資訊主頁總覽

支援的國家/地區:

使用 Google Security Operations SIEM 資訊主頁,查看及分析 Google Security Operations SIEM 中的資料,包括安全性遙測、擷取指標、偵測結果、快訊和 IoC。這些資訊主頁是以 Looker 的功能為基礎。

Google Security Operations SIEM 提供多個預設資訊主頁,詳情請參閱本文。您也可以建立自訂資訊主頁

預設資訊主頁

按一下「資訊主頁」,開啟「資訊主頁」頁面。

預設資訊主頁包含預先定義的視覺化圖表,可呈現 Google Security Operations SIEM 執行個體中儲存的資料。這些資訊主頁是為特定用途而設計,例如瞭解 Google Security Operations SIEM 資料擷取系統的狀態,或監控企業中的威脅狀態。

每個預設資訊主頁都包含時間範圍篩選器,可讓您查看特定時間範圍的資料。這有助於排解問題或找出趨勢。舉例來說,您可以使用篩選器查看過去一週或特定時間範圍內的資料。

Google Security Operations SIEM 提供下列預設資訊主頁:

主要資訊主頁

「主要」資訊主頁會顯示 Google Security Operations SIEM 資料擷取系統的狀態資訊。此外,還會顯示全球地圖,標示企業內偵測到的 IOC 地理位置。

您可以在「主要」資訊主頁中查看下列視覺化資料:

  • 擷取的事件:擷取的事件總數。
  • 輸送量:特定時間內擷取的資料量。
  • 快訊:一段時間內發生的偵測總數。「警告與 IOC」頁面顯示的警告數量可能不同,因為這個頁面只會顯示目前的警告。詳情請參閱「查看快訊」。
  • 一段時間內的事件:顯示一段時間內發生的事件的直條圖。
  • 全球威脅地圖 - IoC IP 比對:發生入侵指標 (IoC) 比對事件的位置。

Cloud Detection and Response 總覽資訊主頁

雲端偵測與回應資訊主頁可協助您監控雲端環境的安全狀態,並調查潛在威脅。資訊主頁會顯示視覺化內容,協助您瞭解資料來源、規則集、快訊和其他資訊的數量。

時間篩選器可讓您依時間範圍篩選資料。

GCP 記錄類型篩選器可讓您依記錄類型篩選資料。 Google Cloud

您可以在「Cloud Detection and Response Overview」資訊主頁中查看下列視覺化內容:

  • 已啟用 CDIR 規則集:顯示為雲端環境啟用的 Google Security Operations SIEM 規則集百分比,以 GCTI 為 Google Security Operations SIEM 使用者提供的規則集總數為基準。GCTI 提供多項預先封裝的精選規則。您可以啟用或停用這些規則集。

  • 涵蓋的 GCP 資料來源:顯示涵蓋的資料來源百分比,以可用資料來源總數為基準。 Google Cloud舉例來說,假設您可擷取 40 種記錄類型,但只傳送 20 種,則動態磚會顯示 50%。

  • CDIR 快訊:顯示 GCTI 規則集或 Cloud 威脅中規則引發的快訊數量。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 近期快訊:顯示近期快訊及其嚴重程度和風險分數。您可以使用「事件時間戳記時間」欄排序表格,並前往各個快訊查看更多資訊。這項指標會提供由 Security Command Center 強化安全防護機制後,彙整的安全性發現項目數量。這些安全防護發現項目是由 GCTI 策劃的偵測規則集生成,並依發現項目類型分類。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 依嚴重程度顯示一段時間內的快訊:顯示依嚴重程度分類的快訊總數,以及一段時間內的趨勢。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 偵測涵蓋範圍:提供 Google Security Operations SIEM 規則集及其狀態、偵測總數,以及最近一次偵測的日期。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 雲端資料涵蓋範圍:提供所有可用服務的相關資訊、涵蓋各項服務的剖析器、首次出現的事件、上次出現的事件,以及總輸送量。 Google Cloud

如要進一步瞭解 CDIR 規則集,請參閱「雲端威脅類別總覽」。

表格下方是所有服務的圖表,以及相關聯的資料,顯示下列時間間隔的擷取趨勢: Google Cloud

  • 過去 24 小時
  • 過去 30 天
  • 過去六個月

情境感知偵測 - 風險資訊主頁

情境感知偵測 - 風險資訊主頁可深入瞭解企業資產和使用者的當前威脅狀態。這項功能是使用「規則偵測」探索介面中的欄位建構而成。

嚴重程度和風險分數值是每個規則中定義的變數。如需範例,請參閱「結果專區語法」。每個面板中的資料都會依嚴重程度排序,然後依風險分數排序,找出風險最高的使用者和資產。

