Présentation des tableaux de bord

Les tableaux de bord SIEM Google Security Operations permettent d'afficher et d'analyser les données dans ce service, y compris la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes et les IOC. Ces tableaux de bord s'appuient sur les fonctionnalités de Looker.

La solution SIEM de Google Security Operations fournit plusieurs tableaux de bord par défaut, décrits dans ce document. Vous pouvez également créer des tableaux de bord personnalisés.

Tableaux de bord par défaut

Pour accéder à la page Tableaux de bord, cliquez sur Tableaux de bord dans le panneau de navigation de gauche.

Les tableaux de bord par défaut contiennent des visualisations prédéfinies des données stockées dans votre instance SIEM Google Security Operations. Ces tableaux de bord sont conçus pour un cas d'utilisation spécifique, par exemple pour comprendre l'état du système d'ingestion de données SIEM Google Security Operations ou surveiller l'état des menaces dans votre entreprise.

Chaque tableau de bord par défaut inclut un filtre de période qui vous permet d'afficher les données d'une période spécifique. Cela peut être utile pour résoudre des problèmes ou identifier des tendances. Par exemple, vous pouvez utiliser le filtre pour afficher les données de la semaine précédente ou d'une période spécifique.

Les tableaux de bord par défaut ne peuvent pas être modifiés. Vous pouvez créer une copie d'un tableau de bord par défaut, puis le modifier pour répondre à un cas d'utilisation spécifique.

La solution SIEM de Google Security Operations fournit les tableaux de bord par défaut suivants:

Tableau de bord principal

Le tableau de bord principal affiche des informations sur l'état du système d'ingestion de données SIEM Google Security Operations. Elle inclut également une carte mondiale mettant en évidence l'emplacement géographique des IOC détectés dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord principal:

  • Événements ingérés: nombre total d'événements ingérés.
  • Débit: volume de données ingérées pendant une période spécifique.
  • Alertes: nombre total d'alertes générées.
  • Événements au fil du temps: graphique à colonnes qui affiche les événements qui se sont produits au fil du temps.
  • Carte globale des menaces – Correspondances IP avec IOC: emplacement à partir duquel les événements de mise en correspondance IOC se sont produits.

Tableau de bord de présentation de Cloud Detection and Response

Le tableau de bord Cloud Detection and Response vous permet de surveiller l'état de sécurité de votre environnement cloud et d'examiner les menaces potentielles. Le tableau de bord présente des visualisations qui vous aident à comprendre le volume de sources de données, de jeux de règles, d'alertes et d'autres informations.

Le filtre Heure vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par type de journal Google Cloud.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation de la détection et de la réponse dans le cloud:

  • CDIR Rulesets Enabled (Ensembles de règles CDIR activés) : affiche le pourcentage d'ensembles de règles SIEM Google Security Operations activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI pour les utilisateurs SIEM Google Security Operations. GCTI fournit plusieurs règles préparées prêtes à l'emploi. Vous pouvez activer ou désactiver ces jeux de règles.

  • Sources de données GCP couvertes: affiche le pourcentage de sources de données couvertes par rapport au nombre total de sources de données Google Cloud disponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'en envoyez que 20, la carte affiche 50%.

  • Alertes CDIR: affiche le nombre d'alertes générées par les règles de vos ensembles de règles GCTI ou de vos menaces cloud. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Recent Alerts (Alertes récentes) : affiche les alertes récentes ainsi que leur gravité et leur score de risque. Vous pouvez trier la table à l'aide de la colonne Heure d'horodatage de l'événement et accéder à chaque alerte pour en savoir plus. Elle fournit le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés par des ensembles de règles de détection sélectionnés par GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Alerts by Severity Over Time (Alertes par gravité au fil du temps) : affiche le nombre total d'alertes par gravité, dans le temps. Vous pouvez utiliser le filtre Time (Durée) pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Couverture de détection: fournit des informations sur les ensembles de règles SIEM Google Security Operations et leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Couverture des données cloud: fournit des informations sur tous les services Google Cloud disponibles, des analyseurs qui couvrent chaque service, premier et dernier événement vus, ainsi que le débit total.

