Información general sobre los paneles de control

Usa los paneles de control de SIEM de Google Security Operations para ver y analizar los datos de SIEM de Google Security Operations, como la telemetría de seguridad, las métricas de ingestión, las detecciones, las alertas y los IoCs. Estos paneles se basan en las funciones de Looker.

Google Security Operations SIEM te ofrece varios paneles predeterminados, que se describen en este documento. También puede crear paneles de control personalizados.

Paneles de control predeterminados

Haz clic en Paneles de control para abrir la página Paneles de control.

Los paneles de control predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia de SIEM de Google Security Operations. Estos paneles se han diseñado para un caso de uso específico, como comprender el estado del sistema de ingestión de datos de SIEM de Google Security Operations o monitorizar el estado de las amenazas en tu empresa.

Cada panel de control predeterminado incluye un filtro de periodo que le permite ver los datos de un periodo concreto. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puede usar el filtro para ver los datos de la última semana o de un periodo concreto.

Google Security Operations SIEM proporciona los siguientes paneles de control predeterminados:

• Principal
• Detección y respuesta en la nube
• Detecciones contextuales: riesgo
• Ingestión y estado de los datos
• Coincidencias de IoCs
• Detecciones de reglas
• Resumen de inicio de sesión de usuarios

Panel principal

El panel de control Principal muestra información sobre el estado del sistema de ingestión de datos de SIEM de Google Security Operations. También incluye un mapa mundial que destaca la ubicación geográfica de los IoCs detectados en tu empresa.

En el panel de control Principal, puedes ver las siguientes visualizaciones:

• Eventos ingeridos: el número total de eventos ingeridos.
• Rendimiento: el volumen de datos que se ingiere en un periodo concreto.
• Alertas: número total de detecciones que se han producido durante un periodo. El número de alertas que se muestra en la página Alertas e IoCs puede ser diferente, ya que esta página solo muestra las alertas actuales. Para obtener más información, consulta el artículo Ver alertas.
• Eventos a lo largo del tiempo: un gráfico de columnas que muestra los eventos que se han producido durante un periodo.
• Mapa de amenazas global: coincidencias de IP de IoC: la ubicación desde la que se han producido eventos de coincidencia de indicadores de compromiso (IoC).

Panel de control "Resumen de detección y respuesta en la nube"

El panel de control Detección y respuesta en la nube te ayuda a monitorizar el estado de seguridad de tu entorno de nube e investigar posibles amenazas. El panel de control muestra visualizaciones que le ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Hora te permite filtrar los datos por periodo.

El filtro Tipo de registro de GCP le permite filtrar los datos por Google Cloud tipo de registro.

En el panel de control Resumen de detección y respuesta de Cloud, puede ver las siguientes visualizaciones:

• Conjuntos de reglas de CDIR habilitados: muestra el porcentaje de conjuntos de reglas de SIEM de Google Security Operations habilitados en tu entorno de nube del total de conjuntos de reglas proporcionados por GCTI para los usuarios de SIEM de Google Security Operations. GCTI proporciona varias reglas predefinidas. Puedes habilitar o inhabilitar estos conjuntos de reglas.

• Fuentes de datos de GCP cubiertas: muestra el porcentaje de fuentes de datos cubiertas del total de fuentes de datos disponibles. Google Cloud Por ejemplo, si puede ingerir datos usando 40 tipos de registro, pero solo envía datos de 20, la baldosa mostrará un 50%.

• Alertas de CDIR: muestra el número de alertas activadas por las reglas de tus conjuntos de reglas de GCTI o por las amenazas de Cloud. Puede usar el filtro Tiempo para definir el número de días durante los que se mostrarán estos datos.

• Alertas recientes: muestra las alertas recientes con su gravedad y su puntuación de riesgo. Puede ordenar la tabla mediante la columna Marca de tiempo del evento y desplazarse a cada alerta para obtener más información. Proporciona el número de resultados de seguridad agregados mejorados por Security Command Center. Estos resultados de seguridad se generan a partir de conjuntos de reglas de detección seleccionados por GCTI y se clasifican por tipo de resultado. Puede usar el filtro Tiempo para definir el número de días durante los que se mostrarán estos datos.

• Alertas por gravedad a lo largo del tiempo: muestra el total de alertas por gravedad y las tendencias a lo largo del tiempo. Puede usar el filtro Hora para definir el número de días durante los que se muestran estos datos.

• Cobertura de detección: proporciona información sobre los conjuntos de reglas de SIEM de Google Security Operations y su estado, el número total de detecciones y la fecha de la detección más reciente. Puede usar el filtro Hora para definir el número de días durante los que se mostrarán estos datos.

• Cobertura de datos de Cloud: proporciona información sobre todos los servicios disponibles, Google Cloud los analizadores que cubren cada servicio, el primer evento visto, el último evento visto y el rendimiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Información general sobre la categoría Amenazas de Cloud.

