Se usó la API de Cloud Translation para traducir esta página.

Descripción general de los paneles

Se admite en los siguientes países:

Google SecOps SIEM

Los paneles de SIEM de Google Security Operations se pueden usar para ver y analizar los datos del SIEM de Google Security Operations, incluida la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IOC. Estos paneles se basan en las funciones de Looker.

Google Security Operations SIEM te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en la barra de navegación izquierda.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos de SIEM de Google Security Operations o supervisar el estado de las amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de período que te permite ver los datos de un período específico. Esto puede ser útil cuando se solucionan problemas o se identifican tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la semana anterior o de un período específico.

No se pueden modificar los paneles predeterminados. Puedes crear una copia de un panel predeterminado y, luego, modificar el nuevo panel para admitir un caso de uso específico.

Google Security Operations SIEM proporciona los siguientes paneles predeterminados:

Principal
Panel de vista previa
Detección y respuesta en la nube
Detección adaptada al contexto: riesgo
Transferencia de datos y estado
Coincidencias de IOC
Detección de reglas
Descripción general del acceso de los usuarios

Panel principal

El panel Principal muestra información sobre el estado del sistema de transferencia de datos del SIEM de Google Security Operations. También incluye un mapa global que destaca la ubicación geográfica de los IOC detectados en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Principal:

Eventos transferidos: Es la cantidad total de eventos transferidos.
Capacidad de procesamiento: Es el volumen de datos que se transfiere durante un período específico.
Alertas: Es la cantidad total de alertas que se produjeron.
Eventos a lo largo del tiempo: Es un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
Mapa de amenazas global: coincidencias de IP de IOC: Es la ubicación desde la que ocurrieron los eventos que coinciden con los IOC.

Panel de vista previa

Puedes usar la función de paneles de vista previa de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Un panel de Google Security Operations se compone de diferentes gráficos, que se completan con YARA-L 2.0.

Fuentes de datos para los paneles de vista previa de Google Security Operations

Las siguientes fuentes de datos están disponibles en los paneles de vista previa con el siguiente prefijo YARA-L.

Sintaxis de YARA-L 2.0 para los paneles de vista previa de Google Security Operations

YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en paneles de vista previa:

En los paneles, están disponibles fuentes de datos adicionales, como el grafo de entidades, las métricas de transferencia, los conjuntos de reglas y las detecciones. Estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda de UDM.
Los paneles de vista previa de Google Security Operations usan la sintaxis YARA-L. Para obtener más información, consulta las funciones de YARA-L 2.0 para los paneles de vista previa de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas. La búsqueda de la AUA (por ejemplo, principal.hostname = "john") no funciona con los paneles de vista previa de Google Security Operations.
La sección de eventos de una regla YARA-L se da por implícita y no es necesario declararla en las consultas.
La sección de condiciones de una regla YARA-L no se usa para los paneles.

Cómo comenzar a usar los paneles de vista previa de Google Security Operations

Cómo crear un panel nuevo

Para crear un panel nuevo, haz lo siguiente:

En la página Vista previa de paneles, haz clic en Crear panel. Aparecerá la ventana Crear panel.
Ingresa un nombre y una descripción para tu panel.
En la lista Comenzar con un panel existente, selecciona Panel en blanco. También puedes comenzar por copiar un panel existente.
Establece el acceso de tu panel como privado o compartido. Solo tú puedes ver los paneles privados, mientras que todos los usuarios de tu organización pueden ver los paneles compartidos.
Haz clic en Crear para crear un panel nuevo.

