Dashboard-Übersicht

Google Security Operations SIEM-Dashboards können verwendet werden, um die Daten in Google Security Operations SIEM anzuzeigen und zu analysieren, einschließlich Sicherheitstelemetrie, Aufnahmemesswerten, Erkennungen, Warnungen und IOCs. Diese Dashboards basieren auf den Funktionen von Looker.

Google Security Operations SIEM stellt Ihnen mehrere Standard-Dashboards zur Verfügung, die in diesem Dokument beschrieben werden. Außerdem haben Sie die Möglichkeit, benutzerdefinierte Dashboards zu erstellen.

Standard-Dashboards

Um die Seite Dashboards aufzurufen, klicken Sie im linken Navigationsbereich auf Dashboards.

Standard-Dashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihrer Google Security Operations SIEM-Instanz gespeichert sind. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des SIEM-Datenaufnahmesystems von Google Security Operations zu verstehen oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standarddashboard enthält einen Zeitraumfilter, mit dem Sie Daten für einen bestimmten Zeitraum ansehen können. Dies kann hilfreich sein, wenn Sie Probleme beheben oder Trends erkennen. Sie können den Filter beispielsweise verwenden, um Daten für die vergangene Woche oder für einen bestimmten Zeitraum anzuzeigen.

Standard-Dashboards können nicht geändert werden. Sie können eine Kopie eines Standard-Dashboards erstellen und das neue Dashboard dann an einen bestimmten Anwendungsfall anpassen.

Google Security Operations SIEM stellt die folgenden Standard-Dashboards zur Verfügung:

• Hauptkamera
• Cloud-Bedrohungserkennung und ‐abwehr
• Kontextsensitive Erkennungen – Risiko
• Datenaufnahme und Zustand
• IOC-Übereinstimmungen
• Regelerkennungen
• Übersicht über die Nutzeranmeldung

Haupt-Dashboard

Im Haupt-Dashboard werden Informationen zum Status des SIEM-Datenaufnahmesystems von Google Security Operations angezeigt. Sie enthält auch eine Weltkarte, auf der der geografische Standort der in Ihrem Unternehmen erkannten IOCs hervorgehoben ist.

Im Haupt-Dashboard sehen Sie die folgenden Visualisierungen:

• Aufgenommene Ereignisse: die Gesamtzahl der aufgenommenen Ereignisse
• Durchsatz: Das Datenvolumen, das für eine bestimmte Zeit aufgenommen wird.
• Benachrichtigungen: Die Gesamtzahl der aufgetretenen Benachrichtigungen.
• Ereignisse im Zeitverlauf: Ein Säulendiagramm, das die Ereignisse darstellt, die über einen bestimmten Zeitraum stattgefunden haben.
• Global Threat Map – IOC-IP-Matches: der Standort, von dem aus die IOC-Abgleichsereignisse aufgetreten sind.

Dashboard „Cloud Detection and Response – Übersicht“

Mit dem Dashboard Cloud Detection and Response können Sie den Sicherheitsstatus Ihrer Cloud-Umgebung überwachen und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen der Datenquellen, Regelsätze, Benachrichtigungen und andere Informationen besser nachvollziehen können.

Mit dem Filter Zeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP-Logtyp können Sie die Daten nach Google Cloud-Logtyp filtern.

Im Dashboard Cloud Detection and Response – Übersicht finden Sie die folgenden Visualisierungen:

• CDIR-Regelsätze aktiviert: Zeigt den Prozentsatz der für Ihre Cloud-Umgebung aktivierten Google Security Operations SIEM-Regelsätze im Vergleich zur Gesamtzahl der Regelsätze an, die von GCTI für Google Security Operations SIEM-Nutzer bereitgestellt wurden. GCTI bietet mehrere vorkonfigurierte Regeln. Sie können diese Regelsätze aktivieren oder deaktivieren.

• GCP-Datenquellen: Zeigt den Prozentsatz der abgedeckten Datenquellen an, bezogen auf alle verfügbaren Google Cloud-Datenquellen. Wenn Sie beispielsweise Daten mit 40 Logtypen aufnehmen können, aber nur für 20 Logtypen Daten senden, wird in der Kachel 50 % angezeigt.

• CDIR-Benachrichtigungen: Zeigt die Anzahl der Benachrichtigungen an, die von den Regeln in Ihren GCTI-Regelsätzen oder Cloud-Bedrohungen ausgelöst werden. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

• Aktuelle Benachrichtigungen: Zeigt die letzten Benachrichtigungen mit Schweregrad und Risikobewertung an. Sie können die Tabelle anhand der Spalte Ereigniszeitstempel sortieren und zu den einzelnen Benachrichtigungen navigieren, um weitere Informationen zu erhalten. Sie liefert die Anzahl der aggregierten Sicherheitsergebnisse, die von Security Command Center verbessert wurden. Diese Sicherheitsergebnisse werden von von GCTI ausgewählten Erkennungsregelsätzen generiert und nach Ergebnistyp kategorisiert. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

• Benachrichtigungen nach Schweregrad im Zeitverlauf: Zeigt die Gesamtzahl der Benachrichtigungen nach Schweregrad im Zeitverlauf an. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

• Abdeckung der Erkennung: Liefert Informationen zu SIEM-Regelsätzen von Google Security Operations und deren Status, die Gesamtzahl der Erkennungen und das Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

• Cloud-Datenabdeckung: Liefert Informationen zu allen verfügbaren Google Cloud-Diensten, zu Parsern, die jeden Dienst abdecken, zum ersten und zum letzten erfassten Ereignis sowie zum Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Übersicht über die Cloud-Bedrohungskategorie.

