Descripción general de los paneles

Los paneles SIEM de Google Security Operations se pueden usar para ver y analizar la datos en la SIEM de Google Security Operations, incluida la telemetría de seguridad, las métricas de transferencia, detecciones, alertas e IOC. Estos paneles se basan en la capacidades de Looker.

La SIEM de Google Security Operations proporciona varios paneles predeterminados, que se describe en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en el panel de navegación izquierdo.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos SIEM de Google Security Operations o supervisar el estado de amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de intervalo de tiempo que te permite ver los datos durante un período específico. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puedes usar el filtro para ver datos durante la última semana o durante un período específico.

No se pueden modificar los paneles predeterminados. Puedes crear una copia de un panel predeterminado y, luego, modificar el nuevo panel para que admita un caso de uso específico.

La SIEM de Google Security Operations proporciona los siguientes paneles predeterminados:

Panel principal

El panel Principal muestra información sobre el estado de la Sistema de transferencia de datos SIEM de Google Security Operations. También incluye un mapa mundial destacando la ubicación geográfica de los IOC detectados en su empresa.

Puedes ver las siguientes visualizaciones en el panel Main:

  • Eventos transferidos: La cantidad total de eventos transferidos.
  • Capacidad de procesamiento: Es el volumen de datos que se transfieren durante un tiempo específico.
  • Alertas: la cantidad total de alertas que ocurrieron.
  • Eventos a lo largo del tiempo: es un gráfico de columnas que muestra los eventos que se produjeron durante un período de tiempo.
  • Mapa de amenazas globales - Coincidencias de IP de IOC: la ubicación desde la que se originó el IOC se produjeron eventos coincidentes.

Panel de descripción general de Cloud Detection and Response

El panel Cloud Detection and Response te ayuda a supervisar del estado de seguridad de tu entorno de nube y, además, investigar amenazas potenciales. El panel muestra visualizaciones que te ayudan a comprender el volumen de datos fuentes, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por tipo de registro de Google Cloud.

Puedes ver las siguientes visualizaciones en el panel Cloud Detection and Response Overview:

  • Conjuntos de reglas de CIR habilitados: muestra el porcentaje de conjuntos de reglas SIEM habilitados de Google Security Operations. para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para la SIEM de Google Security Operations usuarios. GCTI proporciona múltiples reglas seleccionadas previamente empaquetadas. Puedes habilitar o inhabilitar de estos conjuntos de reglas.

  • Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas del total de Google Cloud. fuentes de datos disponibles. Por ejemplo, si puedes transferir datos usando 40 tipos de registros pero solo envías datos del 20, la tarjeta muestra el 50%.

  • Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas dentro de tus conjuntos de reglas de GCTI. o amenazas en la nube. Puedes usar el filtro Tiempo para establecer la cantidad de días de los que se muestran estos datos.

  • Alertas recientes: Muestra las alertas recientes con su gravedad. y la puntuación de riesgo. Puedes ordenar la tabla usando la columna Event Timestamp Time y navega a cada alerta para obtener más información. Proporciona la cantidad de datos resultados de seguridad mejorados por Security Command Center. Estos hallazgos de seguridad se generan por conjuntos de reglas de detección seleccionadas de GCTI y categorizados por tipo de hallazgo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Alertas por gravedad a lo largo del tiempo: Muestra el total de alertas por gravedad. en tendencia con el tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días. para los que se muestran estos datos.

  • Cobertura de detección: Proporciona información sobre la SIEM de Google Security Operations. conjuntos de reglas y su estado, el total de detecciones y la fecha de la detección más reciente. Puedes utilizar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Cobertura de datos de Cloud: Proporciona información sobre todos los servicios disponibles de Google Cloud. servicios, analizadores que abarcan cada servicio, evento de primer acceso, evento de última vez que se detectó y la capacidad de procesamiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría de amenazas a la nube.

La tabla está seguida de gráficos de todos los servicios de Google Cloud con sus respectivos datos que muestran su tendencia de transferencia en los siguientes intervalos de tiempo:

  • Últimas 24 horas
  • Últimos 30 días
  • Últimos seis meses

Detecciones adaptadas al contexto: Panel de riesgos

El panel Detecciones adaptadas al contexto: Riesgo proporciona estadísticas sobre el el estado actual de amenazas de los activos y usuarios de tu empresa. Está construido con los campos de la interfaz del explorador Detecciones de reglas

Los valores de gravedad y puntuación de riesgo son variables que se definen en cada regla. Para un Por ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se clasifica según la gravedad y, luego, la puntuación de riesgo para identificar activos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Detecciones adaptadas al contexto: Riesgo:

  • Assets and Devices at Risk: Muestra los 10 activos principales según la gravedad. que establezcas la regla en Meta > Gravedad. Consulta Sintaxis de la sección Meta: Los niveles de gravedad son Super alta, Crítica, Alta, Grande, Media y Baja. Si el valor del nombre de host no está presente en el registro y, luego, muestra la dirección IP.
  • Usuarios en riesgo: Muestra los 10 usuarios principales según la gravedad. El los niveles de gravedad son Super alta, Crítica, Alta, Grande, Media y y Baja. Si el valor del nombre de usuario no está presente en el registro, muestra el ID del correo electrónico.
  • Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo agregada total.
  • Resultados de la detección: Muestra los detalles sobre las detecciones que muestra la detección. del motor de búsqueda. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Panel de estado y transferencia de datos

El panel de Transferencia y estado de los datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu usuario de SIEM de Google Security Operations. Puedes usar este panel para supervisar las anomalías en tu entorno.

