Panoramica delle dashboard

Le dashboard SIEM di Google Security Operations possono essere utilizzate per visualizzare e analizzare dati nel SIEM di Google Security Operations, tra cui telemetria di sicurezza, metriche di importazione rilevamenti, avvisi e IOC. Queste dashboard si basano funzionalità di Looker.

Google Security Operations SIEM offre diverse dashboard predefinite, descritti in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per accedere alla pagina Dashboard, fai clic su Dashboard nella barra di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati dell'istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dati SIEM di Google Security Operations o monitorare lo stato di minaccia nella tua azienda.

Ogni dashboard predefinita include un filtro per l'intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Può essere utile per la risoluzione di problemi identificare le tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati per la settimana precedente o per un intervallo di tempo specifico.

Impossibile modificare le dashboard predefinite. Puoi creare una copia di una dashboard predefinita e quindi modificare la nuova dashboard per supportare un caso d'uso specifico.

Google Security Operations SIEM fornisce le seguenti dashboard predefinite:

• Principale
• Rilevamento e risposta cloud
• Rilevamenti sensibili al contesto - Rischio
• Importazione dei dati e integrità
• Corrispondenze IOC
• Rilevamenti delle regole
• Panoramica dell'accesso utente

Dashboard principale

La dashboard Principale mostra le informazioni sullo stato del Sistema di importazione dati SIEM di Google Security Operations. Include anche una mappa globale mettendo in evidenza la posizione geografica degli IOC rilevati all'interno dell'azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Principale:

• Eventi importati: il numero totale di eventi importati.
• Velocità effettiva: il volume di dati importati per un periodo di tempo specifico.
• Avvisi: il numero totale di avvisi che si sono verificati.
• Eventi nel tempo: un grafico a colonne che mostra gli eventi che che si sono verificati in un determinato periodo di tempo.
• Mappa globale delle minacce - Corrispondenze IP IOC: la località da cui l'IOC si sono verificati eventi corrispondenti.

Dashboard di panoramica su Cloud Detection and Response

La dashboard Rilevamento e risposta Cloud ti aiuta a monitorare lo stato di sicurezza del tuo ambiente cloud ed esamina le potenziali minacce. La dashboard mostra visualizzazioni che ti aiutano a comprendere il volume dei dati set di regole, avvisi e altre informazioni.

Il filtro Tempo ti consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log Google Cloud consente di filtrare i dati in base al tipo di log Google Cloud.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamento cloud e panoramica della risposta:

• Set di regole CDIR abilitati: visualizza la percentuale di set di regole SIEM di Google Security Operations abilitati per l'ambiente cloud dal totale delle serie di regole fornite da GCTI per Google Security Operations SIEM utenti. GCTI fornisce varie regole preconfigurate. Puoi attivare o disattivare di queste serie di regole.

• Origini dati Google Cloud coperte: mostra la percentuale di origini dati coperte, rispetto al totale di Google Cloud. le origini dati disponibili. Ad esempio, se puoi importare i dati utilizzando 40 tipi di log ma invii i dati solo per 20, il riquadro mostrerà il 50%.

• Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei tuoi set di regole GCTI o minacce Cloud. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Avvisi recenti: visualizza gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Timestamp evento e vai a ciascun avviso per saperne di più. Fornisce il numero di dati aggregati risultati sulla sicurezza migliorati da Security Command Center. Vengono generati questi risultati sulla sicurezza in base alle serie di regole di rilevamento selezionate da GCTI e classificate per tipo di risultato. Puoi utilizzare il filtro Tempo per impostare il numero di giorni a cui si riferiscono i dati visualizzati.

• Avvisi per gravità nel tempo: mostra gli avvisi totali in base alla gravità. di tendenza nel tempo. Puoi utilizzare il filtro Durata per impostare il numero di giorni. per cui vengono visualizzati questi dati.

• Copertura del rilevamento: fornisce informazioni sulla SIEM per Google Security Operations serie di regole e relativo stato, rilevamenti totali e la data del rilevamento più recente. Puoi utilizzare il filtro Durata per impostare il numero di giorni in cui vengono visualizzati questi dati.

