Visão geral dos painéis

Os painéis do SIEM do Google Security Operations podem ser usados para visualizar e analisar dados no SIEM do Google Security Operations, incluindo telemetria de segurança, métricas de ingestão, de detecção, alertas e IOCs. Esses painéis foram criados com base recursos do Looker.

O SIEM do Google Security Operations oferece vários dashboards padrão, descritas neste documento. Também é possível criar painéis personalizados.

Painéis padrão

Para acessar a página Painéis, clique em Painéis na navegação à esquerda.

Os painéis padrão contêm visualizações predefinidas dos dados armazenados sua instância do SIEM do Google Security Operations. Esses dashboards foram criados para casos de uso específicos, por exemplo, entender o estado do sistema de ingestão de dados SIEM das Operações de segurança do Google ou monitorar o status de ameaças na sua empresa.

Cada painel padrão inclui um filtro de período que permite visualizar dados por um período específico. Isso pode ser útil ao solucionar problemas ou identificando tendências. Por exemplo, é possível usar o filtro para exibir dados da última semana ou em um período específico.

Não é possível modificar os painéis padrão. É possível fazer uma cópia de um painel padrão e modificar o novo painel para oferecer suporte a um caso de uso específico.

O SIEM do Google Security Operations oferece os seguintes painéis padrão:

• Principal
• Detecção e resposta em nuvem
• Detecções contextuais: risco
• Ingestão de dados e integridade
• Correspondências de IOC
• Detecções de regras
• Visão geral de login do usuário

Painel principal

O painel Principal exibe informações sobre o status do Sistema de ingestão de dados SIEM do Google Security Operations. Ele também tem um mapa global destacando a localização geográfica dos IOCs detectados em sua empresa.

É possível acessar as seguintes visualizações no painel Principal:

• Eventos ingeridos: o número total de eventos ingeridos.
• Capacidade de processamento: o volume de dados ingeridos por um período específico.
• Alertas: o número total de alertas ocorridos.
• Eventos ao longo do tempo: um gráfico de colunas que exibe os eventos que ocorreram durante um período.
• Mapa global de ameaças - Correspondências de IP de IOC: o local de origem do IOC eventos correspondentes ocorreram.

.

Painel de informações gerais da detecção e resposta do Cloud

O painel Cloud Detection and Response ajuda você a monitorar o status de segurança do seu ambiente de nuvem e investigar possíveis ameaças. O painel mostra visualizações que ajudam a entender o volume de dados origens, grupos de regras, alertas e outras informações.

O filtro Tempo permite filtrar os dados por período.

O filtro Tipo de registro do GCP permite filtrar os dados por tipo de registro do Google Cloud.

Confira as seguintes visualizações no painel Visão geral da detecção e resposta do Cloud:

• Conjuntos de regras CDIR ativados: mostra a porcentagem de conjuntos de regras de SIEM das Operações de segurança do Google ativados. para seu ambiente de nuvem em relação ao total de conjuntos de regras fornecido pelo GCTI para o SIEM de operações de segurança do Google usuários. O GCTI oferece várias regras pré-empacotadas e selecionadas. É possível ativar ou desativar desses grupos de regras.

• Origens de dados do GCP cobertas: mostra a porcentagem de origens de dados cobertas em relação ao total de origens de dados do Google Cloud disponíveis. Por exemplo, se é possível ingerir dados usando 40 tipos de registros mas você enviar dados para apenas 20, o bloco exibirá 50%.

• Alertas de CDIR: exibe o número de alertas gerados pelas regras nos seus conjuntos de regras do GCTI. ou ameaças à nuvem. Você pode usar o filtro Hora para definir o número de dias para os quais esses dados são exibidos.

• Alertas recentes: exibe os alertas recentes com a gravidade deles. e pontuação de risco. É possível classificar a tabela usando a coluna Hora do carimbo de data/hora do evento e acesse cada alerta para mais informações. Ela mostra o número de visualizações descobertas de segurança aprimoradas pelo Security Command Center. Essas descobertas de segurança são geradas pelos conjuntos de regras de detecção selecionados pelo GCTI e categorizados por tipo de descoberta. Você pode usar o filtro Hora para definir o número de dias para os quais esses dados são exibidos.

