Présentation des tableaux de bord

Les tableaux de bord SIEM Google Security Operations permettent d'afficher et d'analyser les données du SIEM Google Security Operations, y compris la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes et les indicateurs de compromission. Ces tableaux de bord sont basés sur les fonctionnalités de Looker.

Google Security Operations SIEM vous fournit plusieurs tableaux de bord par défaut, décrits dans ce document. Vous pouvez également créer des tableaux de bord personnalisés.

Tableaux de bord par défaut

Pour accéder à la page Tableaux de bord, cliquez sur Tableaux de bord dans le panneau de navigation de gauche.

Les tableaux de bord par défaut contiennent des visualisations prédéfinies des données stockées dans votre instance SIEM Google Security Operations. Ces tableaux de bord sont conçus pour un cas d'utilisation spécifique, par exemple pour comprendre l'état du système d'ingestion de données SIEM de Google Security Operations ou pour surveiller l'état des menaces dans votre entreprise.

Chaque tableau de bord par défaut inclut un filtre de période qui vous permet d'afficher les données pour une période donnée. Cela peut être utile lors de la résolution de problèmes ou identifier les tendances. Par exemple, vous pouvez utiliser le filtre pour afficher les données de la semaine précédente ou sur une période spécifique.

Les tableaux de bord par défaut ne peuvent pas être modifiés. Vous pouvez créer une copie d'un tableau de bord par défaut, puis modifier le nouveau tableau de bord pour répondre à un cas d'utilisation spécifique.

SIEM Google Security Operations fournit les tableaux de bord par défaut suivants:

• Principale
• Cloud Detection et réponse
• Détections contextuelles : risque
• Ingestion et état des données
• Correspondances IOC
• Détections de règles
• Présentation de la connexion des utilisateurs

Tableau de bord principal

Le tableau de bord Principal affiche des informations sur l'état du Système d'ingestion de données SIEM de Google Security Operations Il comprend également une carte mondiale mettant en évidence l'emplacement géographique des IOC détectés dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Principal :

• Événements ingérés : nombre total d'événements ingérés.
• Débit: volume de données ingérées pendant une période donnée.
• Alertes : nombre total d'alertes générées.
• Événements au fil du temps: graphique à colonnes indiquant les événements sur une période donnée.
• Carte mondiale des menaces – Correspondances d’adresses IP de l’IOC: zone géographique à partir de laquelle le CIO événements correspondants se sont produits.

Tableau de bord "Présentation de Cloud Detection et réponse"

Le tableau de bord Cloud Detection and Response vous permet de surveiller l'état de sécurité de votre environnement cloud et examiner les menaces potentielles. Le tableau de bord affiche des visualisations qui vous aident à comprendre le volume de sources de données, de jeux de règles, d'alertes et d'autres informations.

Le filtre Temps vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par type de journal Google Cloud.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Cloud Detection and Response Overview (Présentation de la détection et des réponses dans le cloud) :

• Ensembles de règles CDIR activés : affiche le pourcentage d'ensembles de règles SIEM Google Security Operations activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI pour les utilisateurs du SIEM Google Security Operations. GCTI fournit plusieurs règles prédéfinies et sélectionnées. Vous pouvez activer ou désactiver ces ensembles de règles.

• GCP Data Sources couverts (Sources de données GCP couvertes) : affiche le pourcentage de sources de données couvertes par rapport au nombre total de sources de données Google Cloud. sources de données disponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'en envoyez que 20, la carte affiche 50 %.

• Alertes CDIR: affiche le nombre d'alertes générées par les règles de vos ensembles de règles GCTI. ou les menaces du cloud. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pour lesquels ces données sont affichées.

• Alertes récentes : affiche les alertes récentes, ainsi que leur gravité et leur score de risque. Vous pouvez trier la table à l'aide de la colonne Event Timestamp Time : accédez à chaque alerte pour en savoir plus. Il indique le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés selon les ensembles de règles de détection sélectionnés par GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pour lesquels ces données sont affichées.

• Alertes par gravité au fil du temps : affiche le nombre total d'alertes par gravité, avec les tendances au fil du temps. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pour lequel ces données sont affichées.

• Couverture de détection: fournit des informations sur la solution SIEM Google Security Operations. les jeux de règles et leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Durée pour définir le nombre de jours pendant lesquels ces données doivent être affichées.

• Couverture des données cloud: fournit des informations sur tous les services Google Cloud disponibles services, analyseurs qui couvrent chaque service, événement de première connexion, événement de dernière occurrence, et le débit total.

Pour en savoir plus sur les ensembles de règles CDIR, consultez la page Présentation de la catégorie Cloud Threats.

Le tableau est suivi de graphiques de tous les services Google Cloud, ainsi que les services des données indiquant leur tendance d'ingestion sur les intervalles de temps suivants:

• Dernières 24 heures
• 30 derniers jours
• 6 derniers mois

Détections contextuelles : tableau de bord des risques

Le tableau de bord Détections contextuelles - Risques fournit des informations sur l'état actuel des menaces pesant sur les éléments et les utilisateurs de votre entreprise. Il est construit à l'aide des champs de l'interface d'exploration Détections de règles.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour une consultez la section Syntaxe de la section Résultat. Dans chaque panneau, les données est triée en fonction de la gravité, puis le score de risque pour identifier les utilisateurs et ressources les plus exposées.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections contextuelles - Risques:

• Éléments et appareils à risque : liste les 10 premiers éléments en fonction de l'importance que vous avez attribuée à la règle dans Métadonnées > Sévérité. Consultez la section Syntaxe de la section "meta". Les niveaux de gravité sont Très élevée, Critique, Élevée, Grande, Moyenne et Faible. Si la valeur du nom d'hôte n'est pas présente dans l'enregistrement, puis il affiche l'adresse IP.
• Utilisateurs à risque: répertorie les 10 utilisateurs principaux en fonction de leur gravité. La de gravité : Très élevée, Critique, Élevée, Grande, Moyenne, et Faible. Si le nom d'utilisateur n'est pas indiqué dans l'enregistrement, affiche l'ID de l'adresse e-mail.
• Risque agrégé : pour chaque date, affiche le score de risque agrégé total.
• Résultats de détection : affiche des informations sur les détections renvoyées par les règles du moteur de détection. Le tableau comprend le nom de la règle, l'ID de détection, le score de risque et la gravité.

Tableau de bord "Ingestion de données et état"

Le tableau de bord Ingestion et état des données fournit des informations sur le type, le volume et l'état des données ingérées dans votre locataire SIEM Google Security Operations. Vous pouvez utiliser ce tableau de bord pour surveiller la présence d'anomalies dans votre environnement.

Ce tableau de bord fournit des visualisations qui vous aident à comprendre le volume de journaux ingérés, les erreurs d'ingestion et d'autres informations pertinentes. Les données sur le tableau de bord est actualisé toutes les 15 minutes. Vous devrez donc peut-être attendre minutes pour voir les dernières informations.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et état de santé des données :

• Ingested Events Count (Nombre d'événements ingérés) : nombre total d'événements ingérés.
• Nombre d'erreurs d'ingestion: le nombre total d'erreurs rencontrées lors de l'ingestion.
• Distribution des types de journaux par nombre d'événements : affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
• Distribution des types de journaux par débit : affiche la distribution des types de journaux en fonction du débit.
• Ingestion – Événements par état: affiche le nombre d'événements en fonction de leur statut.
• Ingestion – Events by Log Type (Ingestion – Événements par type de journal) : affiche le nombre de en fonction de leur état et de leur type de journal.
• Événements ingérés récemment : affiche les événements ingérés récemment pour chaque type de journal.
• Informations sur les journaux quotidiens : affiche le nombre de journaux pour une journée pour chaque type de journal.
• Nombre d'événements et taille: compare le nombre et la taille des événements sur une période donnée.
• Débit d'ingestion: affiche le débit d'ingestion sur une période donnée.

