Dashboards – Übersicht

Unterstützt in:

Mit den Google Security Operations SIEM-Dashboards können Sie die Daten in Google Security Operations SIEM ansehen und analysieren, einschließlich Sicherheitstelemetrie, Aufnahmemesswerte, Erkennungen, Benachrichtigungen und IoCs. Diese Dashboards basieren auf den Funktionen von Looker.

Google Security Operations SIEM bietet Ihnen mehrere Standarddashboards, die in diesem Dokument beschrieben werden. Sie können auch benutzerdefinierte Dashboards erstellen.

Standard-Dashboards

Klicken Sie auf Dashboards, um die Seite Dashboards zu öffnen.

Standarddashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihrer Google Security Operations SIEM-Instanz gespeichert sind. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des Google Security Operations SIEM-Systems für die Datenaufnahme zu ermitteln oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standard-Dashboard enthält einen Zeitbereichsfilter, mit dem Sie Daten für einen bestimmten Zeitraum ansehen können. Das kann bei der Fehlerbehebung oder beim Erkennen von Trends hilfreich sein. So können Sie beispielsweise Daten für die letzte Woche oder für einen bestimmten Zeitraum aufrufen.

Google Security Operations SIEM bietet die folgenden Standard-Dashboards:

Hauptdashboard

Im Haupt-Dashboard werden Informationen zum Status des Google Security Operations SIEM-Systems zur Datenaufnahme angezeigt. Sie enthält auch eine globale Karte, auf der die geografischen Standorte der in Ihrem Unternehmen erkannten IoCs hervorgehoben werden.

Im Dashboard Haupt sind die folgenden Visualisierungen verfügbar:

  • Aufgenommene Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
  • Durchsatz: Das Datenvolumen, das für einen bestimmten Zeitraum aufgenommen wird.
  • Benachrichtigungen: Die Gesamtzahl der Erkennungen, die in einem bestimmten Zeitraum aufgetreten sind. Die Anzahl der Benachrichtigungen auf der Seite Benachrichtigungen und IOCs kann abweichen, da auf dieser Seite nur aktuelle Benachrichtigungen angezeigt werden. Weitere Informationen finden Sie unter Benachrichtigungen ansehen.
  • Ereignisse im Zeitverlauf: Ein Säulendiagramm, in dem die Ereignisse dargestellt werden, die über einen bestimmten Zeitraum aufgetreten sind.
  • Global Threat Map – IoC IP Matches: Der Ort, an dem Ereignisse mit übereinstimmenden Kompromittierungsindikatoren (IoC) aufgetreten sind.

Übersichtsdashboard für Cloud Detection and Response

Mit dem Dashboard Cloud Detection and Response können Sie den Sicherheitsstatus Ihrer Cloud-Umgebung überwachen und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen von Datenquellen, Regelsätzen, Benachrichtigungen und anderen Informationen besser nachvollziehen können.

Mit dem Filter Zeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP Log Type (GCP-Logtyp) können Sie die Daten nach Google Cloud Logtyp filtern.

Im Dashboard Cloud Detection and Response – Übersicht sind die folgenden Visualisierungen verfügbar:

  • CDIR Rulesets Enabled (CDIR-Regelsätze aktiviert): Hier wird der Prozentsatz der Google Security Operations SIEM-Regelsätze angezeigt, die für Ihre Cloud-Umgebung aktiviert sind, im Vergleich zu den gesamten Regelsätzen, die von GCTI für Google Security Operations SIEM-Nutzer bereitgestellt werden. GCTI bietet mehrere vorkonfigurierte Regeln. Sie können diese Regelsätze aktivieren oder deaktivieren.

  • Abgedeckte GCP-Datenquellen: Gibt den Prozentsatz der abgedeckten Datenquellen im Verhältnis zu allen verfügbaren Google CloudDatenquellen an. Wenn Sie beispielsweise Daten mit 40 Log-Typen aufnehmen können, aber nur Daten für 20 Log-Typen senden, wird auf der Kachel „50 %“ angezeigt.