• Copertura dei dati cloud: fornisce informazioni su tutte le funzionalità di Google Cloud. servizi, parser che riguarda ogni servizio, evento della prima visualizzazione, evento dell'ultimo accesso, e la velocità effettiva totale.

Per ulteriori informazioni sulle serie di regole CDIR, consulta Panoramica della categoria Cloud Threats.

La tabella è seguita dai grafici di tutti i servizi Google Cloud con i relativi che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

• Ultime 24 ore
• Ultimi 30 giorni
• Ultimi sei mesi

Rilevamenti sensibili al contesto - Dashboard dei rischi

La dashboard Rilevamenti sensibili al contesto - Rischi fornisce informazioni dettagliate su: lo stato di minaccia attuale delle risorse e degli utenti dell'azienda. È realizzato utilizzando i campi nell'interfaccia di esplorazione Rilevamenti regole.

I valori di gravità e punteggio di rischio sono variabili definite in ciascuna regola. Per un Ad esempio, consulta la sintassi della sezione Risultati. In ogni riquadro, i dati vengono ordinati in base alla gravità e quindi al punteggio di rischio per identificare le risorse più a rischio.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamenti sensibili al contesto - Rischio:

• Asset e dispositivi a rischio: elenca le prime 10 risorse in base alla gravità di impostare la regola in Meta > Gravità. Consulta Sintassi della sezione Meta. I livelli di gravità sono Molto alta, Critica, Alta. Large, Medium e Bassa. Se il valore del nome host non è presente in il record, quindi visualizza l'indirizzo IP.
• Utenti a rischio: elenca i primi 10 utenti in base alla gravità. La i livelli di gravità sono Molto alta, Critica, Alta, Grande, Media. e Bassa. Se il valore del nome utente non è presente nel record, allora mostra l'ID email.
• Rischio aggregato: per ogni data, mostra il punteggio di rischio aggregato totale.
• Risultati del rilevamento: mostra i dettagli dei rilevamenti restituiti dal rilevamento. e regole del motore di ricerca. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Importazione dati e dashboard integrità

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, volume e integrità dei dati importati nel tenant SIEM di Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che ti aiutano a comprendere il volume delle i log importati, gli errori di importazione e altre informazioni pertinenti. I dati su la dashboard viene aggiornata ogni 15 minuti, quindi potrebbe essere necessario attendere fino minuti per vedere le ultime informazioni.

Puoi vedere le seguenti visualizzazioni nella dashboard Importazione dei dati e integrità:

• Conteggio eventi importati: il numero totale di eventi importati.
• Conteggio errori di importazione: il numero totale di errori riscontrati durante l'importazione.
• Distribuzione dei tipi di log per conteggio eventi: visualizza il log. dei tipi di log in base al numero di eventi per ciascun tipo di log.
• Distribuzione dei tipi di log per velocità effettiva: visualizza i tipi di log. per la distribuzione in base alla velocità effettiva.
• Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
• Importazione - Eventi per tipo di log: mostra il numero di gli eventi in base allo stato e al tipo di log.
• Eventi importati di recente: mostra gli eventi importati di recente. per ciascun tipo di log.
• Giornaliera Informazioni di log: visualizza il numero di log per un giorno per ciascun tipo di log.
• Conteggio eventi e Dimensioni: confronta il numero e le dimensioni degli eventi in un periodo di tempo.
• Velocità effettiva di importazione: mostra la velocità effettiva di importazione in un determinato periodo di tempo.

Dashboard delle corrispondenze IOC

La dashboard Indicator of Compromise (IOC) Matches fornisce visibilità agli IOC presenti nella vostra azienda.

