Dashboards – Übersicht

Unterstützt in:

Mit Google Security Operations SIEM-Dashboards können Sie die Daten in Google Security Operations SIEM ansehen und analysieren, einschließlich Sicherheitstelemetrie, Aufnahmemesswerte, Erkennungen, Benachrichtigungen und IOCs. Diese Dashboards basieren auf den Funktionen von Looker.

Google Security Operations SIEM bietet Ihnen mehrere Standarddashboards, die in diesem Dokument beschrieben werden. Sie können auch benutzerdefinierte Dashboards erstellen.

Standard-Dashboards

Klicken Sie in der linken Navigationsleiste auf Dashboards, um die Seite Dashboards aufzurufen.

Standarddashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihrer Google Security Operations SIEM-Instanz gespeichert sind. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des Google Security Operations SIEM-Systems für die Datenaufnahme zu ermitteln oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standard-Dashboard enthält einen Zeitbereichsfilter, mit dem Sie Daten für einen bestimmten Zeitraum ansehen können. Das kann bei der Fehlerbehebung oder beim Erkennen von Trends hilfreich sein. So können Sie beispielsweise Daten für die letzte Woche oder für einen bestimmten Zeitraum aufrufen.

Google Security Operations SIEM bietet die folgenden Standard-Dashboards:

Hauptdashboard

Im Haupt-Dashboard werden Informationen zum Status des Google Security Operations SIEM-Systems zur Datenaufnahme angezeigt. Sie enthält auch eine globale Karte, auf der die geografischen Standorte der in Ihrem Unternehmen erkannten IOCs hervorgehoben sind.

Im Dashboard Haupt sind die folgenden Visualisierungen verfügbar:

  • Aufgenommene Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Durchsatz: Das Datenvolumen, das für einen bestimmten Zeitraum aufgenommen wird.
  • Benachrichtigungen: Die Gesamtzahl der Benachrichtigungen.
  • Ereignisse im Zeitverlauf: Ein Säulendiagramm, in dem die Ereignisse dargestellt werden, die über einen bestimmten Zeitraum aufgetreten sind.
  • Globale Bedrohungsübersicht – IOC-IP-Übereinstimmungen: Der Standort, von dem IOC-Abgleichsereignisse stammen.

Übersichtsdashboard für Cloud Detection and Response

Mit dem Dashboard Cloud Detection and Response können Sie den Sicherheitsstatus Ihrer Cloud-Umgebung überwachen und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen von Datenquellen, Regelsätzen, Benachrichtigungen und anderen Informationen besser nachvollziehen können.

Mit dem Filter Zeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP Log Type (GCP-Logtyp) können Sie die Daten nach Google Cloud Logtyp filtern.

Im Dashboard Cloud Detection and Response – Übersicht sind die folgenden Visualisierungen verfügbar:

  • CDIR Rulesets Enabled (CDIR-Regelsätze aktiviert): Hier wird der Prozentsatz der Google Security Operations SIEM-Regelsätze angezeigt, die für Ihre Cloud-Umgebung aktiviert sind, im Vergleich zu den gesamten Regelsätzen, die von GCTI für Google Security Operations SIEM-Nutzer bereitgestellt werden. GCTI bietet mehrere vorkonfigurierte Regeln. Sie können diese Regelsätze aktivieren oder deaktivieren.

  • Abgedeckte GCP-Datenquellen: Gibt den Prozentsatz der abgedeckten Datenquellen im Verhältnis zur Gesamtzahl der verfügbaren Google CloudDatenquellen an. Wenn Sie beispielsweise Daten mit 40 Log-Typen aufnehmen können, aber nur Daten für 20 Log-Typen senden, wird auf der Kachel „50 %“ angezeigt.

