Descripción general de los paneles
Los paneles SIEM de Google Security Operations se pueden usar para ver y analizar la datos en la SIEM de Google Security Operations, incluida la telemetría de seguridad, las métricas de transferencia, detecciones, alertas e IOC. Estos paneles se basan en la capacidades de Looker.
Google Security Operations SIEM te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.
Paneles predeterminados
Para navegar a la página Paneles, haz clic en Paneles en la barra de navegación izquierda.
Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos SIEM de Google Security Operations o supervisar el estado de amenazas en tu empresa.
Cada panel predeterminado incluye un filtro de intervalo de tiempo que te permite ver los datos durante un período específico. Esto puede ser útil cuando se solucionan problemas o se identifican tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la semana anterior o de un período específico.
No se pueden modificar los paneles predeterminados. Puedes crear una copia de un panel predeterminado y, luego, modificar el nuevo panel para que admita un caso de uso específico.
La SIEM de Google Security Operations proporciona los siguientes paneles predeterminados:
- Principal
- Panel de vista previa
- Detección y respuesta en la nube
- Detecciones adaptadas al contexto: Riesgo
- Transferencia de Datos y Salud
- Coincidencias de IOC
- Detecciones de reglas
- Descripción general del acceso de los usuarios
Panel principal
El panel Principal muestra información sobre el estado del sistema de transferencia de datos del SIEM de Google Security Operations. También incluye un mapa global que destaca la ubicación geográfica de los IOC detectados en tu empresa.
Puedes ver las siguientes visualizaciones en el panel Main:
- Eventos transferidos: Es la cantidad total de eventos transferidos.
- Capacidad de procesamiento: Es el volumen de datos que se transfiere durante un período específico.
- Alertas: Es la cantidad total de alertas que se produjeron.
- Eventos a lo largo del tiempo: es un gráfico de columnas que muestra los eventos que se produjeron durante un período de tiempo.
- Global Threat Map - IOC IP Matches: Es la ubicación desde la que se produjeron los eventos que coinciden con los IOC.
Panel de vista previa
Puedes usar la función de paneles de vista previa de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Un panel de Google Security Operations está compuesto por diferentes gráficos que se propagan con YARA-L 2.0.
Fuentes de datos para los paneles de vista previa de Google Security Operations
Las siguientes fuentes de datos están disponibles en los paneles de vista previa con el siguiente prefijo YARA-L.
Sintaxis de YARA-L 2.0 para los paneles de vista previa de Google Security Operations
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en los paneles de vista previa:
En los paneles, están disponibles fuentes de datos adicionales, como el grafo de entidades, las métricas de transferencia, los conjuntos de reglas y las detecciones. Estas fuentes de datos aún no están disponibles en las reglas de YARA-L y la búsqueda de UDM.
Los paneles de vista previa de Google Security Operations usan la sintaxis YARA-L. Para obtener más información, consulta las funciones de YARA-L 2.0 para los paneles de vista previa de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas. La búsqueda de UDM (por ejemplo,
principal.hostname = "john"
) no funciona con los paneles de vista previa de Google Security Operations.La sección de eventos de una regla de YARA-L está implícita y no es necesario declararla en las consultas.
La sección de condiciones de una regla YARA-L no se usa para los paneles.
Cómo comenzar a usar los paneles de vista previa de Google Security Operations
Crea un panel nuevo
Para crear un nuevo panel, haz lo siguiente:
En la página Vista previa de paneles, haz clic en Crear panel. Aparecerá la ventana Crear panel.
Ingresa un nombre y una descripción para tu panel.
En la lista Comenzar con un panel existente, selecciona Panel en blanco. También puedes comenzar por copiar un panel existente.
Configura el acceso a tu panel como privado o compartido. Solo tú puedes ver los paneles privados, mientras que todos los usuarios de tu organización pueden ver los paneles compartidos.
Haz clic en Crear para crear un panel nuevo.
Agrega un gráfico
Un panel se compone de gráficos que se completan con datos mediante YARA-L. Para agregar un gráfico a tu panel, haz lo siguiente:
En la página Panel de edición, haz clic en Agregar gráfico.
En la sección Búsqueda, ingresa una consulta YARA-L para explorar y transformar tus datos. La siguiente consulta de YARA-L recupera las fechas y los niveles de gravedad de las detecciones, filtra las que tienen una gravedad desconocida y cuenta las detecciones distintas de cada fecha. Las detecciones se ordenan por fecha en orden ascendente.
