebelumnya. Anda dapat mengaktifkan atau menonaktifkan kumpulan aturan ini.
Sumber Data GCP yang Dicakup: menampilkan persentase sumber data yang tercakup, dari total sumber data Google Cloud yang tersedia. Misalnya, jika Anda dapat menyerap data menggunakan 40 jenis log, tetapi hanya mengirim data untuk 20 jenis log, kartu akan menampilkan 50%.
Pemberitahuan CDIR: menampilkan jumlah pemberitahuan yang dimunculkan dari aturan dalam kumpulan aturan GCTI atau ancaman Cloud Anda. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.
Peringatan Terbaru: menampilkan peringatan terbaru dengan tingkat keparahan dan skor risikonya. Anda dapat mengurutkan tabel menggunakan kolom Waktu Stempel Waktu Peristiwa dan membuka setiap pemberitahuan untuk mengetahui informasi selengkapnya. Laporan ini memberikan jumlah temuan keamanan agregat yang ditingkatkan oleh Security Command Center. Temuan keamanan ini dihasilkan oleh kumpulan aturan deteksi pilihan GCTI dan dikategorikan menurut jenis temuan. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.
Notifikasi menurut Tingkat Keparahan dari Waktu ke Waktu: menampilkan total notifikasi menurut tingkat keparahan, yang sedang trending dari waktu ke waktu. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari yang datanya ditampilkan.
Cakupan Deteksi: memberikan informasi tentang kumpulan aturan SIEM Operasi Keamanan Google dan statusnya, total deteksi, serta tanggal deteksi terbaru. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari yang datanya ditampilkan.
Cakupan Data Cloud: memberikan informasi tentang semua layanan Google Cloud yang tersedia, parser yang mencakup setiap layanan, peristiwa pertama kali dilihat, peristiwa terakhir kali dilihat, dan total throughput.

Untuk mengetahui informasi selengkapnya tentang kumpulan aturan CDIR, lihat Ringkasan Kategori Ancaman Cloud.

Tabel ini diikuti dengan grafik semua layanan Google Cloud beserta data terkaitnya yang menunjukkan tren penyerapannya selama interval waktu berikut:

24 jam terakhir
30 hari terakhir
Enam bulan terakhir

Deteksi Kontekstual - Dasbor risiko

Dasbor Deteksi Kontekstual - Risiko memberikan insight tentang status ancaman saat ini pada aset dan pengguna di perusahaan Anda. Model ini dibuat menggunakan kolom di antarmuka eksplorasi Deteksi Aturan.

Nilai tingkat keparahan dan skor risiko adalah variabel yang ditentukan dalam setiap aturan. Sebagai contoh, lihat Sintaksis bagian hasil. Di setiap panel, data diurutkan berdasarkan tingkat keparahan, lalu skor risiko untuk mengidentifikasi pengguna dan aset yang paling berisiko.

Anda dapat melihat visualisasi berikut di dasbor Deteksi Berbasis Konteks - Risiko:

Aset dan Perangkat yang Berisiko: mencantumkan 10 aset teratas berdasarkan tingkat keparahan yang Anda tetapkan aturannya di Meta > Keparahan. Lihat Sintaksis bagian Meta. Tingkat keparahannya adalah Super Tinggi, Penting, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama host tidak ada dalam data, nilai tersebut akan menampilkan alamat IP.
Pengguna yang Berisiko: mencantumkan 10 pengguna teratas berdasarkan tingkat keparahan. Tingkat keseriusan adalah Super Tinggi, Penting, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama pengguna tidak ada dalam data, nilai tersebut akan menampilkan ID email.
Risiko Gabungan: untuk setiap tanggal, menampilkan total skor risiko gabungan.
Hasil Deteksi: menampilkan detail tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Tabel ini mencakup nama aturan, ID deteksi, skor risiko, dan tingkat keparahan.

Dasbor Penyerapan dan Kesehatan Data

Dasbor Penyerapan dan Kondisi Data memberikan informasi tentang jenis, volume, dan kondisi data yang diserap ke tenant SIEM Google Security Operations Anda. Anda dapat menggunakan dasbor ini untuk memantau anomali di lingkungan Anda.

Dasbor ini menyediakan visualisasi yang membantu Anda memahami volume log yang ditransfer, error transfer, dan informasi relevan lainnya. Data di dasbor diperbarui setiap 15 menit, jadi Anda mungkin perlu menunggu hingga 15 menit untuk melihat informasi terbaru.

Anda dapat melihat visualisasi berikut di dasbor Penyerapan dan Kondisi Data:

Jumlah Peristiwa yang Ditransfer: jumlah total peristiwa yang ditransfer.
Jumlah Error Proses Transfer: jumlah total error yang terjadi selama proses transfer.
Jumlah Error Mengurai: jumlah total error yang ditemukan selama penguraian.
Jumlah Error Validasi: jumlah total error yang ditemukan selama validasi.
Total Jumlah Error: jumlah total error yang terjadi.
Distribusi Jenis Log menurut Jumlah Peristiwa: menampilkan distribusi jenis log berdasarkan jumlah peristiwa untuk setiap jenis log.
Distribusi Jenis Log menurut Throughput: menampilkan distribusi jenis log berdasarkan throughput.
Penyerapan - Peristiwa menurut Status: menampilkan jumlah peristiwa berdasarkan statusnya.
Penyerapan - Peristiwa menurut Jenis Log: menampilkan jumlah peristiwa berdasarkan status dan jenis lognya.
Peristiwa yang Baru Ditransfer: menampilkan peristiwa yang baru ditransfer untuk setiap jenis log.
Informasi Log Harian: menampilkan jumlah log untuk satu hari untuk setiap jenis log.
Jumlah peristiwa vs. Ukuran: membandingkan jumlah dan ukuran peristiwa selama jangka waktu tertentu.
Throughput Proses Transfer: menampilkan throughput proses transfer selama jangka waktu tertentu.