  • CDIR-Benachrichtigungen: Hier wird die Anzahl der Benachrichtigungen angezeigt, die durch die Regeln in Ihren GCTI-Regelsätzen oder Cloud-Bedrohungen ausgelöst wurden. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Aktuelle Benachrichtigungen: Hier werden die letzten Benachrichtigungen mit ihrem Schweregrad und ihrer Risikobewertung angezeigt. Sie können die Tabelle nach der Spalte Zeitstempel des Ereignisses sortieren und zu jeder Benachrichtigung navigieren, um weitere Informationen zu erhalten. Hier sehen Sie die Anzahl der aggregierten Sicherheitsergebnisse, die durch Security Command Center optimiert wurden. Diese Sicherheitsergebnisse werden von GCTI-Detektionsregelsätzen generiert und nach Ergebnistyp kategorisiert. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Benachrichtigungen nach Schweregrad im Zeitverlauf: Hier sehen Sie die Gesamtzahl der Benachrichtigungen nach Schweregrad im Zeitverlauf. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Erkennungsabdeckung: Hier finden Sie Informationen zu den Google Security Operations SIEM-Regelsätzen und deren Status, Gesamterkennungen und dem Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Cloud Data Coverage (Cloud-Datenabdeckung): Hier finden Sie Informationen zu allen verfügbaren Google Cloud-Diensten, Parsern, die die einzelnen Dienste abdecken, dem ersten und letzten Ereignis sowie dem Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Übersicht über die Kategorie „Cloud Threats“.

Auf die Tabelle folgen Grafiken aller Google Cloud -Dienste mit den zugehörigen Daten, die den Aufnahmetrend in den folgenden Zeiträumen zeigen:

  • Letzte 24 Stunden
  • Letzte 30 Tage
  • Letzte sechs Monate

Kontextsensitive Erkennungen – Risikodashboard

Das Dashboard Kontextbezogene Erkennungen – Risiko bietet Einblicke in den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Sie wird mit Feldern in der Explore-Oberfläche Regelerkennungen erstellt.

Die Werte für Schweregrad und Risikoscore sind Variablen, die in jeder Regel definiert sind. Ein Beispiel finden Sie unter Syntax für Ergebnisabschnitt. In jedem Bereich werden die Daten nach Schweregrad und dann nach Risikobewertung sortiert, um Nutzer und Assets mit dem höchsten Risiko zu identifizieren.

Im Dashboard Kontextbezogene Erkennungen – Risiko können Sie die folgenden Visualisierungen ansehen:

  • Gefährdete Assets und Geräte: Hier werden die 10 wichtigsten Assets basierend auf dem Schweregrad aufgeführt, den Sie in der Regel unter Meta > Schweregrad festgelegt haben. Siehe Syntax für Meta-Abschnitte. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Wert hostname nicht im Datensatz vorhanden ist, wird die IP-Adresse angezeigt.
  • Nutzer mit Risiko: Hier werden die zehn wichtigsten Nutzer nach Schweregrad aufgeführt. Die Schweregrade sind Super High, Critical, High, Large, Medium und Low. Wenn der Wert username nicht im Datensatz vorhanden ist, wird die E‑Mail-ID angezeigt.
  • Gesamtrisiko: Zeigt für jedes Datum den aggregierten Gesamtrisikowert an.
  • Erkennungsergebnisse: Hier werden Details zu den Erkennungen angezeigt, die von den Regeln der Erkennungs-Engine zurückgegeben werden. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, den Risikowert und den Schweregrad.

Datenaufnahme und Gesundheits-Dashboard

Das Dashboard Data Ingestion and Health (Datenaufnahme und ‑integrität) enthält Informationen zum Typ, Volumen und zur Integrität der Daten, die in Ihren Google Security Operations SIEM-Mandanten aufgenommen werden. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen.

Dieses Dashboard enthält Visualisierungen, mit denen Sie das Volumen der aufgenommenen Logs, Aufnahmefehler und andere relevante Informationen nachvollziehen können. Die Daten im Dashboard werden alle 15 Minuten aktualisiert. Es kann also bis zu 15 Minuten dauern, bis die neuesten Informationen angezeigt werden.

Im Dashboard Data Ingestion and Health (Datenaufnahme und ‑integrität) können Sie die folgenden Visualisierungen aufrufen:

  • Der im Dashboard konfigurierte globale Zeitfilter wird auf die folgenden Visualisierungen angewendet:

    • Anzahl der aufgenommenen Ereignisse: Die Gesamtzahl der aufgenommenen Ereignisse.
    • Verteilung der Logtypen nach Durchsatz: Hier wird die Verteilung der Logtypen basierend auf dem Durchsatz angezeigt.
    • Durchsatz: Hier wird der Erfassungsdurchsatz angezeigt.
    • Verteilung der Logtypen nach Anzahl der Ereignisse: Hier wird die Verteilung der Logtypen basierend auf der Anzahl der Ereignisse für jeden Logtyp dargestellt.
    • Anzahl der Erfassungsfehler: Hier wird die Gesamtzahl der Fehler angezeigt, die während der Erfassung aufgetreten sind.
    • Aufnahme – Ereignisse nach Status: Hier wird eine Tabelle mit Ereignissen nach Status angezeigt, die nach Spalte sortiert werden kann: Datum, Aufgenommene Logs, Normalisierte Ereignisse, Parsing-Fehler, Validierungsfehler, Indexierungsfehler.
    • Diagramm für Burst-Limit – Aufnahmerate: Zeigt die stündliche Log-Aufnahmerate im Zeitverlauf an (siehe Burst-Limits).
    • Diagramm für Spitzenlastlimit – Kontingentlimit: Hier wird das stündliche Kontingent für die Protokollaufnahme im Zeitverlauf dargestellt (siehe Spitzenlastlimits).
    • Diagramm für das Ablehnen von Bursts: Hier wird das stündliche Volumen der Logs im Zeitverlauf angezeigt, die aufgrund einer Überschreitung des Burst-Limits abgelehnt wurden (siehe Burst-Limits).
    • Aufnahme – Ereignisse nach Protokolltyp: Hier werden Ereignisse nach Protokolltyp angezeigt. Die Tabelle kann nach den folgenden Spalten sortiert werden: Protokolltyp, Aufgenommener Durchsatz, Aufgenommene Protokolle, Normalisierte Ereignisse, Parsing-Fehler, Validierungsfehler, Indexierungsfehler.
    • Bindplane Agent Logging – Logs by Severity over Time (Bindplane-Agent-Logging – Logs nach Schweregrad im Zeitverlauf): Hier wird die Anzahl der Logs nach Schweregrad im Zeitverlauf angezeigt. Das Dashboard zeigt diese Visualisierung nur an, wenn in Google SecOps Logs von einem Bindplane-Agent aufgenommen werden.
    • Bindplane Agent Logging – Message Count (Bindplane Agent-Protokollierung – Anzahl der Nachrichten): Hier wird die Anzahl der Protokolle nach Nachrichtentext angezeigt. Die Spalten Severity (Schweregrad), Message (Nachricht), Total (Insgesamt), First Seen (Erstmals gesehen) und Last Seen (Zuletzt gesehen) können sortiert werden. Das Dashboard zeigt diese Visualisierung nur an, wenn in Google SecOps Logs von einem Bindplane-Agent aufgenommen werden.