  • CDIR-Benachrichtigungen: Hier wird die Anzahl der Benachrichtigungen angezeigt, die durch die Regeln in Ihren GCTI-Regelsätzen oder Cloud-Bedrohungen ausgelöst wurden. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Aktuelle Benachrichtigungen: Hier werden die letzten Benachrichtigungen mit ihrem Schweregrad und ihrer Risikobewertung angezeigt. Sie können die Tabelle nach der Spalte Zeitstempel des Ereignisses sortieren und zu jeder Benachrichtigung navigieren, um weitere Informationen zu erhalten. Hier sehen Sie die Anzahl der aggregierten Sicherheitsergebnisse, die durch Security Command Center optimiert wurden. Diese Sicherheitsergebnisse werden von GCTI-Detektionsregelsätzen generiert und nach Ergebnistyp kategorisiert. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Benachrichtigungen nach Schweregrad im Zeitverlauf: Hier sehen Sie die Gesamtzahl der Benachrichtigungen nach Schweregrad im Zeitverlauf. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Erkennungsabdeckung: Hier finden Sie Informationen zu den Google Security Operations SIEM-Regelsätzen und deren Status, Gesamterkennungen und dem Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Cloud Data Coverage (Cloud-Datenabdeckung): Hier finden Sie Informationen zu allen verfügbaren Google Cloud-Diensten, Parsern, die die einzelnen Dienste abdecken, dem ersten und letzten Ereignis sowie dem Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Übersicht über die Kategorie „Cloud Threats“.

Auf die Tabelle folgen Grafiken aller Google Cloud -Dienste mit den zugehörigen Daten, die den Aufnahmetrend in den folgenden Zeiträumen zeigen:

  • Letzte 24 Stunden
  • Letzte 30 Tage
  • Letzte sechs Monate

Kontextsensitive Erkennungen – Risikodashboard

Das Dashboard Kontextbezogene Erkennungen – Risiko bietet Einblicke in den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Sie wird mit Feldern in der Explore-Oberfläche Regelerkennungen erstellt.

Die Werte für Schweregrad und Risikoscore sind Variablen, die in jeder Regel definiert sind. Ein Beispiel finden Sie unter Syntax für Ergebnisabschnitt. In jedem Bereich werden die Daten nach Schweregrad und dann nach Risikobewertung sortiert, um Nutzer und Assets mit dem höchsten Risiko zu identifizieren.

Im Dashboard Kontextbezogene Erkennungen – Risiko können Sie die folgenden Visualisierungen ansehen:

  • Gefährdete Assets und Geräte: Hier werden die 10 wichtigsten Assets basierend auf dem Schweregrad aufgeführt, den Sie in der Regel unter Meta > Schweregrad festgelegt haben. Siehe Syntax für Meta-Abschnitte. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Hostname-Wert nicht im Datensatz vorhanden ist, wird die IP-Adresse angezeigt.
  • Nutzer mit Risiko: Hier werden die zehn wichtigsten Nutzer nach Schweregrad aufgeführt. Die Schweregrade sind Super High, Critical, High, Large, Medium und Low. Wenn der Nutzername im Datensatz nicht vorhanden ist, wird die E-Mail-ID angezeigt.
  • Gesamtrisiko: Zeigt für jedes Datum den aggregierten Gesamtrisikowert an.
  • Erkennungsergebnisse: Hier werden Details zu den Erkennungen angezeigt, die von den Regeln der Erkennungs-Engine zurückgegeben werden. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, den Risikowert und den Schweregrad.

Datenaufnahme und Gesundheits-Dashboard

Das Dashboard Data Ingestion and Health (Datenaufnahme und ‑integrität) enthält Informationen zum Typ, Volumen und zur Integrität der Daten, die in Ihren Google Security Operations SIEM-Mandanten aufgenommen werden. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen.

Dieses Dashboard enthält Visualisierungen, mit denen Sie das Volumen der aufgenommenen Logs, Aufnahmefehler und andere relevante Informationen nachvollziehen können. Die Daten im Dashboard werden alle 15 Minuten aktualisiert. Es kann also bis zu 15 Minuten dauern, bis die neuesten Informationen angezeigt werden.