Tableau de bord des correspondances IOC

Le tableau de bord "Correspondances des indicateurs de compromission" vous permet de visualiser les indicateurs de compromission présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Correspondances RIO:

• IOC Correspondances Au fil du temps par catégorie: affiche le nombre des matchs IOC en fonction de leur catégorie.
• 10 principaux indicateurs IOC pour les domaines: liste les 10 principaux domaines. les indicateurs IOC, ainsi que le nombre.
• Top 10 IP IOC Indicators (10 principaux indicateurs IOC pour l’adresse IP) : répertorie les 10 principaux indicateurs d’IOC des adresses IP. ainsi que le nombre.
• Top 10 des composants par correspondances avec l'IOC : liste les 10 composants les plus fréquemment mis en correspondance avec l'IOC, ainsi que leur nombre.
• 10 meilleures correspondances IOC par catégorie, type et nombre: liste les 10 meilleurs les correspondances IOC par catégorie, par type et avec le nombre.
• 10 premières valeurs IOC: liste les 10 premières valeurs IOC. ainsi que le nombre.
• Top 10 Rarely Seen Values (Top 10 des valeurs rarement observées) : répertorie les 10 principaux valeurs rarement observées. les correspondances IOC présentes et le nombre.

Tableau de bord des détections de règles

Le tableau de bord Rule Detections (Détections de règles) fournit des informations sur les détections renvoyées. par les règles du moteur de détection. Pour recevoir des détections, vous devez activer des règles. Pour en savoir plus, consultez Exécuter une règle sur des données en temps réel.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections de règles:

• Rule Detections Over Time (Détections de règles au fil du temps) : affiche le nombre de règles sur une période donnée.
• Rule Detections by Severity (Détections de règles par gravité) : affiche la gravité des détections de règles.
• Détections de règles par gravité au fil du temps : affiche le nombre quotidien de détections par gravité au fil du temps.
• Top 10 Rule Names by Detections: liste les 10 premiers noms de règles par détection. renvoyant le plus grand nombre de détections.
• Rule Detections by Name Over Time (Détections de règles par nom au fil du temps) : affiche les règles. ayant renvoyé des détections chaque jour et le nombre de détections renvoyées.
• 10 principaux utilisateurs par détection de règles : liste les 10 principaux identifiants utilisateur qui sont apparus dans les événements ayant déclenché des détections.
• Top 10 Asset Names by Rule Detections (Top 10 noms d'éléments par détections de règles) : liste les 10 premiers noms d'éléments les noms des assets qui sont apparus dans les événements ayant déclenché des détections, comme le nom d'hôte.
• Top 10 IPs by Rule Detections (10 adresses IP principales par détection de règles) : répertorie les 10 adresses IP principales. qui apparaissaient dans les événements ayant déclenché des détections.

Tableau de bord "Vue d'ensemble de la connexion des utilisateurs"

Le tableau de bord Vue d'ensemble de la connexion des utilisateurs fournit des informations sur les utilisateurs. à se connecter à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'accès à votre entreprise par des acteurs malveillants.

Par exemple, vous pouvez constater qu'un utilisateur particulier a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder de manière répétée à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Vue d'ensemble des connexions des utilisateurs :

• Nombre de connexions réussies : nombre total de connexions réussies.
• Nombre de connexions ayant échoué : nombre total de connexions ayant échoué.
• Sign Ins By Status (Connexions par état) : indique la répartition des connexions réussies et échouées.
• Connexions par état au fil du temps : affiche la répartition des connexions réussies et échouées sur la période.
• Top 10 Applications by Sign Ins (10 applications principales en fonction des connexions) : affiche la répartition des 10 applications les plus fréquentes en fonction du nombre de connexions.
• Sign Ins By Application (Connexions par application) : indique le nombre de connexions par état. pour chaque application. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Consultez la section Types d'événements énumérés.
• Top 10 des pays par connexions : affiche le nombre de connexions provenant des 10 premiers pays.
• Connexions par pays: affiche le nombre total de pays depuis lequel les utilisateurs se sont connectés.
• Top 10 Sign Ins by IP (10 connexions principales par adresse IP) : affiche les 10 meilleures adresses IP depuis lequel les utilisateurs se sont connectés.
• Carte des lieux de connexion : affiche les emplacements des adresses IP à partir desquelles les utilisateurs se sont connectés.
• 10 utilisateurs les plus actifs par état de connexion : affiche le nombre d'états de connexion pour chaque utilisateur. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Voir Types d'événements énumérés.

Étape suivante

• Découvrez comment créer un tableau de bord personnalisé.