$date = timestamp.get_date(detection.created_time.seconds) $severity = detection.detection.severity $severity != "UNKNOWN_SEVERITY" match: $date, $severity outcome: $detection_count = count_distinct(detection.id) order: $date asc
Para el período especificado, selecciona absoluto o relativo.
Después de ingresar la consulta, haz clic en Run Search. Los resultados se muestran en formato tabular, que es el tipo de gráfico predeterminado.
En Detalles del gráfico, ingresa un nombre para el gráfico.
Para convertir los datos de los resultados de la búsqueda tabulados en un gráfico de barras, selecciona Tipo de gráfico > Gráfico de barras.
En Configuración de datos, ingresa un tipo de datos y un valor de campo para el eje X y el eje Y. Para compilar a partir de una regla de YARA-L de ejemplo, puedes ingresar los siguientes valores:
- Campo del eje X:
date
- Campo del eje Y:
detection_count
- Campo del eje X:
En Etiqueta del eje, ingresa una etiqueta para el eje X y el eje Y.
En Grouping, selecciona Grouped.
En Serie, establece el campo de agrupación en gravedad. Esto cambia el gráfico para que se agrupe por gravedad.
Revisa los resultados y, luego, haz clic en Agregar al panel.
Cómo agregar un filtro
Puedes usar filtros para modificar los datos disponibles en función de un campo específico y, así, afectar solo a los gráficos que usan ese campo en su consulta.
Para agregar un filtro, haz lo siguiente:
En la página principal del panel, haz clic en el ícono de lápiz
para editarlo.En la página Panel de edición, haz clic en el ícono de filtro
para agregar un filtro.En la ventana Administrar filtros, haz clic en el ícono de signo más
para configurar un filtro nuevo.En el campo Campo para filtrar, ingresa un campo según el que desees filtrar los datos. Por ejemplo,
detection.collection_elements.references.event.principal.hostname
En el campo Nombre del filtro, ingresa un nombre para el filtro.
En el campo Aplicar al, selecciona el gráfico en el que se debe aplicar el filtro.
Opcional: Establece un valor predeterminado para el filtro.
Haz clic en Listo para agregar el filtro y cerrar la ventana Administrar filtros.
Cómo aplicar el filtro
Para aplicar un filtro al gráfico, haz lo siguiente:
En la vista del panel, haz clic en el ícono de filtro
para ver los filtros del panel.En la ventana Filtros del panel, selecciona el filtro que creaste.
Ingresa un valor para el campo que deseas filtrar.
Haz clic en Aplicar. El gráfico en el que se aplica el filtro se actualiza para reflejar los resultados filtrados.
Agrega un filtro de hora global
Puedes aplicar un filtro de tiempo global para seleccionar un período durante el cual se pueden ver los datos en todos los gráficos. El filtro de hora global está disponible de forma predeterminada para todos los
gráficos y puede controlar la hora en todas las fuentes de datos. A diferencia de otros filtros de tiempo (por ejemplo, crear un filtro en el campo metadata.event_timestmap
) que solo filtran dentro del período especificado en el gráfico individual, un filtro de tiempo global, cuando se aplica, tiene prioridad sobre el período seleccionado en el gráfico individual.
Para agregar un filtro de hora global, haz lo siguiente:
En la página principal del panel, haz clic en el ícono de lápiz
para editarlo.En la página del panel de edición, haz clic en el ícono de filtro
para agregar un filtro.En la ventana Administrar filtros, selecciona Filtro de hora global en la lista de filtros.
Haz clic en el botón de activación para asegurarte de que el filtro de hora global esté habilitado.
En el campo Aplicar al, selecciona los gráficos en los que se debe aplicar el filtro de tiempo global.
En el campo Establecer valores predeterminados, establece un intervalo de tiempo durante el cual se verán los datos en términos absolutos o relativos.
Haz clic en Listo para agregar el filtro y cerrar la ventana Administrar filtros.
Panel de descripción general de la detección y respuesta de Cloud
El panel Cloud Detection and Response te ayuda a supervisar del estado de seguridad de tu entorno de nube y, además, investigar amenazas potenciales. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de datos fuentes, conjuntos de reglas, alertas y otra información.
El filtro Tiempo te permite filtrar los datos por período.
El filtro Tipo de registro de GCP te permite filtrar los datos por tipo de registro de Google Cloud.
