Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle dashboard

Supportato in:

Google SecOps SIEM

Le dashboard di Google Security Operations SIEM possono essere utilizzate per visualizzare e analizzare i dati in Google Security Operations SIEM, tra cui telemetria sulla sicurezza, metriche di importazione, rilevamenti, avvisi e indicatori di compromissione. Queste dashboard si basano funzionalità di Looker.

Il SIEM di Google Security Operations fornisce più dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nella barra di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati all'interno della tua istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dati SIEM di Google Security Operations o monitorare lo stato di minaccia nella tua azienda.

Ogni dashboard predefinita include un filtro per intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Può essere utile per la risoluzione di problemi identificare le tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati per la settimana precedente o per un intervallo di tempo specifico.

Impossibile modificare le dashboard predefinite. Puoi creare una copia di una dashboard predefinita e poi modificarla per supportare un caso d'uso specifico.

Il SIEM di Google Security Operations fornisce le seguenti dashboard predefinite:

Principale
Dashboard di anteprima
Rilevamento e risposta cloud
Rilevamenti sensibili al contesto - Rischio
Importazione e integrità dei dati
Corrispondenze IOC
Rilevamento delle regole
Panoramica degli accessi utente

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dei dati SIEM di Google Security Operations. Include anche una mappa mondiale che evidenzia la posizione geografica degli indicatori di compromissione rilevati all'interno della tua azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Principale:

Eventi importati: il numero totale di eventi importati.
Throughput: il volume di dati importati per un periodo di tempo specifico.
Avvisi: il numero totale di avvisi che si sono verificati.
Eventi nel tempo: un grafico a colonne che mostra gli eventi occorsi in un determinato periodo di tempo.
Mappa globale delle minacce - Corrispondenze IP IOC: la località da cui l'IOC si sono verificati eventi corrispondenti.

di Gemini Advanced.

Anteprima dashboard

Puoi utilizzare la funzionalità delle dashboard di anteprima di Google Security Operations per creare visualizzazioni su diverse origini dati. Una dashboard di Google Security Operations è composta da diversi grafici, che vengono compilati utilizzando YARA-L 2.0.

Origini dati per le dashboard di anteprima di Google Security Operations

Le seguenti origini dati sono disponibili nelle dashboard di anteprima con il seguente prefisso YARA-L.

Sintassi YARA-L 2.0 per le dashboard di anteprima di Google Security Operations

Quando utilizzato nelle dashboard di anteprima, YARA-L 2.0 ha le seguenti proprietà univoche:

Origini dati aggiuntive, come grafico delle entità, metriche di importazione, set di regole, e rilevamenti sono disponibili nelle dashboard. Queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca UDM.
Le dashboard di anteprima di Google Security Operations utilizzano la sintassi YARA-L. Per ulteriori informazioni, consulta le funzioni YARA-L 2.0 per le dashboard di anteprima di Google Security Operations e le funzioni aggregate che includono misure statistiche. La ricerca UDM (ad esempio principal.hostname = "john") non funziona con le dashboard di anteprima di Google Security Operations.
La sezione degli eventi di una regola YARA-L è implicita e non deve essere dichiarata nelle query.
La sezione delle condizioni di una regola YARA-L non viene utilizzata per le dashboard.

Dashboard di anteprima per iniziare a utilizzare Google Security Operations

Creare una nuova dashboard

Per creare una nuova dashboard:

Nella pagina Anteprime dashboard, fai clic su Crea dashboard. Viene visualizzata la finestra Crea dashboard.
Inserisci un nome e una descrizione per la dashboard.
Nell'elenco Inizia con la dashboard esistente, seleziona Dashboard vuota. Puoi anche iniziare copiando una dashboard esistente.
Imposta l'accesso alla dashboard come privato o condiviso. Le dashboard private sono visibili solo a te, mentre quelle condivise sono visibili a tutti gli utenti della tua organizzazione.
Fai clic su Crea per creare una nuova dashboard.