Im Dashboard Data Ingestion and Health (Datenaufnahme und ‑integrität) können Sie die folgenden Visualisierungen aufrufen:

  • Anzahl der aufgenommenen Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Anzahl der Erfassungsfehler: die Gesamtzahl der Fehler, die während der Erfassung aufgetreten sind.
  • Anzahl der Parsing-Fehler: die Gesamtzahl der Fehler, die beim Parsen aufgetreten sind.
  • Anzahl der Validierungsfehler: die Gesamtzahl der Fehler, die während der Validierung aufgetreten sind.
  • Gesamtfehleranzahl: die Gesamtzahl der aufgetretenen Fehler.
  • Verteilung der Logtypen nach Anzahl der Ereignisse: Hier wird die Verteilung der Logtypen basierend auf der Anzahl der Ereignisse für jeden Logtyp angezeigt.
  • Verteilung der Logtypen nach Durchsatz: Hier wird die Verteilung der Logtypen basierend auf dem Durchsatz angezeigt.
  • Aufnahme – Ereignisse nach Status: Hier wird die Anzahl der Ereignisse nach Status angezeigt.
  • Aufnahme – Ereignisse nach Logtyp: Hier wird die Anzahl der Ereignisse nach Status und Logtyp angezeigt.
  • Zuletzt aufgenommene Ereignisse: Hier werden die zuletzt aufgenommenen Ereignisse für jeden Logtyp angezeigt.
  • Tägliche Log-Informationen: Hier wird die Anzahl der Logs für einen Tag für jeden Logtyp angezeigt.
  • Ereignisanzahl im Vergleich zur Größe: Hier werden Ereignisanzahl und -größe über einen Zeitraum hinweg verglichen.
  • Aufnahmedurchsatz: Hier wird der Aufnahmedurchsatz über einen bestimmten Zeitraum angezeigt.

Dashboard für IOC-Übereinstimmungen

Das Dashboard „Übereinstimmungen mit Indikatoren für Sicherheitsrisiken“ bietet Einblick in die in Ihrem Unternehmen vorhandenen IOCs.

Im Dashboard „IOC-Übereinstimmungen“ werden IOC-Details zum Zeitpunkt der IOC-Übereinstimmung angezeigt, z. B. der Vertrauenswürdigkeitswert und der Schweregrad. Auf der Seite IOC und Benachrichtigung wird der UNIX-Sekundenwert für den Tages-Bucket angezeigt, in dem die IOC-Übereinstimmung aufgetreten ist.

Im Dashboard IOC-Übereinstimmungen sind die folgenden Visualisierungen verfügbar:

  • IOC Matches Over Time by Category (IOC-Übereinstimmungen im Zeitverlauf nach Kategorie): Hier wird die Anzahl der IOC-Übereinstimmungen nach Kategorie angezeigt.
  • Top 10 Domains – IOC-Indikatoren: Hier werden die zehn wichtigsten IOC-Indikatoren für Domains zusammen mit der Anzahl aufgeführt.
  • Top 10 IP-IOC-Indikatoren: Hier werden die zehn wichtigsten IP-Adress-IOC-Indikatoren zusammen mit der Anzahl aufgeführt.
  • Top 10 Assets by IOC Matches (Top 10 Assets nach IOC-Übereinstimmungen): Hier werden die zehn Assets mit den meisten IOC-Übereinstimmungen zusammen mit der Anzahl aufgeführt.
  • Top 10 IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl: Hier werden die 10 wichtigsten IOC-Übereinstimmungen nach Kategorie, Typ und Anzahl aufgeführt.
  • Top 10 IOC-Werte: Hier werden die zehn wichtigsten IOC-Werte zusammen mit der Anzahl aufgeführt.
  • Top 10 der seltenen Werte: Hier werden die zehn seltensten IOC-Übereinstimmungen zusammen mit der Anzahl aufgeführt.

Die Visualisierungen für IOC-Übereinstimmungen enthalten den Filter für Ereigniszeitstempel unter Nur-Filter-Felder.