Agrega un gráfico

Un panel se compone de gráficos que se completan con datos mediante YARA-L. Para agregar un gráfico a tu panel, haz lo siguiente:

En la página Editing dashboard, haz clic en Add chart.
En la sección Búsqueda, ingresa una consulta YARA-L para explorar y transformar tus datos. La siguiente consulta de YARA-L recupera las fechas y los niveles de gravedad de las detecciones, filtra las que tienen una gravedad desconocida y cuenta las detecciones distintas de cada fecha. Las detecciones se ordenan por fecha en orden ascendente.
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
Para el período especificado, selecciona absoluto o relativo.
Después de ingresar la consulta, haz clic en Run Search. Los resultados se muestran en formato tabular, que es el tipo de gráfico predeterminado.
En Detalles del gráfico, ingresa un nombre para el gráfico.
Para convertir los datos de los resultados de la búsqueda tabulados en un gráfico de barras, selecciona Tipo de gráfico > Gráfico de barras.
En Configuración de datos, ingresa un tipo de datos y un valor de campo para el eje X y el eje Y. Para basarte en la regla de YARA-L de ejemplo, puedes ingresar los siguientes valores:
- Campo del eje X: date
- Campo del eje Y: detection_count
En Etiqueta del eje, ingresa una etiqueta para el eje X y el eje Y.
En Agrupación, selecciona Agrupado.
En Serie, establece el campo de agrupación en gravedad. Esto cambia el gráfico para que se agrupe por gravedad.
Revisa los resultados y, luego, haz clic en Agregar al panel.

Cómo agregar un filtro

Puedes usar filtros para modificar los datos disponibles en función de un campo específico, lo que afectará solo a los gráficos que usen ese campo en su consulta.

Para agregar un filtro, haz lo siguiente:

En la página principal del panel, haz clic en el ícono de lápiz para editarlo.
En la página Panel de edición, haz clic en el ícono de filtro para agregar un filtro.
En la ventana Administrar filtros, haz clic en el ícono de signo más para configurar un filtro nuevo.
En el campo Campo para filtrar, ingresa un campo en función del cual deseas filtrar los datos. Por ejemplo, detection.collection_elements.references.event.principal.hostname
En el campo Nombre del filtro, ingresa un nombre para el filtro.
En el campo Aplicar a, selecciona un gráfico en el que se debe aplicar el filtro.
Opcional: Establece un valor predeterminado para el filtro.
Haz clic en Listo para agregar el filtro y cerrar la ventana Administrar filtros.

Cómo aplicar el filtro

Para aplicar un filtro al gráfico, haz lo siguiente:

En la vista del panel, haz clic en el ícono de filtro para ver los filtros del panel.
En la ventana Filtros del panel, selecciona el filtro que creaste.
Ingresa un valor para el campo en el que deseas filtrar.
Haz clic en Aplicar. El gráfico en el que se aplica el filtro se actualiza para reflejar los resultados filtrados.

Cómo agregar un filtro de hora global

Puedes aplicar un filtro de tiempo global para seleccionar un período durante el cual se pueden ver los datos en todos los gráficos. El filtro de hora global está disponible de forma predeterminada para todos los gráficos y puede controlar la hora en todas las fuentes de datos. A diferencia de otros filtros de tiempo (por ejemplo, crear un filtro en el campo metadata.event_timestmap) que solo filtran dentro del período especificado en el gráfico individual, un filtro de tiempo global, cuando se aplica, tiene prioridad sobre el período seleccionado en el gráfico individual.

Para agregar un filtro de hora global, haz lo siguiente:

En la página principal del panel, haz clic en el ícono de lápiz para editarlo.
En la página del panel de edición, haz clic en el ícono de filtro para agregar un filtro.
En la ventana Administrar filtros, selecciona Filtro de hora global en la lista de filtros.
Haz clic en el botón de activación para asegurarte de que el filtro de hora global esté habilitado.
En el campo Aplicar a, selecciona los gráficos en los que se debe aplicar el filtro de tiempo global.
En el campo Establecer valores predeterminados, establece un período durante el cual se vean los datos en términos absolutos o relativos.
Haz clic en Listo para agregar el filtro y cerrar la ventana Administrar filtros.

Panel de descripción general de la detección y respuesta de Cloud

El panel de Detección y respuesta en la nube te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por tipo de registro de Google Cloud.

Puedes ver las siguientes visualizaciones en el panel Descripción general de la detección y respuesta en la nube:

CDIR Rulesets Enabled: Muestra el porcentaje de conjuntos de reglas de SIEM de Google Security Operations habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para los usuarios de SIEM de Google Security Operations. GCTI proporciona varias reglas seleccionadas y empaquetadas. Puedes habilitar o inhabilitar estos conjuntos de reglas.
Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas, del total de fuentes de datos de Google Cloud disponibles. Por ejemplo, si puedes transferir datos con 40 tipos de registros, pero solo envías datos de 20, la tarjeta mostrará el 50%.
Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla con la columna Event Timestamp Time y navegar a cada alerta para obtener más información. Proporciona la cantidad de hallazgos de seguridad agregados que mejoró Security Command Center. Estos resultados de seguridad los generan conjuntos de reglas de detección seleccionados por GCTI y se clasifican por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Alertas por gravedad a lo largo del tiempo: Muestra el total de alertas por gravedad y las tendencias a lo largo del tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de detección: Proporciona información sobre los conjuntos de reglas de SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.
Cobertura de datos de Cloud: Proporciona información sobre todos los servicios disponibles de Google Cloud, los analizadores que abarcan cada servicio, el evento de primera aparición, el evento de última aparición y la capacidad de procesamiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría de amenazas en la nube.

Después de la tabla, se muestran gráficos de todos los servicios de Google Cloud con sus datos asociados que muestran su tendencia de transferencia en los siguientes intervalos de tiempo:

Últimas 24 horas
Últimos 30 días
Últimos seis meses

Detecciones contextuales: Panel de riesgo

El panel Detección consciente del contexto: Riesgo proporciona estadísticas sobre el estado de amenaza actual de los activos y los usuarios de tu empresa. Se compila con campos en la interfaz de exploración Detección de reglas.

Los valores de gravedad y puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se ordenan según la gravedad y, luego, según la puntuación de riesgo para identificar a los usuarios y los recursos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Detecciones basadas en el contexto: riesgo:

Recursos y dispositivos en riesgo: Muestra una lista de los 10 recursos principales según la gravedad con la que configuraste la regla en Meta > Gravedad. Consulta Sintaxis de la sección de metadatos. Los niveles de gravedad son Muy alto, Crítico, Alto, Grande, Mediano y Bajo. Si el valor del nombre de host no está presente en el registro, se muestra la dirección IP.
Usuarios en riesgo: Muestra una lista de los 10 usuarios principales según la gravedad. Los niveles de gravedad son Muy alto, Crítico, Alto, Grande, Mediano y Bajo. Si el valor del nombre de usuario no está presente en el registro, se mostrará el ID de correo electrónico.
Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo total agregada.
Resultados de detección: Muestra detalles sobre las detecciones que muestran las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Panel de transferencia de datos y estado

El panel Estado y transferencia de datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu inquilino de SIEM de Google Security Operations. Puedes usar este panel para supervisar si hay anomalías en tu entorno.

Este panel proporciona visualizaciones que te ayudan a comprender el volumen de registros transferidos, los errores de transferencia y otra información relevante. Los datos del panel se actualizan cada 15 minutos, por lo que es posible que debas esperar hasta 15 minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Data Ingestion and Health:

Recuento de eventos transferidos: Es la cantidad total de eventos transferidos.
Cantidad de errores de transferencia: Es la cantidad total de errores que se encontraron durante la transferencia.
Cantidad de errores de análisis: Es la cantidad total de errores que se encontraron durante el análisis.
Cantidad de errores de validación: Es la cantidad total de errores encontrados durante la validación.
Cantidad total de errores: Es la cantidad total de errores encontrados.
Distribución de tipos de registro por recuento de eventos: Muestra la distribución de los tipos de registro según la cantidad de eventos de cada tipo de registro.
Distribución de tipos de registros por capacidad de procesamiento: Muestra la distribución de los tipos de registros según la capacidad de procesamiento.
Transferencia: Eventos por estado: Muestra la cantidad de eventos según su estado.
Transferencia: Eventos por tipo de registro: Muestra la cantidad de eventos según su estado y tipo de registro.
Eventos transferidos recientemente: Muestra los eventos transferidos recientemente para cada tipo de registro.
Información de registro diario: Muestra la cantidad de registros de un día para cada tipo de registro.
Recuento de eventos en comparación con el tamaño: Compara el recuento y el tamaño de los eventos durante un período.
Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.

