信息中心概览

Google Security Operations SIEM 信息中心可用于查看和分析 Google Security Operations SIEM 中的数据，包括安全遥测数据、提取指标、检测、提醒和 IOC。这些信息中心基于 Looker 的功能构建。

Google Security Operations SIEM 为您提供了多个默认信息中心，本文档对此进行了介绍。您还可以创建自定义信息中心。

默认信息中心

如需前往信息中心页面，请点击左侧导航栏中的信息中心。

默认信息中心包含 Google Security Operations SIEM 实例中存储的数据的预定义可视化图表。这些信息中心专为特定用例而设计，例如了解 Google Security Operations SIEM 数据注入系统的状态或监控企业中的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件，可让您查看特定时间段的数据。这在排查问题或识别趋势时非常有用。例如，您可以使用过滤条件查看过去一周或特定时间范围内的数据。

无法修改默认信息中心。您可以复制默认信息中心，然后修改新信息中心以支持特定用例。

Google Security Operations SIEM 提供以下默认信息中心：

• Main
• 预览信息中心
• Cloud Detection and Response
• 情境感知检测 - 风险
• 数据注入和健康状况
• IOC 匹配项
• 规则检测
• 用户登录概览

主信息中心

主信息中心会显示有关 Google 安全运营 SIEM 数据注入系统状态的信息。它还包含一个全球地图，其中突出显示了在您的企业内检测到的 IOC 的地理位置。

您可以在主要信息中心内查看以下可视化图表：

• 注入的事件：注入的事件总数。
• 吞吐量：特定时间段内提取的数据量。
• 提醒：发生的提醒总数。
• 一段时间内的事件：柱状图，显示一段时间内发生的事件。
• 全球威胁地图 - IOC IP 匹配：发生 IOC 匹配事件的位置。

预览信息中心

您可以使用 Google Security Operations 的预览信息中心功能，基于不同的数据源构建可视化图表。Google Security Operations 信息中心由不同的图表组成，这些图表使用 YARA-L 2.0 填充。

Google Security Operations 预览版信息中心的数据源

以下数据源在预览版信息中心中提供，具有以下 YARA-L 前缀。

Google Security Operations 预览版信息中心的 YARA-L 2.0 语法

在预览信息中心中使用时，YARA-L 2.0 具有以下独特属性：

• 信息中心中提供了实体图、提取指标、规则集和检测等其他数据源。这些数据源尚未在 YARA-L 规则和 UDM 搜索中提供。

• Google Security Operations 预览版信息中心使用 YARA-L 语法。如需了解详情，请参阅 适用于 Google Security Operations 预览信息中心的 YARA-L 2.0 函数以及包含统计测量的汇总函数。UDM 搜索（例如 principal.hostname = "john"）不适用于 Google Security Operations 预览版信息中心。

• YARA-L 规则的“事件”部分是隐含的，无需在查询中声明。

• YARA-L 规则的条件部分不适用于信息中心。

Google Security Operations 预览版信息中心使用入门

创建新信息中心

如需创建新的信息中心，请执行以下操作：

1. 在预览信息中心页面上，点击创建信息中心。系统随即会显示“Create dashboard”（创建信息中心）窗口。

2. 为信息中心输入名称和说明。

3. 在从现有信息中心开始列表中，选择空白信息中心。 您也可以先复制现有信息中心。

4. 将信息中心的访问权限设为不公开或共享。 私密信息中心仅对您可见，而共享信息中心对贵组织内的所有用户可见。

5. 点击创建以创建新信息中心。

添加图表

信息中心由使用 YARA-L 填充数据的图表组成。如需向信息中心添加图表，请执行以下操作：

1. 在修改信息中心页面上，点击添加图表。

2. 在搜索部分中，输入 YARA-L 查询以探索和转换数据。以下 YARA-L 查询会检索检测的日期和严重级别，滤除严重级别未知的检测，并统计每个日期的唯一检测次数。检测结果会按日期升序排序。

   $date = timestamp.get_date(detection.created_time.seconds)
   $severity = detection.detection.severity
   $severity != "UNKNOWN_SEVERITY"
   match:
       $date, $severity
   outcome:
       $detection_count = count_distinct(detection.id)
   order:
       $date asc
   

3. 对于指定的时间范围，选择绝对或相对。

4. 输入查询后，点击执行搜索。结果以表格格式显示，这是默认的图表类型。

5. 在图表详情中，输入图表的名称。

6. 如需将表格化搜索结果中的数据转换为条形图，请依次选择图表类型 > 条形图。

7. 在数据设置中，为 X 轴和 Y 轴输入数据类型和字段值。如需基于 YARA-L 规则示例进行构建，您可以输入以下值：

   • X 轴字段：date
   • Y 轴字段：detection_count

8. 在轴标签中，输入 X 轴和 Y 轴的标签。

9. 在分组中，选择分组。

10. 在“系列”中，将用于分组的字段设置为“严重程度”。这会将图表更改为按严重程度分组。

11. 查看结果，然后点击添加到信息中心。

添加过滤条件

您可以使用过滤条件根据特定字段修改可用数据，这只会影响在查询中使用该字段的图表。

如需添加过滤条件，请执行以下操作：

1. 在信息中心主页面上，点击铅笔图标 edit 即可修改信息中心。

2. 在编辑信息中心页面上，点击过滤条件图标 filter_alt 以添加过滤条件。

3. 在管理过滤条件窗口中，点击加号图标 add 以配置新的过滤条件。

4. 在要过滤的字段字段中，输入要根据其过滤数据的字段。例如 detection.collection_elements.references.event.principal.hostname

5. 在过滤条件名称字段中，输入过滤条件的名称。

6. 在应用于字段中，选择需要应用过滤条件的图表。

7. 可选：为过滤条件设置默认值。

8. 点击完成以添加过滤条件并关闭“管理过滤条件”窗口。

应用过滤器

如需对图表应用过滤条件，请执行以下操作：

1. 在信息中心视图中，点击过滤条件图标 filter_alt 以查看信息中心过滤条件。

2. 在信息中心过滤条件窗口中，选择您创建的过滤条件。

3. 为要过滤的字段输入值。

4. 点击应用。应用过滤条件的图表会更新，以反映过滤后的结果。

添加全局时间过滤器

您可以应用全局时间过滤条件，选择一个时间范围，以便在所有图表中查看该时间范围内的数据。全局时间过滤条件默认适用于所有图表，并且能够处理所有数据源中的时间。与仅在各个图表中指定的时间范围内进行过滤的其他时间过滤条件（例如，在 metadata.event_timestmap 字段上创建过滤条件）不同，全局时间过滤条件在应用后会优先于各个图表中选择的时间段。

如需添加全局时间过滤条件，请执行以下操作：

1. 在信息中心主页面上，点击铅笔图标 edit 即可修改信息中心。

2. 在“编辑”信息中心页面上，点击过滤条件图标 filter_alt 以添加过滤条件。

3. 在管理过滤条件窗口中，从过滤条件列表中选择全局时间过滤条件。

4. 点击切换开关，确保已启用全局时间过滤条件。

5. 在应用于字段中，选择需要应用全局时间过滤条件的图表。

6. 在设置默认值字段中，设置以绝对或相对方式查看数据的时间范围。

7. 点击完成以添加过滤条件并关闭“管理过滤条件”窗口。

“云检测和响应概览”信息中心

Cloud Detection and Response 信息中心可帮助您监控云环境的安全状态并调查潜在威胁。该信息中心会显示可视化数据，可帮助您了解数据源、规则集、提醒和其他信息的数量。

借助时间过滤条件，您可以按时间段过滤数据。

借助 GCP 日志类型过滤条件，您可以按 Google Cloud 日志类型过滤数据。

您可以在 Cloud Detection and Response Overview（Cloud 检测和响应概览）信息中心查看以下可视化图表：

• 已启用的 CDIR 规则集：显示 GCTI 为 Google Security Operations SIEM 用户提供的总规则集中，为您的云环境启用的 Google Security Operations SIEM 规则集所占的百分比。GCTI 提供了多个经过精心挑选的预打包规则。您可以启用或停用这些规则集。

• 涵盖的 GCP 数据源：显示涵盖的数据源占可用 Google Cloud 数据源总数的百分比。例如，如果您可以使用 40 种日志类型注入数据，但您只发送了 20 种日志类型的数据，则功能块会显示 50%。

• CDIR 提醒：显示 GCTI 规则集或云端威胁中的规则引发的提醒数量。您可以使用时间过滤条件来设置显示此类数据的天数。

• 近期提醒：显示近期提醒及其严重程度和风险评分。您可以使用事件时间戳时间列对表格进行排序，并前往每个提醒了解详情。它会显示 Security Command Center 增强的汇总安全发现结果的数量。这些安全发现结果由 GCTI 管理的检测规则集生成，并按发现结果类型进行分类。您可以使用时间过滤条件来设置显示此类数据的天数。

• 按严重程度划分的提醒随时间变化情况：按严重程度显示提醒总数，以及随时间变化的趋势。您可以使用时间过滤条件来设置显示此类数据的天数。

• 检测覆盖率：提供有关 Google Security Operations SIEM 规则集及其状态、检测总数和最近一次检测日期的信息。您可以使用时间过滤条件来设置显示此类数据的天数。

• Cloud Data Coverage：提供有关所有可用 Google Cloud 服务、涵盖每项服务的解析器、首次看到的事件、上次看到的事件和总吞吐量的相关信息。

如需详细了解 CDIR 规则集，请参阅云端威胁类别概览。

下表后面是所有 Google Cloud 服务及其关联数据的图表，显示了这些服务在以下时间间隔内的提取趋势：

• 过去 24 小时
• 过去 30 天
• 过去 6 个月

情境感知检测 - 风险信息中心

感知上下文的检测 - 风险信息中心可帮助您深入了解贵企业中的资产和用户的当前威胁状态。它是使用规则检测“探索”界面中的字段构建的。

严重程度和风险得分值是每个规则中定义的变量。如需查看示例，请参阅结果部分语法。在每个面板中，系统会先按严重程度对数据进行排序，然后再按风险得分进行排序，以便确定风险最高的用户和资产。

您可以在感知上下文的检测 - 风险信息中心查看以下可视化结果：

• 处于风险状态的资产和设备：根据您在元数据 > 严重程度中为规则设置的严重程度，列出前 10 个资产。请参阅元部分语法。严重级别包括极高、严重、高、大、中和低。如果记录中不存在主机名值，则会显示 IP 地址。
• 处于风险状态的用户：按严重程度列出前 10 位用户。严重级别包括极高、严重、高、大、中和低。如果记录中不存在用户名值，则会显示电子邮件 ID。
• 汇总风险：针对每个日期，显示汇总风险得分。
• 检测结果：显示检测引擎规则返回的检测结果的详细信息。表格包括规则名称、检测 ID、风险得分和严重程度。

“数据注入和健康状况”信息中心

数据提取和运行状况信息中心提供有关提取到 Google Security Operations SIEM 租户的数据类型、数量和运行状况的信息。您可以使用此信息中心监控环境中的异常情况。

此信息中心提供可视化数据，可帮助您了解注入日志的数量、注入错误和其他相关信息。信息中心中的数据每 15 分钟刷新一次，因此您最多可能需要等待 15 分钟才能看到最新信息。