Puoi vedere le seguenti visualizzazioni nella dashboard Corrispondenze IOC:

• Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze di IOC in base alla categoria.
• Principali 10 indicatori IOC dei domini: elenca i 10 domini principali indicatori IOC insieme al conteggio.
• Top 10 IP IOC Indicator: elenca i primi 10 indicatori IOC IP insieme al conteggio.
• Le prime 10 risorse per corrispondenze IOC: elenca le prime 10 asset per IOC corrispondenti al conteggio.
• Le prime 10 corrispondenze di IOC per categoria, tipo e numero: elenca le prime 10 Corrispondenze IOC per categoria, tipo e oltre al conteggio.
• Primi 10 valori IOC: elenca i primi 10 valori IOC. insieme al conteggio.
• Primi 10 valori raramente riscontrati: elenca i primi 10 raramente delle corrispondenze di IOC che si verificano insieme al conteggio.

Dashboard Rilevamenti regole

La dashboard Rilevamenti delle regole fornisce informazioni sui rilevamenti restituiti. in base alle regole del motore di rilevamento. Per ricevere rilevamenti, devi attivare le regole. Per ulteriori informazioni, consulta Esecuzione di una regola sui dati in tempo reale.

Puoi vedere le seguenti visualizzazioni nella dashboard Rilevamenti regole:

• Rilevamenti di regole nel tempo: mostra il numero di regole rilevati in un determinato periodo di tempo.
• Rilevamenti delle regole per gravità: mostra la gravità dei rilevamenti delle regole.
• Rilevamenti delle regole per gravità nel tempo: mostra le informazioni giornaliere il numero totale di rilevamenti per gravità nel tempo.
• Primi 10 nomi di regole per rilevamenti: elenca le prime 10 che restituiscono il maggior numero di rilevamenti.
• Rilevamenti delle regole per nome nel tempo: mostra le regole che ha restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
• Primi 10 utenti per rilevamenti di regole: elenca i primi 10 utenti che appaiono in eventi che hanno attivato rilevamenti.
• Primi 10 nomi di risorse per rilevamenti di regole: elenca le prime 10 Nomi degli asset visualizzati in eventi che hanno attivato rilevamenti, ad esempio il nome host.
• Primi 10 IP per rilevamenti di regole: elenca i primi 10 IP gli indirizzi visualizzati in eventi che hanno attivato rilevamenti.

Dashboard della panoramica dell'accesso utente

La dashboard Panoramica dell'accesso degli utenti fornisce informazioni sugli utenti. accedere alla tua azienda. Queste informazioni possono essere utili per monitorare tentativi di accesso all'azienda da parte di malintenzionati.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai un ufficio o in cui sembra che un utente specifico accedere ripetutamente a un'applicazione di contabilità.

Puoi vedere le seguenti visualizzazioni nella dashboard Panoramica dell'accesso utente:

• Numero di accessi riusciti: il numero totale di accessi riusciti.
• Numero di accessi non riusciti: il numero totale di accessi non riusciti.
• Accedi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
• Accedi per stato nel tempo: mostra la suddivisione dei accessi riusciti e non riusciti nell'intervallo di tempo.
• Top 10 Applications by Sign Ins: mostra la suddivisione delle prime 10 applicazioni frequenti in base al numero di accessi.
• Accessi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base a i dati di log che definisci nel campo security_result.action. Consulta Tipi enumerati di eventi.
• Primi 10 paesi per accesso: mostra il numero di i primi dieci paesi da cui gli utenti hanno eseguito l'accesso.
• Accedi per paese: mostra il numero di tutti i paesi da dove hanno eseguito l'accesso gli utenti.
• Top 10 Sign ins by IP (Primi 10 accessi per IP): mostra i primi 10 indirizzi IP da dove hanno eseguito l'accesso gli utenti.
• Sign In Location Map (Mappa delle posizioni di accesso): mostra le posizioni degli indirizzi IP da dove hanno eseguito l'accesso gli utenti.
• Primi 10 utenti per stato di accesso: mostra il conteggio dello stato di accesso per ciascun utente. Il conteggio di ogni applicazione viene compilato in base a i dati di log che definisci nel campo security_result.action. Consulta Tipi enumerati di eventi.

Passaggi successivi

• Scopri come creare una dashboard personalizzata