Pour en savoir plus sur les ensembles de règles CDIR, consultez la page Présentation de la catégorie des menaces cloud.

Le tableau est suivi des graphiques de tous les services Google Cloud et des données associées, qui montrent leur tendance d'ingestion sur les intervalles de temps suivants:

  • Dernières 24 heures
  • 30 derniers jours
  • Six derniers mois

Détections contextuelles – Tableau de bord des risques

Le tableau de bord Détections contextuelles - Risques fournit des informations sur l'état actuel des menaces qui pèsent sur les éléments et les utilisateurs de votre entreprise. Elle est basée sur les champs de l'interface d'exploration Rule Detection.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour obtenir un exemple, consultez la section Syntaxe de la section de résultat. Dans chaque panneau, les données sont triées par gravité, puis par score de risque pour identifier les utilisateurs et les ressources les plus à risque.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections contextuelles - Risques:

  • Assets and Devices at Risk (Éléments et appareils à risque) : répertorie les 10 principaux éléments en fonction de la gravité pour laquelle vous définissez la règle dans Meta > Severity (Métadonnées > Gravité). Consultez la section Syntaxe de la section Meta. Les niveaux de gravité sont les suivants : Très élevé, Critique, Élevé, Grand, Moyen et Faible. Si la valeur du nom d'hôte n'est pas présente dans l'enregistrement, l'adresse IP est affichée.
  • Utilisateurs à risque: liste les 10 utilisateurs principaux en fonction de leur gravité. Les niveaux de gravité sont Très élevé, Critique, Élevé, Grand, Moyen et Faible. Si la valeur du nom d'utilisateur n'est pas présente dans l'enregistrement, l'ID de l'adresse e-mail est affiché.
  • Risque cumulé: pour chaque date, affiche le score de risque cumulé total.
  • Detection Results (Résultats de la détection) : affiche les détails des détections renvoyées par les règles du moteur de détection. Le tableau inclut le nom de la règle, l'ID de détection, le score de risque et la gravité.

Tableau de bord "Ingestion de données et état"

Le tableau de bord Ingestion et état des données fournit des informations sur le type, le volume et l'état des données ingérées dans votre locataire SIEM Google Security Operations. Vous pouvez utiliser ce tableau de bord pour surveiller les anomalies dans votre environnement. L'image suivante

Ce tableau de bord présente des visualisations qui vous aident à comprendre le volume de journaux ingérés, les erreurs d'ingestion et d'autres informations.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et état des données:

  • Nombre d'événements ingérés: nombre total d'événements ingérés.
  • Nombre d'erreurs d'ingestion: nombre total d'erreurs rencontrées lors de l'ingestion.
  • Distribution des types de journaux par nombre d'événements: affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
  • Distribution des types de journaux par débit: affiche la distribution des types de journaux en fonction du débit.
  • Ingestion – Événements par état: affiche le nombre d'événements en fonction de leur état.
  • Ingestion – Événements par type de journal: affiche le nombre d'événements en fonction de leur état et de leur type de journal.
  • Événements récemment ingérés: affiche les événements récemment ingérés pour chaque type de journal.
  • Daily Log Information (Informations de journal quotidien) : affiche le nombre de journaux par jour pour chaque type de journal.
  • Nombre et taille des événements: compare le nombre et la taille des événements sur une période donnée.
  • Débit d'ingestion: affiche le débit d'ingestion sur une période donnée.

Tableau de bord des matchs IOC

Le tableau de bord des correspondances d'indicateurs de compromission (IOC) fournit une visibilité sur les IOC présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord IOC Correspondances:

  • IOC Matchs Over Time by Category (Correspondances IOC au fil du temps par catégorie) : affiche le nombre de correspondances IOC en fonction de leur catégorie.
  • Indicateurs IOC des 10 principaux domaines: liste les 10 indicateurs IOC principaux de domaine ainsi que leur nombre.
  • 10 principaux indicateurs IOC IP: répertorie les 10 principaux indicateurs IOC des adresses IP ainsi que leur nombre.
  • Les 10 principaux éléments par correspondance IOC: liste les 10 éléments les plus pertinents selon les correspondances IOC, ainsi que leur nombre.
  • 10 premières correspondances IOC par catégorie, type et nombre: répertorie les 10 premières correspondances IOC par catégorie, type et nombre.
  • 10 premières valeurs IOC: répertorie les 10 principales valeurs IOC ainsi que leur nombre.
  • Top 10 Rarely Seen Values (Les 10 premières correspondances IOC les plus rares) : répertorie les 10 correspondances IOC les plus fréquentes ainsi que leur nombre.

Tableau de bord des détections de règles

Le tableau de bord Rule Detections (Détection de règles) fournit des informations sur les détections renvoyées par les règles du moteur de détection. Pour recevoir des détections, vous devez activer les règles. Pour en savoir plus, consultez la section Exécuter une règle sur des données actives.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Rule Detections (Détection de règles) :

  • Rule Detections Over Time (Détection de règles au fil du temps) : affiche le nombre de détections de règles sur une période donnée.
  • Détection de règles par gravité: affiche la gravité des détections de règles.
  • Règles de détection par gravité au fil du temps: affiche le nombre quotidien de détections par niveau de gravité au fil du temps.
  • Top 10 Rule Names by Detections (Noms de règles principaux par détections) : répertorie les 10 règles principales renvoyant le plus grand nombre de détections.
  • Rule Detections by Name Over Time (Détection de règles par nom au fil du temps) : affiche les règles qui ont renvoyé des détections chaque jour et le nombre de détections renvoyées.
  • Top 10 Users by Rule Detections (10 principaux utilisateurs par détection de règles) : répertorie les 10 principaux identifiants utilisateur qui sont apparus dans les événements ayant déclenché la détection.
  • Top 10 Asset Names by Rule Detections (10 premiers noms d'éléments par détection de règles) : répertorie les 10 premiers noms d'éléments apparaissant dans les événements ayant déclenché des détections, comme le nom d'hôte.
  • 10 principales adresses IP par détection de règles: liste les 10 adresses IP principales qui sont apparues dans les événements ayant déclenché la détection.

Tableau de bord "Vue d'ensemble de la connexion des utilisateurs"

Le tableau de bord Vue d'ensemble de la connexion des utilisateurs fournit des informations sur les utilisateurs qui se connectent à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'accès à votre entreprise par des acteurs malveillants.

Par exemple, vous pouvez constater qu'un utilisateur particulier a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder de façon répétée à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord User Sign In Overview (Vue d'ensemble de la connexion des utilisateurs) :

  • Nombre de connexions réussies: nombre total de connexions réussies.
  • Nombre d'échecs de connexion: nombre total d'échecs de connexion.
  • Connexions par état: affiche la répartition des connexions ayant réussi et échoué.
  • Sign Ins by Status Over Time (Connexions par état au fil du temps) : affiche la répartition des connexions ayant réussi et échoué sur la période.
  • Top 10 Applications by Sign-Ins (Les 10 principales applications par connexion) : affiche la répartition des 10 applications les plus fréquentes en fonction du nombre de connexions.
  • Connexions par application: indique le nombre d'états de connexion pour chaque application. Le nombre total d'applications est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types énumérés d'événements.
  • 10 premiers pays par nombre de connexions: affiche le nombre des 10 principaux pays dans lesquels les utilisateurs se connectent.
  • Sign Ins by Country (Connexions par pays) : affiche le nombre total de pays dans lesquels les utilisateurs se connectent.
  • 10 principaux connexions par IP: affiche les 10 principales adresses IP à partir desquelles les utilisateurs se connectent.
  • Carte des emplacements de connexion: affiche les emplacements des adresses IP à partir desquelles les utilisateurs se connectent.
  • Top 10 Users by Sign in Status (10 principaux utilisateurs par état de connexion) : affiche le nombre d'états de connexion pour chaque utilisateur. Le nombre total d'applications est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types énumérés d'événements.

Étapes suivantes