Dashboard „Regelerkennungen“

Das Dashboard Regelerkennungen bietet Einblick in die von Regeln der Erkennungs-Engine zurückgegebenen Erkennungen. Damit Sie Erkennungen erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Im Dashboard Regelerkennungen sind die folgenden Visualisierungen verfügbar:

  • Regelerkennungen im Zeitverlauf: Hier wird die Anzahl der Regelerkennungen über einen bestimmten Zeitraum hinweg angezeigt.
  • Regelerkennungen nach Schweregrad: Hier wird der Schweregrad der Regelerkennungen angezeigt.
  • Regelerkennungen nach Schweregrad im Zeitverlauf: Hier wird die tägliche Anzahl der Erkennungen nach Schweregrad im Zeitverlauf angezeigt.
  • Die 10 Regelnamen mit den meisten erkannten Verstößen: Hier werden die 10 Regeln mit der größten Anzahl an erkannten Verstößen aufgeführt.
  • Regelerkennungen nach Name im Zeitverlauf: Hier werden die Regeln angezeigt, die jeden Tag Erkennungen zurückgegeben haben, sowie die Anzahl der zurückgegebenen Erkennungen.
  • Top 10 Users by Rule Detections (Top 10 der Nutzer nach Regelerkennungen): Hier werden die zehn wichtigsten Nutzer-IDs aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.
  • Top 10 Asset-Namen nach Regelerkennungen: Hier werden die zehn wichtigsten Asset-Namen aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben, z. B. Hostname.
  • Top 10 IPs by Rule Detections (Top 10 IPs nach Regelerkennungen): Hier werden die 10 wichtigsten IP-Adressen aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.

Übersichts-Dashboard für die Nutzeranmeldung

Das Dashboard Übersicht zur Nutzeranmeldung bietet Einblicke in die Nutzer, die sich in Ihrem Unternehmen anmelden. Diese Informationen können nützlich sein, um Versuche von böswilligen Akteuren zu verfolgen, auf Ihr Unternehmen zuzugreifen.

So stellen Sie möglicherweise fest, dass ein bestimmter Nutzer versucht hat, von einem Land aus auf Ihr Unternehmen zuzugreifen, in dem Sie keine Niederlassung haben, oder dass ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zugreift.

Im Dashboard Nutzeranmeldung – Übersicht sind die folgenden Visualisierungen verfügbar:

  • Anzahl der erfolgreichen Anmeldungen: Die Gesamtzahl der erfolgreichen Anmeldungen.
  • Anzahl der fehlgeschlagenen Anmeldungen: Die Gesamtzahl der fehlgeschlagenen Anmeldungen.
  • Anmeldungen nach Status: Hier sehen Sie die Aufschlüsselung der erfolgreichen und fehlgeschlagenen Anmeldungen.
  • Anmeldungen nach Status im Zeitverlauf: Hier wird die Aufschlüsselung der erfolgreichen und fehlgeschlagenen Anmeldungen im ausgewählten Zeitraum angezeigt.
  • Top 10 Applications By Sign Ins (Top 10 der Anwendungen nach Anmeldungen): Hier wird die Aufschlüsselung der 10 am häufigsten verwendeten Anwendungen nach der Anzahl der Anmeldungen angezeigt.
  • Anmeldungen nach Anwendung: Hier wird die Anzahl der Anmeldestatus für jede Anwendung aufgeführt. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ermittelt, die Sie im Feld security_result.action definieren. Siehe Aufzählungstypen für Ereignisse.
  • Top 10 Länder nach Anmeldungen: Hier wird die Anzahl der Anmeldungen aus den 10 Ländern mit den meisten Anmeldungen angezeigt.
  • Anmeldungen nach Land: Hier wird die Anzahl aller Länder angezeigt, aus denen sich Nutzer angemeldet haben.
  • Top 10 der Anmeldungen nach IP-Adresse: Hier werden die zehn wichtigsten IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
  • Karte mit Anmeldestandorten: Hier werden die Standorte von IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
  • Top 10 Nutzer nach Anmeldestatus: Hier wird die Anzahl der Anmeldestatus für jeden Nutzer angezeigt. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ermittelt, die Sie im Feld security_result.action definieren. Siehe Aufzählungstypen für Ereignisse.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten