Dashboard-Übersicht

Mit den SIEM-Dashboards von Google Security Operations in Google Security Operations SIEM, einschließlich Sicherheitstelemetrie, Aufnahmemesswerten, Erkennung, Warnmeldungen und IOCs. Diese Dashboards basieren auf den die Funktionen von Looker nutzen.

Google Security Operations SIEM bietet Ihnen mehrere Standard-Dashboards, die in diesem Dokument beschrieben werden. Außerdem haben Sie die Möglichkeit, benutzerdefinierte Dashboards zu erstellen.

Standard-Dashboards

Um die Seite Dashboards aufzurufen, klicken Sie im linken Navigationsbereich auf Dashboards.

Standard-Dashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihre Google Security Operations SIEM-Instanz. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des SIEM-Datenaufnahmesystems von Google Security Operations zu verstehen oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standarddashboard enthält einen Zeitraumfilter, mit dem Sie Daten für einen bestimmten Zeitraum. Dies kann bei der Fehlerbehebung oder der Identifizierung von Trends. Mit dem Filter können Sie beispielsweise für die vergangene Woche oder für einen bestimmten Zeitraum

Standard-Dashboards können nicht geändert werden. Sie können eine Kopie eines Standard-Dashboards erstellen und das neue Dashboard dann an einen bestimmten Anwendungsfall anpassen.

Google Security Operations SIEM stellt die folgenden Standard-Dashboards zur Verfügung:

Haupt-Dashboard

Das Haupt-Dashboard enthält Informationen zum Status der SIEM-Datenaufnahmesystem von Google Security Operations. Sie enthält auch eine Weltkarte. die geografischen Standorte der in Ihrem Unternehmen erkannten IOCs hervorheben.

Im Haupt-Dashboard sehen Sie die folgenden Visualisierungen:

  • Aufgenommene Ereignisse: die Gesamtzahl der aufgenommenen Ereignisse
  • Durchsatz: Das Datenvolumen, das für eine bestimmte Zeit aufgenommen wird.
  • Benachrichtigungen: Die Gesamtzahl der aufgetretenen Benachrichtigungen.
  • Ereignisse im Zeitverlauf: Ein Säulendiagramm mit den Ereignissen, die die innerhalb eines bestimmten Zeitraums aufgetreten sind.
  • Global Threat Map – IOC-IP-Matches: der Ort, von dem IOC aus gesendet wird übereinstimmende Ereignisse aufgetreten sind.

Dashboard „Cloud Detection and Response – Übersicht“

Mit dem Dashboard Cloud Detection and Response können Sie Sicherheitsstatus Ihrer Cloud-Umgebung prüfen und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, die Ihnen helfen, das Datenvolumen zu verstehen Quellen, Regelsätze, Benachrichtigungen und andere Informationen.

Mit dem Filter Zeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP-Logtyp können Sie die Daten nach Google Cloud-Logtyp filtern.

Im Dashboard Cloud Detection and Response – Übersicht finden Sie die folgenden Visualisierungen:

  • CDIR-Regelsätze aktiviert: Zeigt den Prozentsatz der aktivierten SIEM-Regelsätze von Google Security Operations an. für Ihre Cloud-Umgebung aus der Gesamtzahl der Regelsätze, die von GCTI für Google Security Operations SIEM bereitgestellt werden Nutzenden. GCTI bietet mehrere vorkonfigurierte Regeln. Sie können die Einstellung für diese Regelsätze.

  • GCP-Datenquellen: Zeigt den Prozentsatz der abgedeckten Datenquellen an der Gesamtzahl der Google Cloud-Daten an. Datenquellen verfügbar sind. Wenn Sie Daten mit 40 Logtypen aufnehmen können, aber Sie senden nur Daten für 20, zeigt die Kachel 50 % an.

  • CDIR-Benachrichtigungen: Zeigt die Anzahl der Benachrichtigungen an, die von den Regeln in Ihren GCTI-Regelsätzen ausgelöst wurden oder Cloud-Bedrohungen. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, werden diese Daten angezeigt.

  • Aktuelle Benachrichtigungen: Zeigt die letzten Benachrichtigungen mit dem jeweiligen Schweregrad an. und Risikobewertung. Sie können die Tabelle mithilfe der Spalte Event Timestamp Time (Zeit des Ereigniszeitstempels) sortieren. rufen Sie die einzelnen Benachrichtigungen auf, um weitere Informationen zu erhalten. Er gibt die Anzahl der aggregierten durch Security Command Center verbesserte Sicherheitsergebnisse. Diese Sicherheitsergebnisse werden generiert von GCTI, kuratierte Erkennungsregelsätze, und kategorisiert nach Art des Ergebnisses. Sie können Filter Zeit, um die Anzahl der Tage festzulegen, während der diese Daten angezeigt werden.

  • Benachrichtigungen nach Schweregrad im Zeitverlauf: Zeigt die Gesamtzahl der Benachrichtigungen nach Schweregrad an. im Laufe der Zeit. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen. für die diese Daten angezeigt werden.

  • Schutzabdeckung: Informationen zu Google Security Operations SIEM und deren Status, die Gesamtanzahl der erkannten und das Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Cloud-Datenabdeckung: Liefert Informationen zu allen verfügbaren Google Cloud- Dienste, Parser, die alle Dienste abdecken, zuerst erfasstes Ereignis, zuletzt erfasstes Ereignis und den Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Übersicht über die Cloud-Bedrohungskategorie.

Darauf folgen Diagramme aller Google Cloud-Dienste mit den zugehörigen Daten, die ihren Aufnahmetrend über die folgenden Zeitintervalle zeigen:

  • Letzte 24 Stunden
  • Letzte 30 Tage
  • Letzte sechs Monate

Kontextsensitive Erkennungen – Risiko-Dashboard

Das Dashboard Kontextbewusste Erkennungen – Risiko bietet Einblicke in die den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Sie ist gebaut mithilfe der Felder auf der Explore-Benutzeroberfläche Regelerkennungen.

Die Werte für Schweregrad und Risikobewertung sind in jeder Regel definierte Variablen. Für eine Beispiel finden Sie unter Syntax des Ergebnisabschnitts. In jedem Panel werden Daten nach Schweregrad sortiert und dann ein Risikowert zur Identifizierung von Nutzenden und Assets am stärksten gefährdet.

Sie können sich die folgenden Visualisierungen im Dashboard Kontextsensitive Erkennung – Risiko ansehen:

  • Gefährdete Assets und Geräte: Hier werden die zehn wichtigsten Assets nach Schweregrad aufgelistet. die Sie im Menü Meta > Schweregrad: Weitere Informationen finden Sie unter Syntax des Metaabschnitts: Die Schweregrade sind Sehr hoch, Kritisch, Hoch. Large (Groß), Medium (Mittel) und Low (Niedrig). Wenn der Hostname in aus dem Eintrag erstellt haben, wird die IP-Adresse angezeigt.
  • Gefährdete Nutzer: Hier werden die 10 gefährdeten Nutzer nach Schweregrad aufgeführt. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Nutzername nicht im Eintrag vorhanden ist, wird die E-Mail-ID angezeigt.
  • Zusammengefasstes Risiko: Zeigt für jedes Datum die gesamte aggregierte Risikobewertung an.
  • Erkennungsergebnisse: Zeigt Details zu den von der Erkennung zurückgegebenen Erkennungen an Suchmaschinenregeln. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, den Risikowert und den Schweregrad.

Dashboard für Datenaufnahme und Zustand

Im Dashboard Datenaufnahme und -status finden Sie Informationen zum Typ, Volumen und Zustand der in Ihren SIEM-Mandanten von Google Security Operations aufgenommenen Daten. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen.

Dieses Dashboard enthält Visualisierungen, die Ihnen helfen, aufgenommene Logs, Aufnahmefehler und andere relevante Informationen. Die Daten auf wird das Dashboard alle 15 Minuten aktualisiert. Es kann also sein, dass Sie bis zu um die neuesten Informationen zu sehen.

Im Dashboard Datenaufnahme und -status finden Sie die folgenden Visualisierungen:

  • Anzahl der aufgenommenen Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Anzahl der Aufnahmefehler: Die Gesamtzahl der während der Aufnahme aufgetretenen Fehler.
  • Verteilung der Protokolltypen nach Ereignisanzahl: Das Protokoll wird angezeigt. Typverteilung basierend auf der Anzahl der Ereignisse für jeden Logtyp.
  • Logtypverteilung nach Durchsatz: Zeigt die Protokolltypen an auf dem Durchsatz basiert.
  • Aufnahme – Ereignisse nach Status: zeigt die Anzahl der Ereignisse an. basierend auf ihrem Status.
  • Aufnahme – Ereignisse nach Logtyp: zeigt die Anzahl der Ereignisse anhand ihres Status und Logtyps.
  • Kürzlich aufgenommene Ereignisse: Zeigt kürzlich aufgenommene Ereignisse an. für jeden Logtyp.
  • Daily Log Information (Tägliche Protokollinformationen): Zeigt die Anzahl der Protokolle für eine Tag für jeden Logtyp.
  • Ereignisanzahl und -größe: Hier werden Anzahl und Größe von Ereignissen über einen bestimmten Zeitraum verglichen.
  • Aufnahmedurchsatz: Zeigt den Aufnahmedurchsatz über einen bestimmten Zeitraum an.

Dashboard für IOC-Übereinstimmungen

Im Dashboard „Indicator of Compromise“ (IOC)-Übereinstimmungen erhalten Sie zu den Bedrohungsindikatoren in Ihrem Unternehmen.

Sie können sich die folgenden Visualisierungen im Dashboard IOC Matches ansehen:

  • IOC-Übereinstimmungen im Zeitverlauf nach Kategorie: Die Anzahl wird angezeigt. der IOC-Übereinstimmungen basierend auf ihrer Kategorie.
  • Top-10-Domain-IOC-Indikatoren: listet die 10 wichtigsten Domains auf. IOC-Indikatoren zusammen mit der Anzahl.
  • Top-10-IP-IOC-Indikatoren: Hier werden die Top-10-IP-Adressen-IOCs aufgeführt. zusammen mit der Anzahl angegeben werden.
  • Top-10-Assets nach IOC-Übereinstimmungen: listet die Top 10 auf. Assets sortiert nach IOC-Übereinstimmungen und der Anzahl.
  • Top-10-IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl: listet die Top 10 auf. IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl.
  • Top-10-IOC-Werte: Hier sind die Top-10-IOC-Werte aufgeführt. zusammen mit der Anzahl an.
  • Top 10 – selten gesehene Werte: Hier werden die zehn wichtigsten Werte aufgeführt, die selten gesehen werden. sowie die Anzahl der auftretenden IOC-Übereinstimmungen.

Dashboard für Regelerkennungen

Das Dashboard Regelerkennungen bietet einen Einblick in die zurückgegebenen Erkennungen. durch Erkennungs-Engine-Regeln. Damit Sie Erkennungen erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Sie können sich die folgenden Visualisierungen im Dashboard Regelerkennungen ansehen:

  • Regelerkennungen im Zeitverlauf: zeigt die Anzahl der Regeln an. der Erkennung über einen bestimmten Zeitraum hinweg.
  • Regelerkennung nach Schweregrad: Zeigt den Schweregrad an der Regelerkennungen.
  • Regelerkennungen nach Schweregrad im Zeitverlauf: Zeigt die täglichen Anzahl der Erkennungen nach Schweregrad im Zeitverlauf.
  • Top-10-Regelnamen nach Erkennungen: listet die ersten 10 Regelnamen auf. Regeln, die die meisten Erkennungen zurückgeben.
  • Regelerkennungen nach Name im Zeitverlauf: Zeigt die Regeln an die jeden Tag Erkennungen zurückgegeben hat, und die Anzahl der zurückgegebenen Erkennungen.
  • Top-10-Nutzer nach Regelerkennung: Hier werden die 10 wichtigsten Nutzer aufgeführt. Kennzeichnungen, die in Ereignissen enthalten sind, die die Erkennung ausgelöst haben.
  • Top-10-Asset-Namen nach Regelerkennung: listet die Top 10 auf. Asset-Namen, die in Ereignissen enthalten sind, die Erkennung ausgelöst haben, z. B. Hostname.
  • Top-10-IP-Adressen nach Regelerkennung: listet die Top-10-IP-Adressen auf. Adressen, die in Ereignissen enthalten waren, die Erkennung ausgelöst haben.

Dashboard mit Nutzeranmeldung – Übersicht

Das Dashboard Nutzeranmeldung – Übersicht enthält Informationen zu den Nutzern. sich in Ihrem Unternehmen anmelden. Mit diesen Informationen können Sie böswilligen Akteuren versucht, auf Ihr Unternehmen zuzugreifen.

Beispiel: Sie stellen fest, dass ein bestimmter Nutzer versucht hat, von einem Land, in dem Sie kein Büro haben oder in dem ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zugreifen.

Im Dashboard Nutzeranmeldung – Übersicht werden die folgenden Visualisierungen angezeigt:

  • Anzahl erfolgreicher Anmeldungen: Die Gesamtzahl der erfolgreichen Anmeldungen.
  • Anzahl fehlgeschlagener Anmeldungen: die Gesamtzahl der fehlgeschlagenen Anmeldungen.
  • Anmeldungen nach Status: Zeigt die Aufteilung zwischen erfolgreichen und fehlgeschlagenen Anmeldungen an.
  • Anmeldungen nach Status im Zeitverlauf: Zeigt die Aufteilung der erfolgreiche und fehlgeschlagene Anmeldungen im ausgewählten Zeitraum
  • Top-10-Anwendungen nach Anmeldung: zeigt die Aufteilung an. der 10 häufigsten Anwendungen basierend auf der Anzahl der Anmeldungen.
  • Anmeldungen nach Anwendung: Hier wird die Anzahl der Anmeldestatus aufgelistet. für jede Anwendung. Die Anzahl der einzelnen Anwendungen wird basierend auf den Die Logdaten, die Sie im Feld security_result.action definieren. Weitere Informationen finden Sie unter Typen mit Ereignisnummern.
  • Top-10-Länder nach Anmeldung: zeigt die Anzahl der Top-10-Ländern, aus denen Nutzer angemeldet waren.
  • Anmeldungen nach Land: Zeigt die Anzahl aller Länder an. auf denen sich Nutzer angemeldet haben.
  • Top-10-Anmeldungen über die IP-Adresse: Zeigt die Top-10-IP-Adressen an. auf denen sich Nutzer angemeldet haben.
  • Standortkarte für die Anmeldung: Hier werden die Standorte der IP-Adressen angezeigt. auf denen sich Nutzer angemeldet haben.
  • Top-10-Nutzer nach Anmeldestatus: zeigt die Anzahl der Anmeldestatus an. für jeden Nutzer. Die Anzahl der einzelnen Anwendungen wird basierend auf den Die Logdaten, die Sie im Feld security_result.action definieren. Weitere Informationen finden Sie unter Typen mit Ereignisnummern.

Nächste Schritte