Puedes ver las siguientes visualizaciones en el panel Descripción general de la detección y respuesta en la nube:
Conjuntos de reglas de CIR habilitados: muestra el porcentaje de conjuntos de reglas SIEM habilitados de Google Security Operations. para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para la SIEM de Google Security Operations usuarios. GCTI proporciona múltiples reglas seleccionadas y empaquetadas previamente. Puedes habilitar o inhabilitar de estos conjuntos de reglas.
Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas, del total de fuentes de datos de Google Cloud disponibles. Por ejemplo, si puedes transferir datos usando 40 tipos de registros pero solo envías datos del 20, la tarjeta muestra el 50%.
Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas dentro de tus conjuntos de reglas de GCTI. o amenazas en la nube. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas recientes: Muestra las alertas recientes con su gravedad. y la puntuación de riesgo. Puedes ordenar la tabla con la columna Event Timestamp Time y navegar a cada alerta para obtener más información. Proporciona la cantidad de datos resultados de seguridad mejorados por Security Command Center. Estos resultados de seguridad los generan conjuntos de reglas de detección seleccionados por GCTI y se clasifican por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas por gravedad a lo largo del tiempo: Muestra el total de alertas por gravedad. en tendencia con el tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de detección: Proporciona información sobre los conjuntos de reglas de SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes utilizar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de datos de Cloud: Proporciona información sobre todos los servicios disponibles de Google Cloud. servicios, analizadores que abarcan cada servicio, evento de primer acceso, evento de última vez que se detectó y la capacidad de procesamiento total.
Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría de amenazas a la nube.
La tabla está seguida de gráficos de todos los servicios de Google Cloud con sus respectivos datos que muestran su tendencia de transferencia en los siguientes intervalos de tiempo:
- Últimas 24 horas
- Últimos 30 días
- Últimos seis meses
Detecciones adaptadas al contexto: Panel de riesgos
El panel Detección consciente del contexto: Riesgo proporciona estadísticas sobre el estado de amenaza actual de los activos y los usuarios de tu empresa. Está construido con los campos de la interfaz del explorador Detecciones de reglas
Los valores de gravedad y puntuación de riesgo son variables que se definen en cada regla. Para un Por ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se clasifica según la gravedad y, luego, la puntuación de riesgo para identificar activos con mayor riesgo.
Puedes ver las siguientes visualizaciones en el panel Detecciones adaptadas al contexto: Riesgo:
- Assets and Devices at Risk: Muestra los 10 activos principales según la gravedad. que establezcas la regla en Meta > Gravedad. Consulta Sintaxis de la sección Meta: Los niveles de gravedad son Muy alto, Crítico, Alto, Grande, Mediano y Bajo. Si el valor del nombre de host no está presente en el registro y, luego, muestra la dirección IP.
- Usuarios en riesgo: Muestra una lista de los 10 usuarios principales según la gravedad. El los niveles de gravedad son Super alta, Crítica, Alta, Grande, Media y y Baja. Si el valor del nombre de usuario no está presente en el registro, muestra el ID del correo electrónico.
- Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo agregada total.
- Resultados de detección: Muestra detalles sobre las detecciones que muestran las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.
Panel de estado y transferencia de datos
El panel de Transferencia y estado de los datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu usuario de SIEM de Google Security Operations. Puedes usar este panel para supervisar si hay anomalías en tu entorno.
Este panel proporciona visualizaciones que te ayudan a comprender el volumen de registros transferidos, los errores de transferencia y otra información relevante. Los datos sobre el panel se actualiza cada 15 minutos, por lo que tal vez debas esperar minutos para ver la información más reciente.
Puedes ver las siguientes visualizaciones en el panel Data Ingestion and Health:
- Recuento de eventos transferidos: La cantidad total de eventos transferidos.
- Cantidad de errores de transferencia: Es la cantidad total de errores que se encontraron durante la transferencia.
- Log Type Distribution by Events Count: Muestra el registro. de tipos basada en la cantidad de eventos para cada tipo de registro.
- Distribución de tipos de registro por capacidad de procesamiento: Muestra la distribución de los tipos de registro según la capacidad de procesamiento.
- Transferencia: Eventos por estado: Muestra la cantidad de eventos según su estado.
- Transferencia: Eventos por tipo de registro: Muestra la cantidad de según su estado y tipo de registro.
- Eventos transferidos recientemente: Muestra los eventos transferidos recientemente. para cada tipo de registro.