您可以在数据注入和健康状况信息中心查看以下可视化图表：

• 注入的事件数：注入的事件总数。
• 注入错误计数：注入期间遇到的错误总数。
• 解析错误数：解析期间遇到的错误总数。
• 验证错误数：验证期间遇到的错误总数。
• 错误总数：遇到的错误总数。
• 基于事件计数的日志类型分布：显示基于每种日志类型的事件数量的日志类型分布。
• 基于吞吐量的日志类型分布：显示基于吞吐量的日志类型分布。
• 提取 - 按状态划分的事件：根据事件状态显示事件数量。
• 提取 - 按日志类型划分的事件：根据事件状态和日志类型显示事件数量。
• 最近注入的事件：显示每种日志类型最近注入的事件。
• 每日日志信息：显示每种日志类型每天的日志数。
• 事件数与大小：比较一段时间内事件数和大小。
• 注入吞吐量：显示一段时间内的注入吞吐量。

“IOC 匹配项”信息中心

“失陷指标 (IOC) 匹配项”信息中心可让您了解组织中存在的 IOC。

您可以在 IOC 匹配项信息中心内查看以下可视化图表：

• IOC 匹配随时间的变化（按类别）：按类别显示 IOC 匹配的数量。
• 10 大网域 IOC 指标：列出前 10 个网域 IOC 指标及其计数。
• 10 大 IP 地址 IOC 指标：列出前 10 个 IP 地址 IOC 指标及其计数。
• 10 大资产（按 IOC 匹配）：按 IOC 匹配次数列出前 10 个资产以及相应计数。
• 按类别、类型和计数显示前 10 个 IOC 匹配：按类别、类型和计数显示前 10 个 IOC 匹配。
• 前 10 个 IOC 值：列出前 10 个 IOC 值及其计数。
• 出现频率较低的前 10 个值：列出出现频率较低的前 10 个 IOC 匹配以及相应计数。

“规则检测”信息中心

规则检测信息中心可让您深入了解检测引擎规则返回的检测结果。如需接收检测结果，您必须启用规则。 如需了解详情，请参阅针对实时数据运行规则。

您可以在规则检测信息中心内查看以下可视化图表：

• 一段时间内的规则检测次数：显示一段时间内的规则检测次数。
• 按严重程度划分的规则检测：显示规则检测的严重程度。
• 按严重程度划分的规则检测次数随时间变化情况：按严重程度显示每天的检测次数随时间变化情况。
• 按检测次数排名的前 10 条规则名称：列出了返回检测次数最多的前 10 条规则。
• 按名称显示一段时间内的规则检测：显示每天返回检测结果的规则以及返回的检测结果数量。
• 按规则检测次数排名前 10 的用户：列出触发检测的事件中出现的前 10 个用户标识符。
• 按规则检测次数排名前 10 的资产名称：列出触发检测的事件中出现的前 10 个资产名称，例如主机名。
• 按规则检测次数排名前 10 的 IP：列出触发检测的事件中出现的前 10 个 IP 地址。

“用户登录概览”信息中心

用户登录概览信息中心可帮助您深入了解登录贵企业的用户。此信息有助于跟踪恶意操作者访问您的企业的尝试。

例如，您可能会发现，特定用户尝试从没有办事处的国家/地区访问您的企业，或者特定用户似乎反复访问会计应用。

您可以在用户登录概览信息中心查看以下可视化图表：

• 成功登录的次数：成功登录的次数。
• 登录失败次数：登录失败的总次数。
• 按状态划分的登录次数：显示成功登录和失败登录的比例。
• 按状态划分的登录次数随时间变化情况：显示相应时间范围内成功和失败的登录次数。
• 按登录次数排名前 10 的应用：显示按登录次数划分的前 10 个常用应用。
• 按应用显示的登录次数：列出每个应用的登录状态计数。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的计数。请参阅事件枚举类型。
• 按登录次数排名前 10 位的国家/地区：显示用户登录次数排名前 10 位的国家/地区。
• 按国家/地区统计的登录次数：显示用户登录时所处的所有国家/地区的数量。
• 按 IP 地址显示前 10 次登录：显示用户登录时所用的前 10 个 IP 地址。
• 登录位置地图：显示用户登录时所用 IP 地址的位置。
• 按登录状态显示前 10 位用户：显示每位用户的登录状态计数。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的计数。请参阅事件枚举类型。

后续步骤

• 了解如何创建自定义信息中心