您可以在「Context Aware Detections - Risk」資訊主頁中查看下列視覺化內容:

  • 有風險的資產和裝置:根據您在「中繼資料」 >「嚴重程度」中設定的規則,列出前 10 項資產。請參閱中繼資料區段語法。嚴重程度分為「極高」、「嚴重」、「高」、「大」、「中」和「低」。如果記錄中沒有 hostname 值,系統會顯示 IP 位址。
  • 高風險使用者:根據嚴重程度列出前 10 位使用者。嚴重程度等級包括「極高」、「嚴重」、「高」、「大」、「中」和「低」。如果記錄中沒有 username 值,系統會顯示電子郵件 ID。
  • 匯總風險:顯示每個日期的匯總風險總分。
  • 偵測結果:顯示偵測引擎規則傳回的偵測詳細資料。該表格包含規則名稱、偵測 ID、風險分數和嚴重程度。

資料擷取和健康資訊主頁

「資料擷取和健康狀態」資訊主頁會提供資訊,說明擷取至 Google Security Operations SIEM 租戶的資料類型、量和健康狀態。您可以使用這個資訊主頁監控環境中的異常狀況。

這個資訊主頁會提供視覺化資料,協助您瞭解擷取的記錄數量、擷取錯誤和其他相關資訊。資訊主頁上的資料每 15 分鐘會重新整理一次,因此您可能需要等待最多 15 分鐘,才能看到最新資訊。

您可以在「資料擷取和健康狀態」資訊主頁中查看下列視覺化資料:

  • 資訊主頁上設定的全域時間篩選器會套用至下列視覺化內容:

    • 擷取的事件數:顯示擷取的事件總數。
    • 依輸送量劃分的記錄類型分布:依輸送量顯示記錄類型分布。
    • 處理量:顯示擷取處理量。
    • 依事件數劃分的記錄類型分布:根據各記錄類型的事件數,顯示記錄類型分布。
    • 擷取錯誤數:顯示擷取期間發生的錯誤總數。
    • 擷取 - 依狀態分類的事件:顯示依狀態分類的事件表格,可依欄位排序:日期擷取的記錄標準化事件剖析錯誤驗證錯誤建立索引錯誤
    • 爆量限制圖表 - 擷取率:顯示一段時間內的每小時記錄擷取率 (請參閱爆量限制)。
    • 爆量限制圖表 - 配額限制:顯示一段時間內的每小時記錄檔擷取配額 (請參閱爆量限制)。
    • 突發拒絕圖表:顯示因超過突發限制而遭拒的記錄每小時數量 (請參閱突發限制)。
    • 擷取 - 依記錄類型列出的事件:依記錄類型顯示事件,並可依欄排序:記錄類型擷取的處理量擷取的記錄標準化事件剖析錯誤驗證錯誤索引錯誤
    • Bindplane 代理程式記錄 - 依嚴重性顯示一段時間內的記錄:顯示一段時間內依嚴重性分類的記錄數量。只有在 Google SecOps 從 Bindplane 代理程式擷取記錄時,資訊主頁才會顯示這項視覺化內容。
    • Bindplane 代理程式記錄 - 訊息計數:依訊息文字顯示記錄數量,並可依以下欄位排序:嚴重程度訊息總計首次出現時間上次出現時間。只有在 Google SecOps 從 Bindplane 代理程式擷取記錄時,資訊主頁才會顯示這項視覺化內容。

  • 系統會預先選取下列視覺化圖表的時段 (全域時間篩選器適用於這些圖表):

    • 近期擷取的事件:顯示各記錄類型近期擷取的事件。
    • 每日記錄資訊:顯示各記錄類型的每日記錄數。
    • 事件計數 (過去 24 小時)事件大小 (過去 24 小時):顯示過去 24 小時的事件計數和事件大小。
    • 事件計數 (最近 7 天)事件大小 (最近 7 天):顯示最近 7 天的事件計數和事件大小。
    • 事件計數 (最近 3 個月)事件大小 (最近 3 個月):顯示最近 3 個月的事件計數和事件大小。
    • 擷取 - 每小時輸送量:顯示每小時的擷取輸送量。
    • 擷取 - 每週輸送量:顯示每週擷取輸送量。
    • 擷取 - 輸送量 (過去 6 個月):顯示過去 6 個月的擷取輸送量。
    • 擷取 - 輸送量 (歷來):顯示所有資料的每年擷取輸送量。
    • 主辦方回報事件後的天數 (過去 7 天):顯示主辦方回報事件後的天數 (過去 7 天)。

IoC 比對結果資訊主頁

「IoC Matches」資訊主頁會顯示企業中存在的 IoC。

您可以在「IoC Matches」(IoC 比對) 資訊主頁中查看下列視覺化內容:

  • 依類別顯示一段時間內的 IoC 比對結果:根據類別顯示 IoC 比對結果數量。
  • 前 10 大網域 IoC 指標:列出前 10 大網域 IoC 指標及其計數。
  • 前 10 大 IP IoC 指標:列出前 10 大 IP 位址 IoC 指標及其計數。
  • 前 10 項 IoC 比對資產:列出前 10 項 IoC 比對資產,以及比對次數。
  • 前 10 個 IoC 比對結果 (依類別、類型和計數):列出前 10 個 IoC 比對結果 (依類別、類型和計數)。
  • 前 10 大 IoC 值:列出前 10 大 IoC 值和計數。
  • 前 10 個罕見值:列出前 10 個罕見的 IoC 相符項目及其計數。

「IoC Matches」(IoC 相符項目) 視覺化效果包含「Filter-only fields」(僅限篩選器欄位) 下的「Event Timestamp Filter」(事件時間戳記篩選器)。

規則偵測資訊主頁

「規則偵測」資訊主頁會顯示偵測引擎規則傳回的偵測結果。如要接收偵測結果,請啟用規則。 詳情請參閱「針對即時資料執行規則」。

您可以在「規則偵測」資訊主頁中查看下列視覺化資料:

  • 一段時間內的規則偵測次數:顯示一段時間內的規則偵測次數。
  • 依嚴重程度顯示規則偵測結果:顯示規則偵測結果的嚴重程度。
  • 一段時間內依嚴重程度分類的規則偵測結果:顯示一段時間內每天依嚴重程度分類的偵測次數。
  • 偵測次數排名前 10 的規則名稱:列出偵測次數最多的前 10 項規則。
  • 規則偵測結果 (依名稱和時間):顯示每天傳回偵測結果的規則,以及傳回的偵測結果數量。
  • 按規則偵測次數排序的前 10 位使用者:列出事件中出現的前 10 位使用者 ID,這些事件觸發了偵測。
  • 依規則偵測結果列出的前 10 個資產名稱:列出在觸發偵測的事件中出現的前 10 個資產名稱,例如主機名稱。
  • 按規則偵測結果列出的前 10 個 IP:列出觸發偵測的事件中出現的前 10 個 IP 位址。

使用者登入總覽資訊主頁

「使用者登入總覽」資訊主頁可深入瞭解登入貴企業的使用者。這項資訊有助於追蹤惡意人士嘗試存取您企業的行為。

舉例來說,您可能會發現特定使用者嘗試從您沒有辦公室的國家/地區存取企業,或是特定使用者似乎重複存取會計應用程式。

您可以在「使用者登入總覽」資訊主頁中查看下列視覺化資料:

  • 成功登入次數:顯示成功登入的總次數。
  • 登入失敗次數:顯示登入失敗的總次數。
  • 依狀態劃分的登入次數:顯示登入成功和失敗的次數。
  • 登入狀態隨時間變化:顯示時間範圍內登入成功和失敗的次數。
  • 登入次數前 10 名的應用程式:根據登入次數,顯示前 10 名常用應用程式的分布情況。
  • 依應用程式登入:列出每個應用程式的登入狀態計數。系統會根據您在 security_result.action 欄位中定義的記錄資料,填入各個應用程式的計數。請參閱「事件列舉型別」。
  • 登入次數最多的前 10 個國家/地區:顯示使用者登入次數最多的前 10 個國家/地區。
  • 登入次數 (按國家/地區劃分):顯示使用者登入時所在的國家/地區總數。
  • 前 10 大登入 IP:顯示使用者登入時所用的前 10 大 IP 位址。
  • 登入位置地圖:顯示使用者登入時的 IP 位址位置。
  • 登入狀態前 10 名使用者:顯示每位使用者的登入狀態計數。系統會根據您在 security_result.action 欄位中定義的記錄資料,填入各個應用程式的計數。請參閱「事件列舉型別」。

後續步驟

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。