Darauf folgen Diagramme aller Google Cloud-Dienste mit den zugehörigen Daten, die ihren Aufnahmetrend in den folgenden Zeitintervallen zeigen:

• Letzte 24 Stunden
• Letzte 30 Tage
• Letzte sechs Monate

Kontextsensitive Erkennungen – Risiko-Dashboard

Das Dashboard Kontextsensitive Erkennungen – Risiko bietet Einblick in den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Sie wird mithilfe von Feldern in der Explore-Oberfläche Regelerkennungen erstellt.

Die Werte für Schweregrad und Risikobewertung sind in jeder Regel definierte Variablen. Ein Beispiel finden Sie unter Syntax des Ergebnisabschnitts. In jedem Bereich werden die Daten nach Schweregrad und dann nach Risikobewertung sortiert, um die am stärksten gefährdeten Nutzer und Assets zu identifizieren.

Sie können sich die folgenden Visualisierungen im Dashboard Kontextsensitive Erkennung – Risiko ansehen:

• Gefährdete Assets und Geräte: Listet die Top-10-Assets basierend auf dem Schweregrad auf, den Sie für die Regel unter Meta > Schweregrad festgelegt haben. Siehe Metaabschnittssyntax. Die Schweregrade sind Super hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Hostname nicht im Eintrag vorhanden ist, wird die IP-Adresse angezeigt.
• Gefährdete Nutzer: Hier werden die 10 gefährdeten Nutzer nach Schweregrad aufgeführt. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Wert für den Nutzernamen im Eintrag nicht vorhanden ist, wird die E-Mail-ID angezeigt.
• Aggregate Risk (Aggregiertes Risiko): Zeigt für jedes Datum die gesamte aggregierte Risikobewertung an.
• Erkennungsergebnisse: Zeigt Details zu den von Erkennungs-Engine-Regeln zurückgegebenen Erkennungen an. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, den Risikowert und den Schweregrad.

Dashboard für Datenaufnahme und Zustand

Das Dashboard Datenaufnahme und -zustand enthält Informationen zum Typ, Volumen und Zustand der Daten, die in Ihren Google Security Operations-SIEM-Mandanten aufgenommen werden. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen.

Dieses Dashboard enthält Visualisierungen, mit denen Sie das Volumen der aufgenommenen Logs, Aufnahmefehler und andere relevante Informationen nachvollziehen können. Die Daten im Dashboard werden alle 15 Minuten aktualisiert. Es kann daher bis zu 15 Minuten dauern, bis die neuesten Informationen angezeigt werden.

Im Dashboard Datenaufnahme und -status finden Sie die folgenden Visualisierungen:

• Anzahl der aufgenommenen Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
• Anzahl der Aufnahmefehler: Die Gesamtzahl der während der Aufnahme aufgetretenen Fehler.
• Verteilung der Logtypen nach Ereignisanzahl: Zeigt die Verteilung der Logtypen basierend auf der Anzahl der Ereignisse für jeden Logtyp an.
• Logtypverteilung nach Durchsatz: Zeigt die Verteilung der Logtypen basierend auf dem Durchsatz an.
• Aufnahme – Ereignisse nach Status: Zeigt die Anzahl der Ereignisse basierend auf ihrem Status an.
• Aufnahme – Ereignisse nach Logtyp: Zeigt die Anzahl der Ereignisse basierend auf ihrem Status und Logtyp an.
• Kürzlich aufgenommene Ereignisse: Zeigt die kürzlich aufgenommenen Ereignisse für jeden Logtyp an.
• Tägliche Loginformationen: Zeigt für jeden Logtyp die Anzahl der Logs für einen Tag an.
• Ereignisanzahl und -größe: Hier werden Anzahl und Größe von Ereignissen über einen bestimmten Zeitraum verglichen.
• Aufnahmedurchsatz: Zeigt den Aufnahmedurchsatz über einen bestimmten Zeitraum an.

Dashboard für IOC-Übereinstimmungen

Das Dashboard „Indicator of Compromise (IOC) Matches“ bietet Einblick in die IOCs in Ihrem Unternehmen.

Sie können sich die folgenden Visualisierungen im Dashboard IOC Matches ansehen:

• IOC-Übereinstimmungen im Zeitverlauf nach Kategorie: Zeigt die Anzahl der IOC-Übereinstimmungen basierend auf ihrer Kategorie an.
• Top-10-Domain-IOC-Indikatoren: Hier werden die Top-10-Domain-IOC-Indikatoren zusammen mit der Anzahl aufgeführt.
• Top-10-IOC-Indikatoren für IP-Adressen: Hier werden die zehn wichtigsten IOC-Indikatoren für IP-Adressen zusammen mit der Anzahl aufgeführt.
• Top-10-Assets nach IOC-Übereinstimmungen: Hier werden die Top-10-Assets nach IOC-Übereinstimmungen zusammen mit der Anzahl aufgeführt.
• Top-10-IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl: Hier werden die ersten 10 IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl aufgelistet.
• Top-10-IOC-Werte: Hier werden die Top-10-IOC-Werte zusammen mit der Anzahl aufgeführt.
• Top 10 – selten gesehene Werte: Hier werden die 10 selten auftretenden IOC-Übereinstimmungen zusammen mit der Anzahl aufgelistet.

Dashboard für Regelerkennungen

Das Dashboard Regelerkennungen bietet einen Einblick in die von den Erkennungs-Engine-Regeln zurückgegebenen Erkennungen. Damit Sie Erkennungen erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Sie können sich die folgenden Visualisierungen im Dashboard Regelerkennungen ansehen:

• Regelerkennungen im Zeitverlauf: Zeigt die Anzahl der Regelerkennungen über einen bestimmten Zeitraum an.
• Regelerkennungen nach Schweregrad: Zeigt den Schweregrad der Regelerkennung an.
• Regelerkennungen nach Schweregrad im Zeitverlauf: Hier wird die tägliche Anzahl der Erkennungen nach Schweregrad im Zeitverlauf angezeigt.
• Top-10-Regelnamen nach Erkennungen: Listet die 10 Regeln mit der größten Anzahl an Erkennungen auf.
• Regelerkennungen nach Name im Zeitverlauf: Zeigt die Regeln an, die täglich Erkennungen zurückgegeben haben, sowie die Anzahl der zurückgegebenen Erkennungen.
• Top-10-Nutzer nach Regelerkennung: Hier werden die 10 Nutzerkennungen aufgelistet, die am häufigsten in Ereignissen verwendet wurden, die die Erkennung ausgelöst haben.
• Top-10-Asset-Namen nach Regelerkennung: Hier werden die 10 Top-Asset-Namen aufgelistet, die in Ereignissen angezeigt wurden, die Erkennungen ausgelöst haben, z. B. der Hostname.
• Top-10-IP-Adressen nach Regelerkennung: Hier werden die Top-10-IP-Adressen aufgelistet, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.

Dashboard mit Nutzeranmeldung – Übersicht

Das Dashboard Nutzeranmeldung – Übersicht bietet Einblick in die Nutzer, die sich in Ihrem Unternehmen anmelden. Diese Informationen können nützlich sein, um Versuche böswilliger Akteure, auf Ihr Unternehmen zuzugreifen, zu verfolgen.

Sie könnten beispielsweise feststellen, dass ein bestimmter Nutzer versucht hat, aus einem Land auf Ihr Unternehmen zuzugreifen, in dem Sie kein Büro haben, oder dass ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zuzugreifen scheint.

Sie können sich die folgenden Visualisierungen im Dashboard Nutzeranmeldung – Übersicht ansehen:

• Anzahl erfolgreicher Anmeldungen: Die Gesamtzahl der erfolgreichen Anmeldungen.
• Anzahl fehlgeschlagener Anmeldungen: die Gesamtzahl der fehlgeschlagenen Anmeldungen.
• Anmeldungen nach Status: Zeigt die Aufteilung zwischen erfolgreichen und fehlgeschlagenen Anmeldungen an.
• Anmeldungen nach Status im Zeitverlauf: Zeigt die Aufteilung von erfolgreichen und fehlgeschlagenen Anmeldungen über den Zeitraum an.
• Top-10-Anwendungen nach Anmeldungen: zeigt die Aufteilung der Top-10-Anwendungen nach Anmeldung basierend auf der Anzahl der Anmeldungen an.
• Anmeldungen nach Anwendung: Hier wird die Anzahl der Anmeldungen für jede Anwendung aufgelistet. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten angegeben, die Sie im Feld security_result.action definieren. Weitere Informationen finden Sie unter Enumerationstypen für Ereignisse.
• Top-10-Länder nach Anmeldung: Zeigt die Anzahl der Top-10-Länder an, in denen sich Nutzer angemeldet haben.
• Anmeldungen nach Land: Zeigt die Anzahl aller Länder an, aus denen sich Nutzer angemeldet haben.
• Top-10-Anmeldungen nach IP-Adresse: Es werden die Top-10-IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
• Standortkarte für die Anmeldung: Auf dieser Karte werden die Standorte der IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
• Top-10-Nutzer nach Anmeldestatus: Zeigt die Anzahl der Anmeldestatus für jeden Nutzer an. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten angegeben, die Sie im Feld security_result.action definieren. Weitere Informationen finden Sie unter Enumerationstypen für Ereignisse.

Nächste Schritte

• Informationen zum Erstellen eines benutzerdefinierten Dashboards