Este panel proporciona visualizaciones que te ayudan a comprender el volumen de registros transferidos, errores de transferencia y otra información relevante. Los datos sobre el panel se actualiza cada 15 minutos, por lo que tal vez debas esperar minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Data Ingestion and Health:

  • Recuento de eventos transferidos: La cantidad total de eventos transferidos.
  • Recuento de errores de transferencia: La cantidad total de errores que se encontraron durante la transferencia.
  • Log Type Distribution by Events Count: Muestra el registro. de tipos basada en la cantidad de eventos para cada tipo de registro.
  • Distribución de tipos de registros por capacidad de procesamiento: Muestra los tipos de registros. basada en la capacidad de procesamiento.
  • Transferencia: Eventos por estado: Muestra la cantidad de eventos. según su estado.
  • Transferencia: Eventos por tipo de registro: Muestra la cantidad de según su estado y tipo de registro.
  • Eventos transferidos recientemente: Muestra los eventos transferidos recientemente. para cada tipo de registro.
  • Información de registro diario: muestra la cantidad de registros de un día para cada tipo de registro.
  • Cantidad de eventos en comparación con el tamaño: Compara la cantidad y el tamaño de los eventos durante un período.
  • Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.

Panel de coincidencias de IOC

El panel del indicador de coincidencias de indicadores de compromiso (IOC) ofrece visibilidad a los IOC presentes en su empresa.

Puedes ver las siguientes visualizaciones en el panel Coincidencias de IOC:

  • Coincidencias del IOC a lo largo del tiempo por categoría: muestra el número de coincidencias de los IOC según su categoría.
  • Los 10 indicadores de IOC principales de los dominios: Muestra una lista de los 10 dominios principales. indicadores de IOC junto con el recuento.
  • Los 10 indicadores principales de IOC de IP: Muestra una lista de los 10 IOC principales de las direcciones IP. indicadores junto con el recuento.
  • Los 10 activos principales por coincidencias de IOC: enumera los 10 principales. activos por coincidencia de IOC junto con el recuento.
  • Las 10 coincidencias principales de IOC por categoría, tipo y recuento: Muestra las 10 principales. Coincidencias de los IOC por categoría, tipo y junto con el recuento.
  • Los 10 valores principales de IOC: Muestra una lista de los 10 valores principales de IOC. junto con el recuento.
  • Los 10 valores más vistos con poca frecuencia: Muestra los 10 principales con poca frecuencia. las coincidencias de IOC más frecuentes junto con el recuento.

Panel de detección de reglas

El panel Detecciones de reglas proporciona información sobre las detecciones que se muestran con las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Ejecuta una regla a partir de datos activos.

Puedes ver las siguientes visualizaciones en el panel Detecciones de reglas:

  • Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de reglas. detecciones durante un período.
  • Detecciones de reglas por gravedad: Muestra la gravedad. de las detecciones de reglas.
  • Detecciones de reglas por gravedad a lo largo del tiempo: Muestra la frecuencia recuento de detecciones por gravedad en el tiempo.
  • 10 nombres de reglas principales por detecciones: Enumera las 10 principales de estado que muestren el mayor número de detecciones.
  • Detecciones de reglas por nombre en el tiempo: Muestra las reglas. que mostró detecciones cada día y la cantidad de detecciones mostradas.
  • Los 10 usuarios principales por detecciones de reglas: Muestra una lista de los 10 usuarios principales. identificadores que aparecieron en eventos que activaron detecciones.
  • Los 10 nombres de recursos principales por detecciones de reglas: Muestra los 10 principales. Nombres de recursos que aparecieron en eventos que activaron detecciones, como el nombre de host.
  • Las 10 IP principales por detecciones de reglas: Muestra las 10 IP principales. que aparecieron en eventos que activaron detecciones.

Panel de descripción general de acceso de usuarios

El panel Descripción general del acceso de usuarios proporciona estadísticas sobre los usuarios iniciando sesión en tu empresa. Esta información puede ser útil para hacer un seguimiento intentos de acceso por parte de agentes maliciosos de acceder a tu empresa.

Por ejemplo, podrías detectar que un usuario en particular intentó acceder a tu empresa desde un un país en el que no tienes una oficina o en el que parece que un usuario específico acceder varias veces a una aplicación de contabilidad.

Puedes ver las siguientes visualizaciones en el panel Descripción general de acceso de usuarios:

  • Cantidad de accesos exitosos: la cantidad total de accesos correctos.
  • Cantidad de accesos fallidos: la cantidad total de accesos fallidos.
  • Sign Ins By Status: Muestra la división de los accesos exitosos y fallidos.
  • Accesos por estado a lo largo del tiempo: muestra la división de accesos exitosos y fallidos durante el intervalo de tiempo.
  • Top 10 Applications by Sign Ins: Muestra la división. de las 10 aplicaciones más frecuentes según el número de accesos.
  • Accesos por aplicación: Muestra la cantidad de estados de acceso. para cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta Tipos enumerados de eventos.
  • 10 países principales por accesos: muestra la cantidad de de los 10 países desde los que los usuarios iniciaron sesión.
  • Accesos por país: Muestra el recuento de todos los países. desde dónde acceden los usuarios.
  • 10 accesos principales por IP: Muestra las 10 direcciones IP principales. desde dónde acceden los usuarios.
  • Mapa de ubicación de acceso: muestra las ubicaciones de las direcciones IP. desde dónde acceden los usuarios.
  • 10 usuarios principales por estado de acceso: Muestra el recuento de estados de acceso. para cada usuario. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta Tipos enumerados de eventos.

¿Qué sigue?