Aggiungi un grafico

Una dashboard è composta da grafici compilati con dati utilizzando lo strumento YARA-L. Per aggiungere un grafico alla dashboard:

Nella pagina Modifica della dashboard, fai clic su Aggiungi grafico.
Nella sezione Cerca, inserisci una query YARA-L per esplorare e trasformare i dati. La seguente query YARA-L recupera le date e i livelli di gravità dei rilevamenti, filtrando quelli con gravità sconosciuta e conta i diversi rilevamenti per ogni data. I rilevamenti sono ordinati per data in ordine crescente.
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
Per l'intervallo di tempo specificato, seleziona assoluto o relativo.
Dopo aver inserito la query, fai clic su Esegui ricerca. I risultati vengono visualizzati in formato tabulare, che è il tipo di grafico predefinito.
In Dettagli grafico, inserisci un nome per il grafico.
Per trasformare i dati dei risultati di ricerca tabellari in un grafico a barre, seleziona Tipo di grafico > Grafico a barre.
In Impostazioni dei dati, inserisci un tipo di dati e un valore del campo per l'asse X e Asse Y. Per basarti sulla regola di esempio YARA-L, puoi inserire i seguenti valori:
- Campo dell'asse X: date
- Campo asse Y: detection_count
In Etichetta asse, inserisci un'etichetta per l'asse X e l'asse Y.
In Raggruppamento, seleziona Raggruppati.
In Serie, imposta il campo per il raggruppamento in base alla gravità. In questo modo il grafico viene raggruppato per gravità.
Controlla i risultati e fai clic su Aggiungi alla dashboard.

Aggiungere un filtro

Puoi utilizzare i filtri per modificare i dati disponibili in base a un campo specifico, interessando solo i grafici che utilizzano quel campo nella query.

Per aggiungere un filtro:

Nella pagina della dashboard principale, fai clic sull'icona a forma di matita per modificare la dashboard.
Nella pagina Modifica della dashboard, fai clic sull'icona del filtro per aggiungere un filtro.
Nella finestra Gestisci filtri, fai clic sull'icona del segno Più per configurare un nuovo filtro.
Nel campo Campo da filtrare, inserisci un campo in base al quale vuoi filtrare i dati. Ad esempio, detection.collection_elements.references.event.principal.hostname
Nel campo Nome filtro, inserisci un nome per il filtro.
In Applica al campo, seleziona un grafico a cui applicare il filtro.
(Facoltativo) Imposta un valore predefinito per il filtro.
Fai clic su Fine per aggiungere il filtro e chiudere la finestra Gestisci filtri.

Applicare il filtro

Per applicare un filtro al grafico:

Nella visualizzazione della dashboard, fai clic sull'icona del filtro per visualizzare i filtri della dashboard.
Nella finestra Filtri della dashboard, seleziona il filtro che hai creato.
Inserisci un valore per il campo in base a cui vuoi filtrare.
Fai clic su Applica. Il grafico a cui viene applicato il filtro viene aggiornato in base ai risultati filtrati.

Aggiungere un filtro di tempo globale

Puoi applicare un filtro di tempo globale per selezionare un intervallo di tempo in cui i dati possono essere visualizzati in tutti i grafici. Il filtro dell'ora globale è disponibile per impostazione predefinita per tutti grafici ed è in grado di gestire il tempo di tutte le origini dati. A differenza di altri filtri temporali (ad esempio, la creazione di un filtro sul campo metadata.event_timestmap) che filtrano solo nell'intervallo di tempo specificato nel singolo grafico, un filtro temporale globale, se applicato, ha la precedenza sul periodo di tempo selezionato nel singolo grafico.

Per aggiungere un filtro ora globale:

Nella pagina della dashboard principale, fai clic sull'icona a forma di matita per modificare la dashboard.
Nella pagina della dashboard di modifica, fai clic sull'icona del filtro per aggiungere un filtro.
Nella finestra Gestisci filtri, seleziona Filtro ora globale dall'elenco dei filtri.
Fai clic sul pulsante di attivazione/disattivazione per assicurarti che il filtro dell'ora globale sia attivo.
Nel campo Applica a, seleziona i grafici a cui deve essere applicato il filtro temporale globale.
Nel campo Imposta valori predefiniti, imposta un intervallo di tempo in cui i dati vengono visualizzati in termini assoluti o relativi.
Fai clic su Fine per aggiungere il filtro e chiudere la finestra Gestisci filtri.

Dashboard Panoramica di rilevamento e risposta cloud

La dashboard Cloud Detection and Response ti aiuta a monitorare lo stato di sicurezza del tuo ambiente cloud e a indagare sulle potenziali minacce. La dashboard mostra visualizzazioni che ti aiutano a comprendere il volume dei dati origini, serie di regole, avvisi e altre informazioni.