  • Die Zeiträume für die folgenden Visualisierungen sind vorausgewählt. Der globale Zeitfilter wird nicht auf sie angewendet:

    • Zuletzt aufgenommene Ereignisse: Hier werden die zuletzt aufgenommenen Ereignisse für jeden Logtyp angezeigt.
    • Tägliche Log-Informationen: Hier wird die Anzahl der Logs für einen Tag für jeden Logtyp angezeigt.
    • Ereignisanzahl (letzte 24 Stunden) und Ereignisgröße (letzte 24 Stunden): Hier werden die Ereignisanzahl und die Ereignisgrößen für die letzten 24 Stunden angezeigt.
    • Ereignisanzahl (letzte 7 Tage) und Ereignisgröße (letzte 7 Tage): Hier werden die Ereignisanzahl und die Ereignisgrößen für die letzten 7 Tage angezeigt.
    • Ereignisanzahl (letzte 3 Monate) und Ereignisgröße (letzte 3 Monate): Hier werden die Ereignisanzahl und die Ereignisgrößen für die letzten 3 Monate angezeigt.
    • Aufnahme – Durchsatz (stündlich): Hier wird der stündliche Aufnahmedurchsatz angezeigt.
    • Ingestion - Throughput Weekly (Aufnahme – Wöchentlicher Durchsatz): Hier wird der wöchentliche Aufnahmedurchsatz angezeigt.
    • Aufnahme – Durchsatz (letzte 6 Monate): Hier wird der Aufnahmedurchsatz der letzten 6 Monate angezeigt.
    • Aufnahme – Durchsatz (Gesamtzeitraum): Hier wird der Aufnahmedurchsatz pro Jahr für den gesamten Zeitraum angezeigt, für den Daten vorhanden sind.
    • Anzahl der Tage seit dem letzten gemeldeten Ereignis durch den Host (letzte 7 Tage): Hier wird die Anzahl der Tage seit dem letzten gemeldeten Ereignis durch den Host (in den letzten 7 Tagen) angezeigt.

Dashboard „IoC-Übereinstimmungen“

Das Dashboard „IoC-Übereinstimmungen“ bietet Einblick in die in Ihrem Unternehmen vorhandenen IoCs.

Im Dashboard IoC-Übereinstimmungen sind die folgenden Visualisierungen verfügbar:

  • IoC Matches Over Time by Category (IoC-Übereinstimmungen im Zeitverlauf nach Kategorie): Hier wird die Anzahl der IoC-Übereinstimmungen nach Kategorie angezeigt.
  • Top 10 Domains IoC indicators (Top 10 Domains – IoC-Indikatoren): Hier werden die zehn wichtigsten IoC-Indikatoren für Domains und ihre Anzahl aufgeführt.
  • Top 10 IP-IoC-Indikatoren: Hier werden die 10 wichtigsten IP-Adressen-IoC-Indikatoren und ihre Anzahl aufgeführt.
  • Top 10 Assets nach IoC-Übereinstimmungen: Hier werden die zehn Assets mit den meisten IoC-Übereinstimmungen sowie die Anzahl der Übereinstimmungen aufgeführt.
  • Top 10 IoC-Übereinstimmungen nach Kategorie, Typ und Anzahl: Hier werden die 10 wichtigsten IoC-Übereinstimmungen nach Kategorie, Typ und Anzahl aufgeführt.
  • Top 10 IoC Values (Top 10 IoC-Werte): Hier werden die zehn wichtigsten IoC-Werte zusammen mit der Anzahl aufgeführt.
  • Top 10 der seltenen Werte: Hier werden die 10 seltensten IoC-Übereinstimmungen und ihre Anzahl aufgeführt.

Die Visualisierungen IoC Matches (IoC-Übereinstimmungen) enthalten den Event Timestamp Filter (Zeitstempelfilter für Ereignisse) unter Nur-Filter-Felder.