Panel de coincidencias de IOC

El panel Coincidencias de indicadores de compromiso (IOC) proporciona visibilidad sobre los IOC presentes en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Partidos de IOC:

IOC Matches Over Time by Category: Muestra la cantidad de coincidencias de IOC según su categoría.
Top 10 Domains IOC indicators: Muestra una lista de los 10 indicadores de IOC de dominio principales junto con el recuento.
Top 10 indicadores de IOC de IP: Muestra una lista de los 10 indicadores de IOC de dirección IP principales junto con el recuento.
Top 10 recursos por coincidencias de IOC: Muestra los 10 recursos más populares por coincidencias de IOC junto con el recuento.
Top 10 IOC matches by Category, Type, and Count: Muestra las 10 coincidencias de IOC más importantes por categoría, tipo y recuento.
Top 10 IOC Values: Muestra una lista de los 10 valores de IOC principales junto con el recuento.
Top 10 valores poco frecuentes: Muestra las 10 coincidencias de IOC que ocurren con menos frecuencia, junto con el recuento.

Panel de detecciones de reglas

El panel Detección de reglas proporciona estadísticas sobre las detecciones que muestran las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Cómo ejecutar una regla en datos en vivo.

Puedes ver las siguientes visualizaciones en el panel Detecciones de reglas:

Detección de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas durante un período.
Detección de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
Detección de reglas por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad a lo largo del tiempo.
Top 10 Rule Names by Detections: Muestra una lista de las 10 reglas principales que muestran la mayor cantidad de detecciones.
Detección de reglas por nombre a lo largo del tiempo: Muestra las reglas que generaron detecciones cada día y la cantidad de detecciones que se generaron.
10 usuarios principales por detecciones de reglas: Muestra una lista de los 10 identificadores de usuarios principales que aparecieron en los eventos que activaron las detecciones.
Top 10 Asset Names by Rule Detections: Muestra una lista de los 10 nombres de activos principales que aparecieron en los eventos que activaron detecciones, como el nombre de host.
Top 10 IPs por detecciones de reglas: Muestra las 10 direcciones IP principales que aparecieron en los eventos que activaron las detecciones.

El panel Resumen de accesos de los usuarios proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de personas malintencionadas por acceder a tu empresa.

Por ejemplo, es posible que descubras que un usuario en particular intentó acceder a tu empresa desde un país en el que no tienes una oficina o que un usuario específico parece acceder de forma reiterada a una aplicación de contabilidad.

Puedes ver las siguientes visualizaciones en el panel Descripción general de accesos de los usuarios:

Cantidad de accesos correctos: Es la cantidad total de accesos correctos.
Cantidad de accesos fallidos: Es la cantidad total de accesos fallidos.
Accesos por estado: Muestra la división de los accesos correctos y fallidos.
Accesos por estado a lo largo del tiempo: Muestra la división de accesos exitosos y fallidos durante el período.
Top 10 de aplicaciones por accesos: Muestra la división de las 10 aplicaciones frecuentes principales según la cantidad de accesos.
Accesos por aplicación: Muestra el recuento del estado de acceso de cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.
10 países principales por accesos: Muestra el recuento de los 10 países principales desde los que los usuarios accedieron.
Accesos por país: Muestra el recuento de todos los países desde los que los usuarios accedieron.
Top 10 accesos por IP: Muestra las 10 direcciones IP principales desde las que los usuarios accedieron.
Mapa de ubicación de acceso: Muestra las ubicaciones de las direcciones IP desde las que los usuarios accedieron.
10 usuarios principales por estado de acceso: Muestra el recuento del estado de acceso de cada usuario. El recuento de cada aplicación se propaga en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.

¿Qué sigue?

Obtén información para crear un panel personalizado.