Il filtro Tempo ti consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log Google Cloud consente di filtrare i dati in base al tipo di log Google Cloud.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamento cloud e panoramica della risposta:

Set di regole CDIR abilitati: visualizza la percentuale di set di regole SIEM di Google Security Operations abilitati per l'ambiente cloud dal totale delle serie di regole fornite da GCTI per Google Security Operations SIEM utenti. GCTI fornisce più regole selezionate e preconfezionate. Puoi attivare o disattivare di queste serie di regole.
Origini dati Google Cloud coperte: mostra la percentuale di origini dati coperte, rispetto al totale di Google Cloud. le origini dati disponibili. Ad esempio, se puoi importare i dati utilizzando 40 tipi di log, ma ne invii solo 20, il riquadro mostra il 50%.
Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei tuoi set di regole GCTI o minacce Cloud. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi recenti: visualizza gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Timestamp evento e vai a ciascun avviso per saperne di più. Fornisce il numero di risultati di sicurezza aggregati migliorati da Security Command Center. Questi risultati di sicurezza vengono generati da gruppi di regole di rilevamento selezionati dal GCTI e classificati in base al tipo di risultato. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi per gravità nel tempo: mostra gli avvisi totali per gravità e la relativa tendenza nel tempo. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Copertura dei rilevamenti: fornisce informazioni sugli insiemi di regole SIEM di Google Security Operations e sul relativo stato, sui rilevamenti totali e sulla data del rilevamento più recente. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.
Copertura dei dati cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sui parser che coprono ciascun servizio, sull'evento di primo rilevamento, sull'evento di ultimo rilevamento e sul throughput totale.

Per ulteriori informazioni sulle serie di regole CDIR, consulta Panoramica della categoria Cloud Threats.

La tabella è seguita dai grafici di tutti i servizi Google Cloud con i relativi che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

Ultime 24 ore
Ultimi 30 giorni
Ultimi sei mesi

Rilevamenti sensibili al contesto - Dashboard dei rischi

La dashboard Rilevamenti sensibili al contesto - Rischi fornisce informazioni dettagliate su: lo stato di minaccia attuale delle risorse e degli utenti dell'azienda. Viene creato utilizzando i campi nell'interfaccia dell'esplorazione Rilevamento regole.

I valori di gravità e punteggio di rischio sono variabili definite in ogni regola. Per un Ad esempio, consulta la sintassi della sezione Risultati. In ogni riquadro, i dati vengono ordinati in base alla gravità e quindi al punteggio di rischio per identificare le risorse più a rischio.

Nella dashboard Rilevamento contestuale - Rischio puoi visualizzare le seguenti visualizzazioni:

Asset e dispositivi a rischio: elenca i 10 asset principali in base alla gravità impostata per la regola in Meta > Gravità. Consulta la sintassi della sezione Meta. I livelli di gravità sono Molto alta, Critica, Alta. Large, Medium e Bassa. Se il valore del nome host non è presente in il record, quindi visualizza l'indirizzo IP.
Utenti a rischio: elenca i primi 10 utenti in base alla gravità. La i livelli di gravità sono Molto alta, Critica, Alta, Grande, Media. e Bassa. Se il valore del nome utente non è presente nel record, allora mostra l'ID email.
Rischio aggregato: per ogni data, mostra il punteggio di rischio aggregato totale.
Risultati del rilevamento: mostra i dettagli dei rilevamenti restituiti dal rilevamento. e regole del motore di ricerca. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Dashboard Importazione dati e stato

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, volume e integrità dei dati importati nel tenant SIEM di Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che ti aiutano a comprendere il volume dei log importati, gli errori di importazione e altre informazioni pertinenti. I dati su la dashboard viene aggiornata ogni 15 minuti, quindi potrebbe essere necessario attendere fino minuti per vedere le ultime informazioni.

Puoi vedere le seguenti visualizzazioni nella dashboard Importazione dei dati e integrità:

Conteggio eventi importati: il numero totale di eventi importati.
Conteggio errori di importazione: il numero totale di errori riscontrati durante l'importazione.
Distribuzione dei tipi di log per conteggio eventi: visualizza il log. dei tipi di log in base al numero di eventi per ciascun tipo di log.
Distribuzione dei tipi di log per velocità effettiva: visualizza i tipi di log. per la distribuzione in base alla velocità effettiva.
Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
Importazione - Eventi per tipo di log: mostra il numero di gli eventi in base allo stato e al tipo di log.
Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
Giornaliera Informazioni di log: visualizza il numero di log per un giorno per ciascun tipo di log.
Conteggio eventi e Dimensioni: confronta il numero e le dimensioni degli eventi in un periodo di tempo.
Velocità effettiva di importazione: mostra la velocità effettiva di importazione in un determinato periodo di tempo.