• Alertas por gravidade ao longo do tempo: exibe o total de alertas por gravidade, em alta com o tempo. Use o filtro Hora para definir o número de dias. para os quais esses dados são exibidos.

• Cobertura de detecção: fornece informações sobre o SIEM das Operações de segurança do Google. conjuntos de regras e o status, o total de detecções e a data da detecção mais recente. Use o filtro Hora para definir o número de dias para os quais esses dados são exibidos.

• Cobertura de dados em nuvem: oferece informações sobre todos os serviços do Google Cloud serviços, analisadores que abrangem cada serviço, evento visto pela primeira vez, evento visto pela última vez, e a capacidade de processamento total.

Para mais informações sobre os conjuntos de regras do CDIR, consulte Visão geral da categoria de ameaças do Cloud.

A tabela é seguida por gráficos de todos os serviços do Google Cloud com os respectivos dados que mostram a tendência de ingestão nos seguintes intervalos de tempo:

• Últimas 24 horas
• Últimos 30 dias
• Últimos seis meses

Detecções contextuais: painel de riscos

O painel Detecções contextualizadas – Risco mostra insights sobre o status de ameaça atual de ativos e usuários em sua empresa. Ele é construído usando campos da interface de exploração Detecções de regras.

Os valores de gravidade e pontuação de risco são variáveis definidas em cada regra. Para um exemplo, consulte Sintaxe da seção de resultados. Em cada painel, os dados é classificado com base na gravidade e, em seguida, a pontuação de risco para identificar usuários e ativos com maior risco.

Confira as seguintes visualizações no painel Detecções baseadas no contexto – Risco:

• Recursos e dispositivos em risco: lista os 10 principais recursos com base na gravidade. que você defina a regra no Meta > Gravidade. Consulte Sintaxe da seção meta. Os níveis de gravidade são Super alta, Crítica, Alta, Grande, Média e Baixa. Se o valor do nome do host não estiver presente no no registro e, em seguida, exibe o endereço IP.
• Usuários em risco: lista os 10 usuários principais com base na gravidade. A níveis de gravidade Super alta, Crítica, Alta, Grande, Média, e Baixa. Se o valor do nome de usuário não estiver presente no registro, ele exibe o ID do e-mail.
• Risco agregado: para cada data, exibe a pontuação de risco total agregado.
• Resultados da detecção: exibe detalhes sobre as detecções retornadas pela detecção. do Compute Engine. A tabela inclui o nome da regra, o ID de detecção, a pontuação de risco e a gravidade.

Painel de integridade e ingestão de dados

O painel Ingestão de dados e integridade fornece informações sobre o tipo, volume e integridade dos dados ingeridos pelo seu locatário do SIEM das Operações de segurança do Google. Use esse painel para monitorar anomalias no seu ambiente.

Esse painel oferece visualizações que ajudam a entender o volume registros ingeridos, erros de ingestão e outras informações relevantes. Os dados em o painel é atualizado a cada 15 minutos, portanto, pode ser necessário esperar até 15 minutos para ver as informações mais recentes.

É possível visualizar as seguintes visualizações no painel Ingestão de dados e integridade:

• Contagem de eventos ingeridos: o número total de eventos ingeridos.
• Contagem de erros da ingestão: o número total de erros encontrados durante o processamento.
• Distribuição do tipo de registro por contagem de eventos: exibe o registro distribuição de tipos com base no número de eventos de cada tipo de registro.
• Distribuição do tipo de registro por capacidade: exibe os tipos de registro com base na capacidade de processamento.
• Ingestão – eventos por status: exibe o número de eventos. com base no status delas.
• Ingestão – Eventos por tipo de registro: exibe o número de eventos com base no status e tipo de registro.
• Eventos ingeridos recentemente: exibe eventos ingeridos recentemente. para cada tipo de registro.
• Informações de registro diário: exibe os números de registros para um dia para cada tipo de registro.
• Contagem de eventos x tamanho: compara a contagem e o tamanho do evento ao longo de um período.
• Capacidade de processamento: exibe a capacidade de processamento durante um período.