Dasbor Kecocokan IOC

Dasbor Kecocokan Indikator Gangguan (IOC) memberikan visibilitas ke IOC yang ada di perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor IOC Matches:

IOC Matches Over Time by Category: menampilkan jumlah IOC match berdasarkan kategorinya.
10 Indikator IOC Domain Teratas: mencantumkan 10 indikator IOC domain teratas beserta jumlahnya.
10 Indikator IOC IP Teratas: mencantumkan 10 indikator IOC alamat IP teratas beserta jumlahnya.
10 Aset Teratas menurut Kecocokan IOC: mencantumkan 10 aset teratas menurut kecocokan IOC beserta jumlahnya.
10 pencocokan IOC teratas menurut Kategori, Jenis, dan Jumlah: mencantumkan 10 pencocokan IOC teratas menurut kategori, jenis, dan jumlah.
10 Nilai IOC Teratas: mencantumkan 10 nilai IOC teratas bersama dengan jumlahnya.
10 Nilai Teratas yang Jarang Dilihat: mencantumkan 10 kecocokan IOC teratas yang jarang terjadi beserta jumlahnya.

Dasbor Deteksi Aturan

Dasbor Deteksi Aturan memberikan insight tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Untuk menerima deteksi, Anda harus mengaktifkan aturan. Untuk informasi selengkapnya, lihat Menjalankan aturan terhadap data langsung.

Anda dapat melihat visualisasi berikut di dasbor Deteksi Aturan:

Deteksi Aturan dari Waktu ke Waktu: menampilkan jumlah deteksi aturan selama jangka waktu tertentu.
Deteksi Aturan menurut Tingkat Keparahan: menampilkan tingkat keparahan deteksi aturan.
Deteksi Aturan menurut Tingkat Keparahan dari Waktu ke Waktu: menampilkan jumlah harian deteksi menurut tingkat keparahan dari waktu ke waktu.
10 Nama Aturan Teratas berdasarkan Deteksi: mencantumkan 10 aturan teratas yang menampilkan jumlah deteksi terbesar.
Deteksi Aturan menurut Nama dari Waktu ke Waktu: menampilkan aturan yang menampilkan deteksi setiap hari dan jumlah deteksi yang ditampilkan.
10 Pengguna Teratas menurut Deteksi Aturan: mencantumkan 10 ID pengguna teratas yang muncul dalam peristiwa yang memicu deteksi.
10 Nama Aset Teratas menurut Deteksi Aturan: mencantumkan 10 nama aset teratas yang muncul dalam peristiwa yang memicu deteksi, seperti nama host.
10 IP Teratas menurut Deteksi Aturan: mencantumkan 10 alamat IP teratas yang muncul dalam peristiwa yang memicu deteksi.

Dasbor Ringkasan Login Pengguna memberikan insight tentang pengguna yang login ke perusahaan Anda. Informasi ini dapat berguna untuk melacak upaya pelaku berbahaya untuk mengakses perusahaan Anda.

Misalnya, Anda mungkin mendapati bahwa pengguna tertentu telah mencoba mengakses perusahaan Anda dari negara tempat Anda tidak memiliki kantor atau pengguna tertentu tampaknya berulang kali mengakses aplikasi akuntansi.

Anda dapat melihat visualisasi berikut di dasbor Ringkasan Login Pengguna:

Jumlah Login yang Berhasil: jumlah total login yang berhasil.
Jumlah Login Gagal: jumlah total login yang gagal.
Login Menurut Status: menampilkan pemisahan login yang berhasil dan gagal.
Login menurut Status dari Waktu ke Waktu: menampilkan pemisahan login yang berhasil dan gagal selama rentang waktu.
10 Aplikasi Teratas Berdasarkan Login: menampilkan pemisahan 10 aplikasi yang sering digunakan berdasarkan jumlah login.
Login Menurut Aplikasi: mencantumkan jumlah status login untuk setiap aplikasi. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis peristiwa yang dihitung.
10 Negara Teratas menurut Login: menampilkan jumlah 10 negara teratas tempat pengguna login.
Login berdasarkan Negara: menampilkan jumlah semua negara tempat pengguna login.
10 Login Teratas Menurut IP: menampilkan 10 alamat IP teratas tempat pengguna login.
Peta Lokasi Login: menampilkan lokasi alamat IP tempat pengguna login.
10 Pengguna Teratas berdasarkan Status Login: menampilkan jumlah status login untuk setiap pengguna. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis peristiwa yang dihitung.

Langkah selanjutnya

Pelajari cara membuat dasbor kustom