Dashboard Corrispondenze IOC

La dashboard Indicator of Compromise (IOC) Matches fornisce visibilità agli IOC presenti nella vostra azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Corrispondenze IOC:

Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze di IOC in base alla categoria.
Indicatori IOC dei 10 principali domini: elenca i 10 indicatori IOC dei principali domini insieme al conteggio.
Primi 10 indicatori IOC relativi all'indirizzo IP: elenca i primi 10 indicatori IOC relativi all'indirizzo IP insieme al conteggio.
10 asset principali per corrispondenze con IOC: elenca i 10 asset principali per corrispondenze con IOC, oltre al conteggio.
Le 10 corrispondenze IOC principali per categoria, tipo e conteggio: elenca le 10 corrispondenze IOC principali per categoria, tipo e conteggio.
Primi 10 valori IOC: elenca i primi 10 valori IOC insieme al conteggio.
Primi 10 valori raramente visualizzati: elenca i primi 10 valori IOC che si verificano raramente, insieme al conteggio.

Dashboard Rilevamento regole

La dashboard Rilevamenti delle regole fornisce informazioni sui rilevamenti restituiti. in base alle regole del motore di rilevamento. Per ricevere i rilevamenti, devi attivare le regole. Per ulteriori informazioni, vedi Eseguire una regola sui dati in tempo reale.

Nella dashboard Rilevamento regole puoi visualizzare le seguenti visualizzazioni:

Rilevamento delle regole nel tempo: mostra il numero di rilevamenti delle regole in un determinato periodo di tempo.
Rilevamenti delle regole per gravità: mostra la gravità dei rilevamenti delle regole.
Rilevamenti delle regole per gravità nel tempo: mostra le informazioni giornaliere il numero totale di rilevamenti per gravità nel tempo.
Primi 10 nomi di regole per rilevamenti: elenca le prime 10 che restituiscono il maggior numero di rilevamenti.
Rilevamenti delle regole per nome nel tempo: mostra le regole che ha restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
Primi 10 utenti per rilevamenti di regole: elenca i primi 10 utenti che appaiono in eventi che hanno attivato rilevamenti.
Primi 10 nomi asset per rilevamenti regola: elenca i 10 nomi asset principali visualizzati negli eventi che hanno attivato i rilevamenti, ad esempio l'hostname.
Primi 10 IP per rilevamenti di regole: elenca i primi 10 IP gli indirizzi visualizzati in eventi che hanno attivato rilevamenti.

La dashboard Panoramica degli accessi utente fornisce informazioni sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per monitorare tentativi di accesso all'azienda da parte di malintenzionati.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o in cui sembra che un utente specifico accedere ripetutamente a un'applicazione di contabilità.

Nella dashboard Panoramica degli accessi utente puoi visualizzare le seguenti visualizzazioni:

Numero di accessi riusciti: il numero totale di accessi riusciti.
Numero di accessi non riusciti: il numero totale di accessi non riusciti.
Accessi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
Accedi per stato nel tempo: mostra la suddivisione dei accessi riusciti e non riusciti nell'intervallo di tempo.
Le 10 app più utilizzate in base agli accessi: mostra la suddivisione delle 10 app più utilizzate in base al numero di accessi.
Accessi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Consulta Tipi enumerati di eventi.
Primi 10 paesi per accessi: mostra il conteggio dei primi 10 paesi da cui gli utenti hanno eseguito l'accesso.
Accessi per paese: mostra il conteggio di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
Accessi principali per indirizzo IP: mostra i 10 indirizzi IP principali da cui gli utenti hanno eseguito l'accesso.
Sign In Location Map (Mappa delle posizioni di accesso): mostra le posizioni degli indirizzi IP da dove hanno eseguito l'accesso gli utenti.
Primi 10 utenti per stato di accesso: mostra il conteggio dello stato di accesso per ciascun utente. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Consulta Tipi enumerati di eventi.

Passaggi successivi

Scopri come creare una dashboard personalizzata