Descripción general de los paneles

Los paneles de SIEM de Google Security Operations se pueden usar para ver y analizar los datos en la SIEM de Google Security Operations, incluida la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IOC. Estos paneles se basan en las capacidades de Looker.

La SIEM de Google Security Operations te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en el panel de navegación izquierdo.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos SIEM de Google Security Operations o supervisar el estado de amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de intervalo de tiempo que te permite ver los datos de un período específico. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la última semana o durante un período específico.

No se pueden modificar los paneles predeterminados. Puedes crear una copia de un panel predeterminado y, luego, modificar el nuevo panel para que admita un caso de uso específico.

La SIEM de Google Security Operations proporciona los siguientes paneles predeterminados:

• Principal
• Detección y respuesta en la nube
• Detecciones adaptadas al contexto: Riesgo
• Transferencia de Datos y Salud
• Coincidencias de IOC
• Detecciones de reglas
• Descripción general del acceso de los usuarios

Panel principal

El panel principal muestra información sobre el estado del sistema de transferencia de datos SIEM de Google Security Operations. También incluye un mapa global que destaca la ubicación geográfica de los IOC detectados en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Main:

• Eventos transferidos: La cantidad total de eventos transferidos.
• Capacidad de procesamiento: Es el volumen de datos que se transfieren durante un tiempo específico.
• Alertas: la cantidad total de alertas que ocurrieron.
• Eventos a lo largo del tiempo: Un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
• Mapa de amenazas globales - Coincidencias de IP de IOC: La ubicación desde la que se produjeron los eventos de coincidencia de IOC.

Panel de descripción general de Cloud Detection and Response

El panel Detección y respuesta en la nube te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por tipo de registro de Google Cloud.

Puedes ver las siguientes visualizaciones en el panel Cloud Detection and Response Overview:

• Conjuntos de reglas de CIR habilitados: Muestra el porcentaje de conjuntos de reglas de SIEM de Google Security Operations habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para los usuarios de SIEM de Google Security Operations. GCTI proporciona múltiples reglas seleccionadas previamente empaquetadas. Puedes habilitar o inhabilitar estos conjuntos de reglas.

• Fuentes de datos de GCP cubiertas: muestra el porcentaje de fuentes de datos cubiertas, del total de fuentes de datos de Google Cloud disponibles. Por ejemplo, si puedes transferir datos mediante 40 tipos de registro, pero solo envías datos de 20, la tarjeta muestra un 50%.

• Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas dentro de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla con la columna Event Timestamp Time y navegar a cada alerta para obtener más información. Proporciona la cantidad de hallazgos de seguridad agregados mejorados por Security Command Center. Estos hallazgos de seguridad se generan con conjuntos de reglas de detección seleccionadas de GCTI y se clasifican por tipo de hallazgo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Alertas por gravedad a lo largo del tiempo: Muestra las alertas totales por gravedad, que son tendencia en el tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Cobertura de detección: Proporciona información sobre los conjuntos de reglas de SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes utilizar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

• Cobertura de datos de Cloud: Proporciona información sobre todos los servicios de Google Cloud disponibles, los analizadores que abarcan cada servicio, el evento de primer acceso, el último evento visto y la capacidad de procesamiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría de amenazas a la nube.

La tabla está seguida de gráficos de todos los servicios de Google Cloud con sus datos asociados que muestran su tendencia de transferencia en los siguientes intervalos de tiempo:

• Últimas 24 horas
• Últimos 30 días
• Últimos seis meses

Detecciones adaptadas al contexto: Panel de riesgos

El panel Detecciones adaptadas al contexto: Riesgo proporciona estadísticas sobre el estado actual de las amenazas de los recursos y usuarios de tu empresa. Se compila mediante campos de la interfaz de exploración Detecciones de reglas.

Los valores de gravedad y puntuación de riesgo son variables que se definen en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultado. En cada panel, los datos se ordenan según la gravedad y, luego, la puntuación de riesgo para identificar a los usuarios y los recursos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Detecciones adaptadas al contexto: Riesgo:

• Elementos y dispositivos en riesgo: Enumera los 10 elementos principales en función de la gravedad para la que estableciste la regla en Meta > Gravedad. Consulta la sintaxis de la sección de Meta. Los niveles de gravedad son súper alta, crítica, alta, grande, media y baja. Si el valor del nombre de host no está presente en el registro, muestra la dirección IP.
• Usuarios en riesgo: Muestra los 10 usuarios principales según la gravedad. Los niveles de gravedad son Super alta, Fundamental, Alta, Grande, Media y Baja. Si el valor del nombre de usuario no está presente en el registro, muestra el ID del correo electrónico.
• Riesgo agregado: Para cada fecha, muestra la puntuación de riesgo agregada total.
• Resultados de la detección: muestra detalles sobre las detecciones que muestran las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Panel de estado y transferencia de datos

El panel Transferencia de datos y estado proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu usuario de SIEM de Google Security Operations. Puedes usar este panel para supervisar las anomalías en tu entorno.