Dashboard „Regelerkennungen“

Das Dashboard Regelerkennungen bietet Einblick in die von Regeln der Erkennungs-Engine zurückgegebenen Erkennungen. Damit Sie Erkennungen erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Im Dashboard Regelerkennungen sind die folgenden Visualisierungen verfügbar:

  • Regelerkennungen im Zeitverlauf: Hier wird die Anzahl der Regelerkennungen über einen bestimmten Zeitraum hinweg angezeigt.
  • Regelerkennungen nach Schweregrad: Hier wird der Schweregrad der Regelerkennungen angezeigt.
  • Regelerkennungen nach Schweregrad im Zeitverlauf: Hier wird die tägliche Anzahl der Erkennungen nach Schweregrad im Zeitverlauf angezeigt.
  • Die 10 Regelnamen mit den meisten erkannten Verstößen: Hier werden die 10 Regeln mit der größten Anzahl an erkannten Verstößen aufgeführt.
  • Regelerkennungen nach Name im Zeitverlauf: Hier werden die Regeln angezeigt, die täglich Erkennungen zurückgegeben haben, sowie die Anzahl der zurückgegebenen Erkennungen.
  • Top 10 Users by Rule Detections (Top 10 der Nutzer nach Regelerkennungen): Hier werden die zehn wichtigsten Nutzer-IDs aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.
  • Top 10 Asset-Namen nach Regelerkennungen: Hier werden die zehn wichtigsten Asset-Namen aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben, z. B. Hostname.
  • Top 10 IPs by Rule Detections (Top 10 IPs nach Regelerkennungen): Hier werden die 10 wichtigsten IP-Adressen aufgeführt, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.

Übersichts-Dashboard für die Nutzeranmeldung

Das Dashboard Übersicht zur Nutzeranmeldung bietet Einblicke in die Nutzer, die sich in Ihrem Unternehmen anmelden. Diese Informationen können nützlich sein, um Versuche von böswilligen Akteuren zu verfolgen, auf Ihr Unternehmen zuzugreifen.

So stellen Sie möglicherweise fest, dass ein bestimmter Nutzer versucht hat, von einem Land aus auf Ihr Unternehmen zuzugreifen, in dem Sie keine Niederlassung haben, oder dass ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zugreift.

Im Dashboard Nutzeranmeldung – Übersicht sind die folgenden Visualisierungen verfügbar:

  • Anzahl der erfolgreichen Anmeldungen: Hier wird die Gesamtzahl der erfolgreichen Anmeldungen angezeigt.
  • Anzahl der fehlgeschlagenen Anmeldungen: Hier wird die Gesamtzahl der fehlgeschlagenen Anmeldungen angezeigt.
  • Anmeldungen nach Status: Hier sehen Sie die Aufschlüsselung der erfolgreichen und fehlgeschlagenen Anmeldungen.
  • Anmeldungen nach Status im Zeitverlauf: Hier wird die Aufschlüsselung der erfolgreichen und fehlgeschlagenen Anmeldungen im ausgewählten Zeitraum angezeigt.
  • Top 10 Applications By Sign Ins (Top 10 der Anwendungen nach Anmeldungen): Hier wird die Aufschlüsselung der 10 am häufigsten verwendeten Anwendungen nach der Anzahl der Anmeldungen angezeigt.
  • Anmeldungen nach Anwendung: Hier wird die Anzahl der Anmeldestatus für jede Anwendung aufgeführt. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ermittelt, die Sie im Feld security_result.action definieren. Siehe Aufzählungstypen für Ereignisse.
  • Top 10 Länder nach Anmeldungen: Hier wird die Anzahl der Anmeldungen aus den 10 Ländern mit den meisten Anmeldungen angezeigt.
  • Anmeldungen nach Land: Hier wird die Anzahl aller Länder angezeigt, aus denen sich Nutzer angemeldet haben.
  • Die 10 häufigsten Anmeldungen nach IP-Adresse: Hier werden die 10 häufigsten IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
  • Karte mit Anmeldestandorten: Hier werden die Standorte von IP-Adressen angezeigt, über die sich Nutzer angemeldet haben.
  • Top 10 Nutzer nach Anmeldestatus: Hier wird die Anzahl der Anmeldestatus für jeden Nutzer angezeigt. Die Anzahl der einzelnen Anwendungen wird anhand der Logdaten ermittelt, die Sie im Feld security_result.action definieren. Siehe Aufzählungstypen für Ereignisse.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten