Questa pagina è stata tradotta dall'API Cloud Translation.

Panoramica delle dashboard

Supportato in:

Google SecOps SIEM

Le dashboard di Google Security Operations SIEM possono essere utilizzate per visualizzare e analizzare i dati in Google Security Operations SIEM, tra cui telemetria sulla sicurezza, metriche di importazione, rilevamenti, avvisi e indicatori di compromissione. Queste dashboard si basano sulle funzionalità di Looker.

Il SIEM di Google Security Operations fornisce più dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nel riquadro di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati all'interno della tua istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dati SIEM di Google Security Operations o per monitorare lo stato delle minacce nella tua azienda.

Ogni dashboard predefinita include un filtro per intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Ciò può essere utile per la risoluzione dei problemi o per identificare le tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati della settimana precedente o di un intervallo di tempo specifico.

Le dashboard predefinite non possono essere modificate. Puoi creare una copia di una dashboard predefinita e poi modificarla per supportare un caso d'uso specifico.

Google Security Operations SIEM fornisce le seguenti dashboard predefinite:

Principale
Dashboard di anteprima
Rilevamento e risposta cloud
Rilevamento sensibile al contesto - Rischio
Importazione e integrità dei dati
Corrispondenze IOC
Rilevamento delle regole
Panoramica degli accessi utente

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dati SIEM di Google Security Operations. Include anche una mappa mondiale che evidenzia la posizione geografica degli indicatori di compromissione rilevati all'interno della tua azienda.

Nella dashboard Principale puoi visualizzare le seguenti visualizzazioni:

Eventi importati: il numero totale di eventi importati.
Throughput: il volume di dati importati per un periodo di tempo specifico.
Avvisi: il numero totale di avvisi che si sono verificati.
Eventi nel tempo: un grafico a colonne che mostra gli eventi occorsi in un determinato periodo di tempo.
Global Threat Map - IOC IP Matches (Mappa delle minacce globali - Corrispondenze IP IOC): la posizione da cui si sono verificati gli eventi corrispondenti agli indicatori di compromissione.

Anteprima dashboard

Puoi utilizzare la funzionalità di anteprima delle dashboard di Google Security Operations per creare visualizzazioni su diverse origini dati. Una dashboard di Google Security Operations è composta da diversi grafici, che vengono compilati utilizzando YARA-L 2.0.

Origini dati per le dashboard di anteprima di Google Security Operations

Le seguenti origini dati sono disponibili nelle dashboard di anteprima con il seguente prefisso YARA-L.

Sintassi YARA-L 2.0 per le dashboard di anteprima di Google Security Operations

YARA-L 2.0 presenta le seguenti proprietà uniche quando viene utilizzato nelle dashboard di anteprima:

Nelle dashboard sono disponibili altre origini dati, come il grafo delle entità, le metriche di importazione, i set di regole e i rilevamenti. Queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca UDM.
Le dashboard di anteprima di Google Security Operations utilizzano la sintassi YARA-L. Per ulteriori informazioni, consulta le funzioni YARA-L 2.0 per le dashboard di anteprima di Google Security Operations e le funzioni aggregate che includono misure statistiche. La ricerca UDM (ad esempio principal.hostname = "john") non funziona con le dashboard di anteprima di Google Security Operations.
La sezione events di una regola YARA-L è implicita e non deve essere dichiarata nelle query.
La sezione della condizione di una regola YARA-L non viene utilizzata per le dashboard.

Iniziare a utilizzare le dashboard di anteprima di Google Security Operations

Creare una nuova dashboard

Per creare una nuova dashboard:

Nella pagina Anteprima dashboard, fai clic su Crea dashboard. Viene visualizzata la finestra Crea dashboard.
Inserisci un nome e una descrizione per la dashboard.
Nell'elenco Inizia con la dashboard esistente, seleziona Dashboard vuota. Puoi anche iniziare copiando una dashboard esistente.
Imposta l'accesso alla dashboard come privato o condiviso. Le dashboard private sono visibili solo a te, mentre quelle condivise sono visibili a tutti gli utenti della tua organizzazione.
Fai clic su Crea per creare una nuova dashboard.

Aggiungi un grafico

Una dashboard è composta da grafici che vengono compilati con i dati utilizzando YARA-L. Per aggiungere un grafico alla dashboard:

Nella pagina Modifica dashboard, fai clic su Aggiungi grafico.
Nella sezione Cerca, inserisci una query YARA-L per esplorare e trasformare i dati. La seguente query YARA-L recupera le date e i livelli di gravità dei rilevamenti, escludendo quelli con gravità sconosciuta e conteggia i rilevamenti distinti per ogni data. I rilevamenti sono ordinati per data in ordine crescente.
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
Per l'intervallo di tempo specificato, seleziona assoluto o relativo.
Dopo aver inserito la query, fai clic su Esegui ricerca. I risultati vengono visualizzati in un formato tabulare, che è il tipo di grafico predefinito.
In Dettagli grafico, inserisci un nome per il grafico.
Per trasformare i dati dei risultati di ricerca tabellari in un grafico a barre, seleziona Tipo di grafico > Grafico a barre.
In Impostazioni dati, inserisci un tipo di dati e un valore di campo per l'asse x e l'asse y. Per creare la regola YARA-L di esempio, puoi inserire i seguenti valori:
- Campo dell'asse X: date
- Campo dell'asse Y: detection_count
In Etichetta asse, inserisci un'etichetta per l'asse X e l'asse Y.
In Raggruppamento, seleziona Raggruppati.
In Serie, imposta il campo per il raggruppamento in base alla gravità. In questo modo, il grafico viene raggruppato per gravità.
Esamina i risultati e fai clic su Aggiungi alla dashboard.

Aggiungere un filtro

Puoi utilizzare i filtri per modificare i dati disponibili in base a un campo specifico, interessando solo i grafici che utilizzano quel campo nella query.

Per aggiungere un filtro:

Nella pagina della dashboard principale, fai clic sull'icona a forma di matita per modificare la dashboard.
Nella pagina Dashboard di modifica, fai clic sull'icona del filtro per aggiungere un filtro.
Nella finestra Gestisci filtri, fai clic sull'icona del segno Più per configurare un nuovo filtro.
Nel campo Campo da filtrare, inserisci un campo in base al quale vuoi filtrare i dati. Ad esempio, detection.collection_elements.references.event.principal.hostname
Nel campo Nome filtro, inserisci un nome per il filtro.
In Applica al campo, seleziona un grafico a cui applicare il filtro.
(Facoltativo) Imposta un valore predefinito per il filtro.
Fai clic su Fine per aggiungere il filtro e chiudere la finestra Gestisci filtri.

Applicare il filtro

Per applicare un filtro al grafico:

Nella visualizzazione della dashboard, fai clic sull'icona del filtro per visualizzare i filtri della dashboard.
Nella finestra Filtri dashboard, seleziona il filtro che hai creato.
Inserisci un valore per il campo in base al quale vuoi filtrare.
Fai clic su Applica. Il grafico a cui viene applicato il filtro viene aggiornato in base ai risultati filtrati.

Aggiungere un filtro di tempo globale

Puoi applicare un filtro di tempo globale per selezionare un intervallo di tempo in cui i dati possono essere visualizzati in tutti i grafici. Il filtro dell'ora globale è disponibile per impostazione predefinita per tutti i grafici ed è in grado di gestire l'ora in tutte le origini dati. A differenza di altri filtri temporali (ad esempio la creazione di un filtro sul campo metadata.event_timestmap) che filtrano solo nell'intervallo di tempo specificato nel singolo grafico, un filtro temporale globale, se applicato, ha la precedenza sul periodo di tempo selezionato nel singolo grafico.

Per aggiungere un filtro ora globale:

Nella pagina della dashboard principale, fai clic sull'icona a forma di matita per modificare la dashboard.
Nella pagina della dashboard di modifica, fai clic sull'icona del filtro per aggiungere un filtro.
Nella finestra Gestisci filtri, seleziona Filtro ora globale dall'elenco dei filtri.
Fai clic sul pulsante di attivazione/disattivazione per assicurarti che il filtro dell'ora globale sia attivo.
Nel campo Applica a, seleziona i grafici a cui deve essere applicato il filtro temporale globale.
Nel campo Imposta valori predefiniti, imposta un intervallo di tempo in cui i dati vengono visualizzati in termini assoluti o relativi.
Fai clic su Fine per aggiungere il filtro e chiudere la finestra Gestisci filtri.

Dashboard Panoramica di rilevamento e risposta cloud

La dashboard Cloud Detection and Response ti aiuta a monitorare lo stato di sicurezza del tuo ambiente cloud e a indagare sulle potenziali minacce. La dashboard mostra visualizzazioni che ti aiutano a comprendere il volume delle origini di dati, dei set di regole, degli avvisi e di altre informazioni.

Il filtro Ora consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log Google Cloud consente di filtrare i dati in base al tipo di log Google Cloud.

Nella dashboard Panoramica del rilevamento e della risposta cloud puoi visualizzare le seguenti visualizzazioni:

Regole CDIR attivate: mostra la percentuale di insiemi di regole di SIEM di Google Security Operations attivati per il tuo ambiente cloud rispetto al totale degli insiemi di regole forniti da GCTI per gli utenti di SIEM di Google Security Operations. GCTI fornisce più regole selezionate e preconfezionate. Puoi attivare o disattivare questi set di regole.
Origini dati Google Cloud coperte: mostra la percentuale di origini dati coperte rispetto al totale delle origini dati Google Cloud disponibili. Ad esempio, se puoi importare i dati utilizzando 40 tipi di log, ma ne invii solo 20, il riquadro mostra il 50%.
Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei set di regole GCTI o dalle minacce Cloud. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi recenti: mostra gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Ora timestamp evento e accedere a ogni avviso per ulteriori informazioni. Fornisce il numero di risultati di sicurezza aggregati migliorati da Security Command Center. Questi risultati di sicurezza vengono generati da gruppi di regole di rilevamento selezionati dal GCTI e classificati in base al tipo di risultato. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Avvisi per gravità nel tempo: mostra gli avvisi totali per gravità e la relativa tendenza nel tempo. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Copertura dei rilevamenti: fornisce informazioni sugli insiemi di regole SIEM di Google Security Operations e sul relativo stato, sui rilevamenti totali e sulla data del rilevamento più recente. Puoi utilizzare il filtro Ora per impostare il numero di giorni per i quali vengono visualizzati questi dati.
Copertura dei dati cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sui parser che coprono ciascun servizio, sull'evento di primo rilevamento, sull'evento di ultimo rilevamento e sul throughput totale.

Per ulteriori informazioni sugli insiemi di regole CDIR, consulta la Panoramica della categoria Cloud Threats.

La tabella è seguita da grafici di tutti i servizi Google Cloud con i relativi dati associati che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

Ultime 24 ore
Ultimi 30 giorni
Ultimi sei mesi

Rilevamento sensibile al contesto - Dashboard dei rischi

La dashboard Rilevamento contestuale delle minacce - Rischio fornisce informazioni sullo stato attuale delle minacce per gli asset e gli utenti della tua azienda. Viene creato utilizzando i campi nell'interfaccia dell'esplorazione Rilevamento regole.

I valori di gravità e punteggio di rischio sono variabili definite in ogni regola. Per un esempio, consulta la Sintassi della sezione relativa al risultato. In ogni riquadro, i dati vengono ordinati in base alla gravità e al punteggio di rischio per identificare gli utenti e le risorse più a rischio.

Nella dashboard Rilevamento contestuale - Rischio puoi visualizzare le seguenti visualizzazioni:

Asset e dispositivi a rischio: elenca i 10 asset principali in base alla gravità impostata per la regola in Meta > Gravità. Consulta la sintassi della sezione Meta. I livelli di gravità sono Molto alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.
Utenti a rischio: vengono elencati i 10 utenti principali in base alla gravità. I livelli di gravità sono Molto alto, Critico, Alto, Grande, Medio e Basso. Se il valore del nome utente non è presente nel record, viene visualizzato l'ID indirizzo email.
Rischio aggregato: per ogni data, viene visualizzato il punteggio di rischio aggregato totale.
Risultati del rilevamento: mostra i dettagli sui rilevamenti restituiti dalle regole del motore di rilevamento. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Dashboard Importazione dati e stato

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, sul volume e sull'integrità dei dati importati nel tenant SIEM di Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che ti aiutano a comprendere il volume dei log importati, gli errori di importazione e altre informazioni pertinenti. I dati della dashboard vengono aggiornati ogni 15 minuti, pertanto potrebbe essere necessario attendere fino a 15 minuti per visualizzare le informazioni più recenti.

Nella dashboard Importazione e integrità dei dati puoi visualizzare le seguenti visualizzazioni:

Conteggio eventi importati: il numero totale di eventi importati.
Numero di errori di importazione: il numero totale di errori riscontrati durante l'importazione.
Numero di errori di analisi: il numero totale di errori riscontrati durante l'analisi.
Numero errori di convalida: il numero totale di errori rilevati durante la convalida.
Numero di errori totali: il numero totale di errori riscontrati.
Distribuzione dei tipi di log in base al conteggio eventi: mostra la distribuzione dei tipi di log in base al numero di eventi per ciascun tipo di log.
Distribuzione dei tipi di log in base al throughput: mostra la distribuzione dei tipi di log in base al throughput.
Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
Importazione - Eventi per tipo di log: mostra il numero di eventi in base al loro stato e al tipo di log.
Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
Informazioni sui log giornalieri: mostra il numero di log per un giorno per ciascun tipo di log.
Conteggio eventi e dimensioni: confronta il conteggio e le dimensioni degli eventi in un determinato periodo di tempo.
Throughput di importazione: mostra il throughput di importazione in un determinato periodo di tempo.

Dashboard Corrispondenze IOC

La dashboard Corrispondenze degli indicatori di compromissione (IOC) fornisce visibilità sui IOC presenti nella tua azienda.

Nella dashboard Partite IOC puoi visualizzare le seguenti visualizzazioni:

Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze IOC in base alla categoria.
Indicatori IOC dei 10 principali domini: elenca i 10 indicatori IOC dei principali domini insieme al conteggio.
Primi 10 indicatori IOC relativi all'indirizzo IP: elenca i primi 10 indicatori IOC relativi all'indirizzo IP insieme al conteggio.
Primi 10 asset per corrispondenze con IOC: elenca i 10 asset più importanti per corrispondenze con IOC, insieme al conteggio.
Le 10 corrispondenze IOC principali per categoria, tipo e conteggio: elenca le 10 corrispondenze IOC principali per categoria, tipo e conteggio.
Primi 10 valori IOC: elenca i primi 10 valori IOC insieme al conteggio.
Primi 10 valori raramente visualizzati: elenca i primi 10 valori IOC che si verificano raramente, insieme al conteggio.

Dashboard Rilevamento regole

La dashboard Rilevamento regole fornisce informazioni sui rilevamenti restituiti dalle regole del motore di rilevamento. Per ricevere i rilevamenti, devi attivare le regole. Per ulteriori informazioni, vedi Eseguire una regola sui dati in tempo reale.

Nella dashboard Rilevamento regole puoi visualizzare le seguenti visualizzazioni:

Rilevamento delle regole nel tempo: mostra il numero di rilevamenti delle regole in un determinato periodo di tempo.
Rilevamento delle regole per gravità: mostra la gravità del rilevamento delle regole.
Rilevamento delle regole per gravità nel tempo: mostra il conto giornaliero dei rilevamenti per gravità nel tempo.
Primi 10 nomi di regole per rilevamenti: elenca le prime 10 regole che restituiscono il maggior numero di rilevamenti.
Rilevamento delle regole per nome nel tempo: vengono visualizzate le regole che hanno restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
Primi 10 utenti per rilevamenti delle regole: elenca i 10 identificatori utente principali che sono comparsi negli eventi che hanno attivato i rilevamenti.
Primi 10 nomi asset per rilevamenti regola: elenca i 10 nomi asset principali visualizzati negli eventi che hanno attivato i rilevamenti, ad esempio l'hostname.
Primi 10 IP per rilevamenti delle regole: elenca i 10 indirizzi IP principali che sono comparsi negli eventi che hanno attivato i rilevamenti.

La dashboard Panoramica degli accessi utente fornisce informazioni sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per monitorare i tentativi di attori malintenzionati di accedere alla tua azienda.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o che un utente specifico sembra accedere ripetutamente a un'applicazione di contabilità.

Nella dashboard Panoramica degli accessi utente puoi visualizzare le seguenti visualizzazioni:

Numero di accessi riusciti: il numero totale di accessi riusciti.
Numero di accessi non riusciti: il numero totale di accessi non riusciti.
Accessi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
Accessi per stato nel tempo: mostra la suddivisione degli accessi riusciti e non riusciti nell'intervallo di tempo.
Le 10 app più utilizzate in base agli accessi: mostra la suddivisione delle 10 app più utilizzate in base al numero di accessi.
Accessi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Vedi Tipi enumerati di eventi.
Primi 10 paesi per accessi: mostra il conteggio dei primi 10 paesi da cui gli utenti hanno eseguito l'accesso.
Accessi per paese: mostra il conteggio di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
Accessi principali per indirizzo IP (top 10): mostra i 10 indirizzi IP principali da cui gli utenti hanno eseguito l'accesso.
Mappa delle località di accesso: mostra le località degli indirizzi IP da cui gli utenti hanno eseguito l'accesso.
Primi 10 utenti per stato di accesso: mostra il conteggio dello stato di accesso per ciascun utente. Il conteggio di ogni applicazione viene compilato in base ai dati dei log che definisci nel campo security_result.action. Vedi Tipi enumerati di eventi.

Passaggi successivi

Scopri come creare una dashboard personalizzata