Panoramica delle dashboard

Le dashboard SIEM di Google Security Operations possono essere utilizzate per visualizzare e analizzare i dati in Google Security Operations SIEM, tra cui telemetria di sicurezza, metriche di importazione, rilevamenti, avvisi e IOC. Queste dashboard si basano sulle funzionalità di Looker.

Google Security Operations SIEM fornisce diverse dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nella barra di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati nell'istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dati SIEM di Google Security Operations o monitorare lo stato di minaccia nella tua azienda.

Ogni dashboard predefinita include un filtro per l'intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Questo può essere utile per la risoluzione dei problemi o per l'identificazione delle tendenze. Ad esempio, puoi usare il filtro per visualizzare i dati dell'ultima settimana o di un intervallo di tempo specifico.

Impossibile modificare le dashboard predefinite. Puoi creare una copia di una dashboard predefinita e quindi modificare la nuova dashboard per supportare un caso d'uso specifico.

Google Security Operations SIEM fornisce le seguenti dashboard predefinite:

• Principale
• Rilevamento e risposta cloud
• Rilevamenti sensibili al contesto - Rischio
• Importazione dei dati e integrità
• Corrispondenze IOC
• Rilevamenti delle regole
• Panoramica dell'accesso utente

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dati SIEM di Google Security Operations. Include inoltre una mappa globale che evidenzia la posizione geografica degli IOC rilevati all'interno dell'azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Principale:

• Eventi importati: il numero totale di eventi importati.
• Velocità effettiva: il volume di dati importati per un periodo di tempo specifico.
• Avvisi: il numero totale di avvisi che si sono verificati.
• Eventi nel tempo: un grafico a colonne che mostra gli eventi che si sono verificati in un determinato periodo di tempo.
• Mappa delle minacce globale - Corrispondenze IP IOC: la località da cui si sono verificati gli eventi corrispondenti IOC.

Dashboard di panoramica su Cloud Detection and Response

La dashboard Rilevamento e risposta Cloud consente di monitorare lo stato di sicurezza dell'ambiente cloud e di analizzare le potenziali minacce. La dashboard mostra visualizzazioni utili per comprendere il volume di origini dati, set di regole, avvisi e altre informazioni.

Il filtro Tempo ti consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log Google Cloud consente di filtrare i dati in base al tipo di log Google Cloud.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamento cloud e panoramica della risposta:

• Set di regole CDIR abilitati: visualizza la percentuale di serie di regole SIEM di Google Security Operations abilitate per l'ambiente cloud rispetto al totale di serie di regole fornite da GCTI per gli utenti SIEM di Google Security Operations. GCTI fornisce varie regole preconfigurate. È possibile attivare o disattivare queste serie di regole.

• Origini dati Google Cloud coperte: visualizza la percentuale di origini dati coperte, rispetto al totale di origini dati Google Cloud disponibili. Ad esempio, se puoi importare i dati utilizzando 40 tipi di log, ma ne invii solo 20, il riquadro mostrerà il 50%.

• Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei tuoi set di regole GCTI o delle minacce Cloud. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Avvisi recenti: mostra gli avvisi recenti con la loro gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Timestamp evento e accedere a ciascun avviso per ulteriori informazioni. Fornisce il numero di risultati sulla sicurezza aggregati, migliorati da Security Command Center. Questi risultati sulla sicurezza sono generati da set di regole di rilevamento selezionati da GCTI e classificati per tipo di risultato. Puoi utilizzare il filtro Tempo per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Avvisi per gravità nel tempo: mostra gli avvisi totali in base alla gravità, con tendenza nel tempo. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Copertura del rilevamento: fornisce informazioni sui set di regole SIEM di Google Security Operations e sul relativo stato, sui rilevamenti totali e sulla data del rilevamento più recente. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Copertura dei dati cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sui parser che riguardano ogni servizio, sull'evento della prima visualizzazione, sull'ultimo evento rilevato e sulla velocità effettiva totale.

Per ulteriori informazioni sulle serie di regole CDIR, consulta Panoramica della categoria Cloud Threats.

La tabella è seguita da grafici di tutti i servizi Google Cloud con i dati associati che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

• Ultime 24 ore
• Ultimi 30 giorni
• Ultimi sei mesi

Rilevamenti sensibili al contesto - Dashboard dei rischi

La dashboard Rilevamenti sensibili al contesto - Rischio fornisce insight sullo stato di minaccia attuale di asset e utenti nella tua azienda. Si basa sull'utilizzo dei campi nell'interfaccia di esplorazione Rilevamenti regole.

I valori di gravità e punteggio di rischio sono variabili definite in ciascuna regola. Per un esempio, consulta Sintassi della sezione Risultati. In ogni riquadro, i dati vengono ordinati in base alla gravità, quindi al punteggio di rischio per identificare gli utenti e gli asset più a rischio.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamenti sensibili al contesto - Rischio:

• Asset e dispositivi a rischio: elenca le prime 10 risorse in base alla gravità impostata in Meta > Gravità. Consulta la sintassi della sezione Meta. I livelli di gravità sono Molto alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.
• Utenti a rischio: elenca i primi 10 utenti in base alla gravità. I livelli di gravità sono Molto alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome utente non è presente nel record, verrà visualizzato l'ID email.
• Rischio aggregato: per ogni data, mostra il punteggio di rischio aggregato totale.
• Risultati di rilevamento: mostra i dettagli sui rilevamenti restituiti dalle regole del motore di rilevamento. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Importazione dati e dashboard integrità

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, il volume e l'integrità dei dati importati nel tenant di SIEM per Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che aiutano a comprendere il volume dei log importati, gli errori di importazione e altre informazioni pertinenti. I dati nella dashboard vengono aggiornati ogni 15 minuti, quindi potrebbe essere necessario attendere fino a 15 minuti per visualizzare le informazioni più recenti.

Puoi vedere le seguenti visualizzazioni nella dashboard Importazione dei dati e integrità:

• Conteggio eventi importati: il numero totale di eventi importati.
• Conteggio errori di importazione: il numero totale di errori riscontrati durante l'importazione.
• Distribuzione dei tipi di log per conteggio eventi: mostra la distribuzione dei tipi di log in base al numero di eventi per ciascun tipo di log.
• Distribuzione dei tipi di log per velocità effettiva: mostra la distribuzione dei tipi di log in base alla velocità effettiva.
• Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
• Importazione - Eventi per tipo di log: mostra il numero di eventi in base al loro stato e al tipo di log.
• Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
• Informazioni di log giornaliere: visualizza il numero di log giornalieri per ciascun tipo di log.
• Conteggio eventi e Dimensioni: confronta il numero e le dimensioni degli eventi in un periodo di tempo.
• Velocità effettiva di importazione: mostra la velocità effettiva di importazione in un determinato periodo di tempo.

Dashboard delle corrispondenze IOC

La dashboard Indicator of Compromise (IOC) Matches (indicatore di corrispondenze) fornisce visibilità sugli IOC presenti nella tua azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Corrispondenze IOC:

• Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze IOC in base alla relativa categoria.
• Principali 10 indicatori IOC di domini: elenca i 10 principali indicatori IOC di dominio insieme al conteggio.
• Primi 10 indicatori IOC IP: elenca i primi 10 indicatori IOC di indirizzi IP insieme al conteggio.
• Primi 10 asset per corrispondenze IOC: elenca le prime 10 risorse per corrispondenze di IOC insieme al numero.
• Le prime 10 corrispondenze di IOC per categoria, tipo e numero: elenca le prime 10 corrispondenze di IOC per categoria, tipo e insieme al conteggio.
• Primi 10 valori IOC: elenca i primi 10 valori IOC insieme al conteggio.
• Primi 10 valori raramente riscontrati: elenca le prime 10 corrispondenze IOC che si verificano raramente, oltre al conteggio.

Dashboard Rilevamenti regole

La dashboard Rilevamenti delle regole fornisce insight sui rilevamenti restituiti dalle regole del motore di rilevamento. Per ricevere rilevamenti, devi attivare le regole. Per ulteriori informazioni, consulta Esecuzione di una regola sui dati in tempo reale.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamenti regole:

• Rilevamenti di regole nel tempo: mostra il numero di rilevamenti di regole in un determinato periodo di tempo.
• Rilevamenti delle regole per gravità: mostra la gravità dei rilevamenti delle regole.
• Rilevamenti di regole per gravità nel tempo: mostra il numero giornaliero di rilevamenti per gravità nel tempo.
• Primi 10 nomi di regole per rilevamenti: elenca le 10 regole principali che restituiscono il maggior numero di rilevamenti.
• Rilevamenti di regole per nome nel tempo: mostra le regole che hanno restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
• Primi 10 utenti per rilevamenti di regole: elenca i primi 10 identificatori utente che sono comparsi negli eventi che hanno attivato i rilevamenti.
• Primi 10 nomi di asset per rilevamenti di regole: elenca i 10 nomi di asset principali che sono comparsi negli eventi che hanno attivato rilevamenti, ad esempio il nome host.
• Primi 10 IP per rilevamenti di regole: elenca i primi 10 indirizzi IP apparsi in eventi che hanno attivato rilevamenti.

Dashboard della panoramica dell'accesso utente

La dashboard Panoramica dell'accesso degli utenti fornisce informazioni sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per tenere traccia dei tentativi da parte di utenti malintenzionati di accedere alla tua azienda.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o che un utente specifico sembra accedere ripetutamente a un'applicazione di contabilità.

Puoi vedere le seguenti visualizzazioni nella dashboard Panoramica dell'accesso utente:

• Numero di accessi riusciti: il numero totale di accessi riusciti.
• Numero di accessi non riusciti: il numero totale di accessi non riusciti.
• Accedi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
• Accedi per stato nel tempo: mostra la suddivisione degli accessi riusciti e non riusciti nell'intervallo di tempo.
• prime 10 applicazioni per accesso: mostra la suddivisione delle prime 10 applicazioni frequenti in base al numero di accessi.
• Accedi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Consulta Tipi di eventi enumerati.
• Primi 10 paesi per accesso: mostra il numero dei primi 10 paesi da cui gli utenti hanno eseguito l'accesso.
• Accedi per paese: mostra il numero di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
• Primi 10 accessi per IP: mostra i primi 10 indirizzi IP da cui gli utenti hanno eseguito l'accesso.
• Mappa delle posizioni di accesso: mostra le posizioni degli indirizzi IP da cui gli utenti hanno eseguito l'accesso.
• Primi 10 utenti per stato di accesso: mostra il conteggio dello stato di accesso per ciascun utente. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Consulta Tipi di eventi enumerati.

Passaggi successivi

• Scopri come creare una dashboard personalizzata