Painel de correspondências de IOC

O painel de correspondências do indicador de comprometimento (IOC) fornece visibilidade os IOCs presentes em sua empresa.

Acesse as seguintes visualizações no painel Correspondências de IOC:

• Correspondências de IOC ao longo do tempo por categoria: exibe o número de correspondências de IOCs com base em suas categorias.
• Os 10 principais indicadores de IOC de domínios: lista os 10 principais domínios indicadores de IOC junto com a contagem.
• Dez principais indicadores de IOC IP: lista os 10 principais IOCs de endereços IP junto com a contagem.
• 10 principais recursos por correspondências de IOC: lista os 10 principais por IOC corresponde junto com a contagem.
• 10 principais correspondências de IOC por categoria, tipo e contagem: lista as 10 principais Correspondências de IOC por categoria, tipo e junto com a contagem.
• 10 principais valores de IOC: lista os 10 principais valores de IOC junto com a contagem.
• Os 10 principais valores raramente vistos: lista os 10 principais raramente correspondências de IOC ocorridas junto com a contagem.

Painel de detecções de regras

O painel Detecções de regras oferece insights sobre as detecções retornadas pelas regras do mecanismo de detecção. Para receber detecções, ative as regras. Para mais informações, consulte Como executar uma regra para dados ativos.

O painel Detecções de regras mostra as seguintes visualizações:

• Detecções de regras ao longo do tempo: mostra o número de regras de detecção ao longo de um período.
• Detecções de regras por gravidade: mostra a gravidade. das detecções das regras.
• Detecções de regras por gravidade ao longo do tempo: exibe as informações diárias de detecções por gravidade ao longo do tempo.
• 10 principais nomes de regras por detecções: lista os 10 principais regras que retornam o maior número de detecções.
• Detecções de regras por nome ao longo do tempo: exibe as regras. que retornassem detecções a cada dia e o número de detecções retornadas.
• 10 principais usuários por detecções de regras: lista os 10 usuários principais identificadores que apareceram em eventos que acionaram detecções.
• 10 principais nomes de recursos por detecções de regras: lista os 10 principais nomes de recursos que apareceram em eventos que acionaram detecções, como nome do host.
• 10 principais IPs por detecções de regras: lista os 10 principais IPs endereços IP que apareceram em eventos que acionaram detecções.

Painel de visão geral do login do usuário

O painel Visão geral do login do usuário mostra insights sobre os usuários. fazer login na empresa. Essas informações podem ser úteis para o acompanhamento tentativas de acesso à empresa por pessoas mal-intencionadas.

Por exemplo, você pode descobrir que um determinado usuário tentou acessar sua empresa a partir de um país onde você não tem um escritório ou em que um usuário específico parece acessar repetidamente um aplicativo de contabilidade.

Confira as seguintes visualizações no painel Visão geral do login do usuário:

• Número de logins bem-sucedidos: o número total de logins bem-sucedidos.
• Número de logins com falha: o número total de logins com falha.
• Logins por status: exibe a divisão de logins bem-sucedidos e com falha.
• Logins por status ao longo do tempo: exibe a divisão de logins bem-sucedidos e com falha no período.
• Os 10 principais aplicativos por login: mostra a divisão. das 10 principais inscrições frequentes com base no número de logins.
• Logins por aplicativo: lista o número de status de login. para cada aplicativo. A contagem de cada aplicativo é preenchida com base no os dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.
• Os 10 principais países por logins: mostra o número de os 10 principais países de onde os usuários fizeram login.
• Logins por país: exibe o número de todos os países. de onde os usuários fizeram login.
• 10 principais logins por IP: mostra os 10 principais endereços IP. de onde os usuários fizeram login.
• Mapa de local de login: mostra os locais dos endereços IP. de onde os usuários fizeram login.
• Os 10 principais usuários por status de login: mostra o número de status de login. para cada usuário. A contagem de cada aplicativo é preenchida com base no os dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de evento.

A seguir

• Saiba como criar um painel personalizado.