Ringkasan dasbor
Dasbor Chronicle SIEM dapat digunakan untuk melihat dan menganalisis data di Chronicle SIEM, termasuk telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, dan IOC. Dasbor ini dibuat berdasarkan kemampuan Looker.
Chronicle SIEM menyediakan beberapa dasbor default, yang dijelaskan dalam dokumen ini. Anda juga dapat membuat dasbor kustom.
Dasbor default
Untuk membuka halaman Dashboards, klik Dashboard di navigasi sebelah kiri.
Dasbor default berisi visualisasi yang telah ditentukan dari data yang disimpan dalam instance Chronicle SIEM Anda. Dasbor ini didesain untuk kasus penggunaan tertentu, seperti memahami status sistem penyerapan data Chronicle SIEM atau memantau status ancaman di perusahaan Anda.
Setiap dasbor default menyertakan filter rentang waktu yang memungkinkan Anda melihat data selama jangka waktu tertentu. Ini dapat membantu saat memecahkan masalah atau mengidentifikasi tren. Misalnya, Anda dapat menggunakan filter untuk melihat data selama seminggu terakhir atau selama rentang waktu tertentu.
Dasbor default tidak dapat diubah. Anda dapat membuat salinan dasbor default, lalu mengubah dasbor baru untuk mendukung kasus penggunaan tertentu.
Chronicle SIEM menyediakan dasbor default berikut:
- Utama
- Deteksi dan Respons Cloud
- Deteksi Kontekstual - Risiko
- Penyerapan Data dan Kesehatan
- Kecocokan IOC
- Deteksi Aturan
- Ringkasan Login Pengguna
Dasbor utama
Dasbor Main menampilkan informasi tentang status sistem penyerapan data Chronicle SIEM. Laporan ini juga mencakup peta global yang menyoroti lokasi geografis IOC yang terdeteksi dalam perusahaan Anda.
Anda dapat melihat visualisasi berikut di dasbor Utama:
- Peristiwa yang Diserap: jumlah total peristiwa yang diserap.
- throughput: volume data yang diserap selama waktu tertentu.
- Notifikasi: jumlah total notifikasi yang terjadi.
- Events Over Time: diagram kolom yang menampilkan peristiwa yang terjadi selama jangka waktu tertentu.
- Peta Ancaman Global - Kecocokan IP IOC: lokasi tempat peristiwa pencocokan IOC terjadi.
Dasbor Ringkasan Respons dan Deteksi Cloud
Dasbor Cloud Detection and Response membantu Anda memantau status keamanan lingkungan cloud Anda dan menyelidiki potensi ancaman. Dasbor ini menampilkan visualisasi yang membantu Anda memahami volume sumber data, set aturan, pemberitahuan, dan informasi lainnya.
Filter Waktu memungkinkan Anda memfilter data menurut jangka waktu.
Filter GCP Log Type memungkinkan Anda memfilter data berdasarkan jenis log Google Cloud.
Anda dapat melihat visualisasi berikut di dasbor Cloud Detection and Response Overview:
CDIR Rulesets Enabled: menampilkan persentase kumpulan aturan Chronicle SIEM yang diaktifkan untuk lingkungan cloud Anda dari total kumpulan aturan yang disediakan oleh GCTI untuk pengguna Chronicle SIEM. GCTI menyediakan beberapa aturan pilihan yang telah dikemas sebelumnya. Anda dapat mengaktifkan atau menonaktifkan kumpulan aturan ini.
Sumber Data GCP yang Tercakup: menampilkan persentase sumber data yang tercakup, dari total sumber data Google Cloud yang tersedia. Misalnya, jika Anda dapat menyerap data menggunakan 40 jenis log, tetapi Anda hanya mengirim data untuk 20 jenis log, kartu akan menampilkan 50%.
Pemberitahuan CDIR: menampilkan jumlah pemberitahuan yang dimunculkan dari aturan dalam kumpulan aturan GCTI atau ancaman Cloud Anda. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini akan ditampilkan.
Recent Alerts: menampilkan pemberitahuan terbaru beserta tingkat keparahan dan skor risikonya. Anda dapat mengurutkan tabel menggunakan kolom Event Timestamp Time dan membuka setiap pemberitahuan untuk mengetahui informasi selengkapnya. Solusi ini menyediakan jumlah temuan keamanan gabungan yang ditingkatkan oleh Security Command Center. Temuan keamanan ini dihasilkan oleh set aturan deteksi yang diseleksi GCTI dan dikategorikan berdasarkan jenis temuan. Anda dapat menggunakan filter Waktu untuk menentukan jumlah hari data ini akan ditampilkan.
Pemberitahuan berdasarkan Tingkat Keparahan Seiring Waktu: menampilkan total pemberitahuan menurut tingkat keseriusan, yang mengalami tren dari waktu ke waktu. Anda dapat menggunakan filter Waktu untuk menentukan jumlah hari data ini akan ditampilkan.
Cakupan Deteksi: memberikan informasi tentang kumpulan aturan Chronicle SIEM dan statusnya, total deteksi, serta tanggal deteksi terbaru. Anda dapat menggunakan filter Waktu untuk menentukan jumlah hari data ini akan ditampilkan.
Cakupan Data Cloud: memberikan informasi tentang semua layanan Google Cloud yang tersedia, parser yang mencakup setiap layanan, peristiwa pertama kali dilihat, peristiwa terakhir dilihat, dan total throughput.
Untuk mengetahui informasi lebih lanjut tentang kumpulan aturan CDIR, lihat Ringkasan Kategori Ancaman Cloud.
Tabel ini diikuti dengan grafik semua layanan Google Cloud dengan data terkaitnya yang menunjukkan tren penyerapannya selama interval waktu berikut:
- 24 jam terakhir
- 30 hari terakhir
- Enam bulan terakhir
Deteksi Kontekstual - Dasbor risiko
Dasbor Deteksi Kontekstual - Risiko memberikan insight tentang status ancaman saat ini terhadap aset dan pengguna di perusahaan Anda. Class ini dibuat menggunakan kolom di antarmuka penjelajahan Deteksi Aturan.
Nilai tingkat keparahan dan skor risiko adalah variabel yang ditetapkan dalam setiap aturan. Sebagai contoh, lihat sintaksis bagian Hasil. Di setiap panel, data diurutkan berdasarkan tingkat keparahan, lalu skor risiko untuk mengidentifikasi pengguna dan aset yang paling berisiko.
Anda dapat melihat visualisasi berikut di dasbor Deteksi Kontekstual - Risiko:
- Aset dan Perangkat yang Berisiko: mencantumkan 10 aset teratas berdasarkan tingkat keseriusan yang Anda tetapkan aturannya di Meta > Tingkat Keparahan. Lihat Sintaksis bagian Meta. Tingkat keparahannya adalah Super Tinggi, Kritis, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama host tidak ada dalam data, alamat IP akan ditampilkan.
- Pengguna yang Berisiko: membuat daftar 10 pengguna teratas berdasarkan tingkat keparahan. Tingkat keparahannya adalah Super Tinggi, Kritis, Tinggi, Besar, Sedang, dan Rendah. Jika nilai nama pengguna tidak ada dalam data, ID email akan ditampilkan.
- Risiko Agregat: untuk setiap tanggal, menampilkan total skor risiko gabungan.
- Detection Results: menampilkan detail tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Tabel tersebut berisi nama aturan, ID deteksi, skor risiko, dan tingkat keparahan.
Penyerapan Data dan dasbor Kesehatan
Dasbor Penyerapan Data dan Kesehatan memberikan informasi tentang jenis, volume, dan kondisi data yang diserap ke tenant Chronicle SIEM. Anda dapat menggunakan dasbor ini untuk memantau anomali di lingkungan Anda. Gambar berikut
Dasbor ini menampilkan visualisasi yang membantu Anda memahami volume log yang diserap, error penyerapan, dan informasi lainnya.
Anda dapat melihat visualisasi berikut di dasbor Penyerapan Data dan Kesehatan:
- Jumlah Peristiwa yang Diserap: jumlah total peristiwa yang diserap.
- Jumlah Error Penyerapan: jumlah total error yang ditemukan selama penyerapan.
- Distribusi Jenis Log menurut Jumlah Peristiwa: menampilkan distribusi jenis log berdasarkan jumlah peristiwa untuk setiap jenis log.
- Distribusi Jenis Log berdasarkan Throughput: menampilkan distribusi jenis log berdasarkan throughput.
- Penyerapan - Acara berdasarkan Status: menampilkan jumlah acara berdasarkan statusnya.
- Penyerapan - Peristiwa menurut Jenis Log: menampilkan jumlah peristiwa berdasarkan status dan jenis log.
- Peristiwa Baru Diserap: menampilkan peristiwa yang baru-baru ini diserap untuk setiap jenis log.
- Daily Log Information: menampilkan jumlah log per hari untuk setiap jenis log.
- Jumlah peristiwa vs Ukuran: membandingkan jumlah dan ukuran peristiwa selama jangka waktu tertentu.
- Throughput Penyerapan: menampilkan throughput penyerapan selama jangka waktu tertentu.
Dasbor Kecocokan IOC
Dasbor Indicator of Compromise (IOC) Matches memberikan visibilitas tentang IOC yang ada di perusahaan Anda.
Anda dapat melihat visualisasi berikut di dasbor Kecocokan IOC:
- Kecocokan IOC Seiring Waktu menurut Kategori: menampilkan jumlah kecocokan IOC berdasarkan kategorinya.
- 10 indikator IOC Domain teratas: mencantumkan 10 indikator IOC domain teratas beserta jumlahnya.
- 10 Indikator IOC IP Teratas: mencantumkan 10 indikator IOC alamat IP teratas beserta jumlahnya.
- 10 Aset Teratas berdasarkan Kecocokan IOC: mencantumkan 10 aset teratas menurut kecocokan IOC beserta jumlahnya.
- 10 kecocokan IOC teratas menurut Kategori, Jenis, dan Jumlah: mencantumkan 10 kecocokan IOC teratas menurut kategori, jenis, dan beserta jumlahnya.
- 10 Nilai IOC Teratas: mencantumkan 10 nilai IOC teratas bersama dengan jumlahnya.
- 10 Nilai Teratas yang Jarang Dilihat: mencantumkan 10 kecocokan IOC teratas yang jarang terjadi beserta jumlahnya.
Dasbor Deteksi Aturan
Dasbor Deteksi Aturan memberikan insight tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Untuk menerima deteksi, Anda harus mengaktifkan aturan. Untuk informasi selengkapnya, lihat Menjalankan aturan terhadap data live.
Anda dapat melihat visualisasi berikut di dasbor Deteksi Aturan:
- Deteksi Aturan Over Time: menampilkan jumlah deteksi aturan selama jangka waktu tertentu.
- Deteksi Aturan berdasarkan Tingkat Keparahan: menampilkan tingkat keseriusan deteksi aturan.
- Deteksi Aturan berdasarkan Tingkat Keparahan Seiring Waktu: menampilkan jumlah deteksi harian berdasarkan tingkat keparahan dari waktu ke waktu.
- 10 Nama Aturan Teratas berdasarkan Deteksi: mencantumkan 10 aturan teratas yang menampilkan jumlah deteksi terbesar.
- Deteksi Aturan berdasarkan Nama Dari Waktu ke Waktu: menampilkan aturan yang menampilkan deteksi setiap hari dan jumlah deteksi yang ditampilkan.
- 10 Pengguna Teratas berdasarkan Deteksi Aturan: mencantumkan 10 ID pengguna teratas yang muncul dalam peristiwa yang memicu deteksi.
- 10 Nama Aset Teratas berdasarkan Deteksi Aturan: mencantumkan 10 nama aset teratas yang muncul dalam peristiwa yang memicu deteksi, seperti nama host.
- 10 IP teratas menurut Deteksi Aturan: mencantumkan 10 alamat IP teratas yang muncul dalam peristiwa yang memicu deteksi.
Dasbor Ringkasan Login Pengguna
Dasbor Ringkasan Login Pengguna memberikan data tentang pengguna yang login ke perusahaan Anda. Informasi ini dapat berguna untuk melacak upaya yang dilakukan pelaku kejahatan untuk mengakses perusahaan Anda.
Misalnya, Anda mungkin menemukan bahwa pengguna tertentu telah mencoba mengakses perusahaan Anda dari negara tempat Anda tidak memiliki kantor atau pengguna tertentu tampaknya berulang kali mengakses aplikasi akuntansi.
Anda dapat melihat visualisasi berikut di dasbor Ringkasan Login Pengguna:
- Jumlah Login yang Berhasil: jumlah total login yang berhasil.
- Jumlah Login yang Gagal: jumlah total login yang gagal.
- Sign Ins By Status: menampilkan pemisahan login yang berhasil dan gagal.
- Sign Ins by Status Over Time: menampilkan pembagian login yang berhasil dan gagal selama rentang waktu tertentu.
- 10 Aplikasi Teratas Berdasarkan Login: menampilkan pembagian 10 aplikasi teratas yang sering digunakan berdasarkan jumlah login.
- Sign Ins By Application: mencantumkan jumlah status login
untuk setiap aplikasi. Jumlah setiap aplikasi diisi berdasarkan
data log yang Anda tentukan di kolom
security_result.action
. Lihat Jenis yang dienumerasi peristiwa. - 10 Negara Teratas berdasarkan Login: menampilkan jumlah 10 negara teratas tempat pengguna login.
- Login berdasarkan Negara: menampilkan jumlah semua negara tempat pengguna login.
- Top 10 Sign Ins By IP: menampilkan 10 alamat IP teratas tempat pengguna login.
- Peta Lokasi Login: menampilkan lokasi alamat IP tempat pengguna login.
- 10 Pengguna Teratas berdasarkan Status Login: menampilkan jumlah status login untuk setiap pengguna. Jumlah setiap aplikasi diisi berdasarkan
data log yang Anda tentukan di kolom
security_result.action
. Lihat Jenis yang dienumerasi peristiwa.