- Información de registro diario: muestra la cantidad de registros de un día para cada tipo de registro.
- Cantidad de eventos en comparación con el tamaño: Compara la cantidad y el tamaño de los eventos durante un período.
- Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.
Panel de coincidencias de IOC
El panel del indicador de coincidencias de indicadores de compromiso (IOC) ofrece visibilidad a los IOC presentes en su empresa.
Puedes ver las siguientes visualizaciones en el panel Coincidencias de IOC:
- Coincidencias del IOC a lo largo del tiempo por categoría: muestra el número de coincidencias de los IOC según su categoría.
- Top 10 Domains IOC indicators: Muestra una lista de los 10 indicadores de IOC de dominio principales junto con el recuento.
- Los 10 indicadores principales de IOC de IP: Muestra una lista de los 10 IOC principales de las direcciones IP. indicadores junto con el recuento.
- Los 10 activos principales por coincidencias de IOC: enumera los 10 principales. activos por coincidencia de IOC junto con el recuento.
- Top 10 IOC matches by Category, Type, and Count: Muestra las 10 coincidencias de IOC más importantes por categoría, tipo y recuento.
- Top 10 IOC Values: Muestra una lista de los 10 valores de IOC principales junto con el recuento.
- Los 10 valores más vistos con poca frecuencia: Muestra los 10 principales con poca frecuencia. las coincidencias de IOC más frecuentes junto con el recuento.
Panel de detecciones de reglas
El panel Detección de reglas proporciona estadísticas sobre las detecciones que muestran las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Ejecuta una regla a partir de datos activos.
Puedes ver las siguientes visualizaciones en el panel Detecciones de reglas:
- Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de reglas. detecciones durante un período.
- Detección de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
- Detecciones de reglas por gravedad a lo largo del tiempo: Muestra la frecuencia recuento de detecciones por gravedad en el tiempo.
- 10 nombres de reglas principales por detecciones: Enumera las 10 principales de estado que muestren el mayor número de detecciones.
- Detección de reglas por nombre a lo largo del tiempo: Muestra las reglas que generaron detecciones cada día y la cantidad de detecciones que se generaron.
- 10 usuarios principales por detecciones de reglas: Muestra una lista de los 10 identificadores de usuarios principales que aparecieron en los eventos que activaron las detecciones.
- Los 10 nombres de recursos principales por detecciones de reglas: Muestra los 10 principales. Nombres de recursos que aparecieron en eventos que activaron detecciones, como el nombre de host.
- Top 10 IPs por detecciones de reglas: Muestra las 10 direcciones IP principales que aparecieron en los eventos que activaron las detecciones.
Panel Resumen de accesos de los usuarios
El panel Descripción general del acceso de usuarios proporciona estadísticas sobre los usuarios iniciando sesión en tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de personas malintencionadas de acceder a tu empresa.
Por ejemplo, podrías detectar que un usuario en particular intentó acceder a tu empresa desde un un país en el que no tienes una oficina o en el que parece que un usuario específico acceder varias veces a una aplicación de contabilidad.
Puedes ver las siguientes visualizaciones en el panel Descripción general de accesos de los usuarios:
- Cantidad de accesos exitosos: la cantidad total de accesos correctos.
- Cantidad de accesos fallidos: la cantidad total de accesos fallidos.
- Accesos por estado: Muestra la división de los accesos correctos y fallidos.
- Accesos por estado a lo largo del tiempo: muestra la división de accesos exitosos y fallidos durante el intervalo de tiempo.
- Top 10 Applications By Sign Ins: Muestra la división de las 10 aplicaciones frecuentes principales según la cantidad de accesos.
- Accesos por aplicación: Muestra el recuento del estado de acceso de cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que definas en el campo
security_result.action
. Consulta Tipos enumerados de eventos. - 10 países principales por accesos: Muestra el recuento de los 10 países principales desde los que los usuarios accedieron.
- Accesos por país: Muestra el recuento de todos los países desde los que los usuarios accedieron.
- 10 accesos principales por IP: Muestra las 10 direcciones IP principales. desde dónde acceden los usuarios.
- Mapa de ubicación de acceso: muestra las ubicaciones de las direcciones IP. desde dónde acceden los usuarios.
- 10 usuarios principales por estado de acceso: Muestra el recuento del estado de acceso de cada usuario. El recuento de cada aplicación se propaga en función de
los datos de registro que defines en el campo
security_result.action
. Consulta Tipos enumerados de eventos.