En este panel, se proporcionan visualizaciones que te ayudan a comprender el volumen de registros transferidos, los errores de transferencia y otra información relevante. Los datos del panel se actualizan cada 15 minutos, por lo que es posible que debas esperar hasta 15 minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Data Ingestion and Health:

• Recuento de eventos transferidos: La cantidad total de eventos transferidos.
• Recuento de errores de transferencia: La cantidad total de errores que se encontraron durante la transferencia.
• Distribución de tipos de registros por recuento de eventos: Muestra la distribución de los tipos de registros según la cantidad de eventos para cada tipo de registro.
• Distribución de tipos de registros por capacidad de procesamiento: Muestra la distribución de los tipos de registros según la capacidad de procesamiento.
• Transferencia: eventos por estado: Muestra la cantidad de eventos según su estado.
• Transferencia: Eventos por tipo de registro: Muestra la cantidad de eventos en función de su estado y tipo de registro.
• Recently Transfered Events (Eventos transferidos recientemente): muestra los eventos transferidos recientemente para cada tipo de registro.
• Información de registro diario: Muestra el número de registros durante un día para cada tipo de registro.
• Cantidad de eventos en comparación con el tamaño: Compara la cantidad y el tamaño de los eventos durante un período.
• Capacidad de procesamiento de transferencia: Muestra la capacidad de procesamiento de transferencia durante un período.

Panel de coincidencias de IOC

El panel del indicador de coincidencias de indicadores de compromiso (IOC) proporciona visibilidad de los IOC presentes en tu empresa.

Puedes ver las siguientes visualizaciones en el panel Coincidencias de IOC:

• Coincidencias de IOC a lo largo del tiempo por categoría: muestra la cantidad de coincidencias de IOC según su categoría.
• Los 10 indicadores de IOC principales de los dominios: Muestra una lista de los 10 indicadores de IOC de dominio principales junto con el recuento.
• Los 10 indicadores principales de IOC de IP: Enumera los 10 indicadores principales de IOC de direcciones IP junto con el recuento.
• Top 10 Assets by IOC Matches: Enumera los 10 activos principales por coincidencias de IOC junto con el recuento.
• 10 coincidencias principales de IOC por categoría, tipo y recuento: Muestra las 10 coincidencias principales de IOC por categoría, tipo y junto con el recuento.
• Los 10 valores principales de IOC: Muestra los 10 valores principales de IOC junto con el recuento.
• Los 10 valores principales que rara vez se ven: Enumera las 10 coincidencias de IOC principales que ocurren con poca frecuencia junto con el recuento.

Panel de detección de reglas

El panel Detecciones de reglas proporciona estadísticas sobre las detecciones que muestran las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Ejecuta una regla a partir de datos activos.

Puedes ver las siguientes visualizaciones en el panel Detecciones de reglas:

• Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas en un período.
• Detecciones de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
• Detecciones de reglas por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad en el tiempo.
• 10 reglas principales por detecciones: Muestra una lista de las 10 reglas principales que muestran la mayor cantidad de detecciones.
• Detecciones de reglas por nombre en el tiempo: Muestra las reglas que mostraron detecciones cada día y la cantidad de detecciones que se mostraron.
• Top 10 Users by Rule Detections (10 usuarios principales por detecciones de reglas): enumera los 10 identificadores de usuario principales que aparecieron en eventos que activaron detecciones.
• Los 10 nombres de elementos principales según las detecciones de reglas: Enumera los 10 nombres de elementos principales que aparecieron en eventos que activaron detecciones, como el nombre de host.
• 10 IP principales por detecciones de reglas: Enumera las 10 direcciones IP principales que aparecieron en eventos que activaron detecciones.

Panel de descripción general de acceso de usuarios

El panel Descripción general del acceso de usuarios proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para rastrear los intentos de acceder a tu empresa por parte de

Por ejemplo, podrías detectar que un usuario en particular intentó acceder a tu empresa desde un país en el que no tienes oficina o que parece que un usuario específico accede reiteradamente a una aplicación de contabilidad.

Puedes ver las siguientes visualizaciones en el panel Descripción general de acceso de usuarios:

• Cantidad de accesos exitosos: la cantidad total de accesos correctos.
• Cantidad de accesos fallidos: la cantidad total de accesos fallidos.
• Sign Ins By Status: Muestra la división de los accesos exitosos y fallidos.
• Accesos por estado a lo largo del tiempo: Muestra la división de los accesos exitosos y fallidos durante el intervalo de tiempo.
• Top 10 Applications by Sign Ins (10 aplicaciones principales por acceso): muestra la división de las 10 aplicaciones frecuentes principales según la cantidad de accesos.
• Sign Ins By Application: Muestra la cantidad de estados de acceso de cada aplicación. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta los tipos enumerados de eventos.
• 10 países principales por acceso: Muestra el recuento de los 10 países principales desde los que los usuarios accedieron.
• Accesos por país: Muestra el recuento de todos los países desde los que los usuarios accedieron.
• 10 accesos principales por IP: Muestra las 10 direcciones IP principales desde las que accedieron los usuarios.
• Mapa de ubicación de acceso: muestra las ubicaciones de las direcciones IP desde las que los usuarios accedieron.
• 10 usuarios principales por estado de acceso: Muestra el recuento de estados de acceso de cada usuario. El recuento de cada aplicación se propaga en función de los datos de registro que defines en el campo security_result.action. Consulta los tipos enumerados de eventos.

¿Qué sigue?

• Más información para crear un panel personalizado