Después de la tabla, se muestran gráficos de todos los Google Cloud servicios con sus datos asociados, que muestran su tendencia de ingesta en los siguientes intervalos de tiempo:

• Últimas 24 horas
• Últimos 30 días
• Últimos seis meses

Detecciones contextuales: panel de control de riesgos

El panel de control Detecciones contextuales: riesgo proporciona información valiosa sobre el estado de amenaza actual de los recursos y los usuarios de tu empresa. Se crea a partir de los campos de la interfaz de exploración Detecciones de reglas.

Los valores de gravedad y de puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta la sección Sintaxis de la sección Outcome. En cada panel, los datos se ordenan en función de la gravedad y, a continuación, de la puntuación de riesgo para identificar a los usuarios y los activos que corren más riesgo.

En el panel de control Detecciones contextuales: riesgo, puede ver las siguientes visualizaciones:

• Recursos y dispositivos en riesgo: muestra los 10 recursos principales en función de la gravedad que hayas definido en Meta > Gravedad. Consulta la sintaxis de la sección Meta. Los niveles de gravedad son Muy alta, Crítica, Alta, Grande, Media y Baja. Si el valor hostname no está presente en el registro, se muestra la dirección IP.
• Usuarios en riesgo: muestra los 10 usuarios principales en función de la gravedad. Los niveles de gravedad son Muy alta, Crítica, Alta, Grande, Media y Baja. Si el valor username no está presente en el registro, se muestra el ID de correo electrónico.
• Riesgo agregado: muestra la puntuación de riesgo total agregada de cada fecha.
• Resultados de detección: muestra detalles sobre las detecciones devueltas por las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Ingestión de datos y panel de control de estado

El panel de control Ingestión de datos y estado proporciona información sobre el tipo, el volumen y el estado de los datos que se están ingiriendo en tu arrendatario de SIEM de Google Security Operations. Puede usar este panel de control para monitorizar anomalías en su entorno.

Este panel de control ofrece visualizaciones que te ayudan a comprender el volumen de registros insertados, los errores de inserción y otra información relevante. Los datos del panel de control se actualizan cada 15 minutos, por lo que es posible que tengas que esperar hasta 15 minutos para ver la información más reciente.

En el panel de control Ingestión de datos y estado, puede ver las siguientes visualizaciones:

• El filtro de tiempo global configurado en el panel de control se aplica a las siguientes visualizaciones:

  • Número de eventos insertados: muestra el número total de eventos insertados.
  • Distribución de tipos de registro por rendimiento: muestra la distribución de los tipos de registro en función del rendimiento.
  • Rendimiento: muestra el rendimiento de la ingesta.
  • Distribución de tipos de registro por recuento de eventos: muestra la distribución de los tipos de registro en función del número de eventos de cada tipo de registro.
  • Recuento de errores de ingesta: muestra el número total de errores detectados durante la ingesta.
  • Ingestión: eventos por estado: muestra una tabla con eventos en función de su estado, que se puede ordenar por columna: Fecha, Registros ingeridos, Eventos normalizados, Errores de análisis, Errores de validación y Errores de indexación.
  • Gráfico de límite de ráfaga: tasa de ingestión. Muestra la tasa de ingestión de registros por hora a lo largo del tiempo (consulta Límites de ráfaga).
  • Gráfico de límite de ráfaga: límite de cuota: muestra la cuota de ingesta de registros por hora a lo largo del tiempo (consulta Límites de ráfaga).
  • Gráfico de rechazo de picos: muestra el volumen por horas a lo largo del tiempo de los registros que se han rechazado por superar el límite de picos (consulta Límites de picos).
  • Ingestión: eventos por tipo de registro: muestra los eventos en función del tipo de registro. Se pueden ordenar por columna: Tipo de registro, Rendimiento de ingestión, Registros ingeridos, Eventos normalizados, Errores de análisis, Errores de validación y Errores de indexación.
  • Registro del agente de Bindplane: registros por gravedad a lo largo del tiempo: muestra el número de registros por gravedad a lo largo del tiempo. El panel de control muestra esta visualización solo cuando Google SecOps ingiere registros de un agente de Bindplane.
  • Registro del agente de Bindplane: recuento de mensajes: muestra el número de registros por texto de mensaje. Se puede ordenar por columna: Gravedad, Mensaje, Total, Primera vez que se ha visto y Última vez que se ha visto. El panel de control muestra esta visualización solo cuando Google SecOps ingiere registros de un agente de Bindplane.

• Los periodos de las siguientes visualizaciones están preseleccionados (el filtro de tiempo global no se aplica a ellos):

  • Eventos ingeridos recientemente: muestra los eventos ingeridos recientemente de cada tipo de registro.
  • Información de registro diario: muestra el número de registros de un día para cada tipo de registro.
  • Número de eventos (últimas 24 horas) y Tamaño de los eventos (últimas 24 horas): muestran el número y el tamaño de los eventos de las últimas 24 horas.
  • Recuento de eventos (últimos 7 días) y Tamaño de los eventos (últimos 7 días): muestran el recuento y el tamaño de los eventos de los últimos 7 días.
  • Recuento de eventos (últimos 3 meses) y Tamaño de los eventos (últimos 3 meses): muestran el recuento y el tamaño de los eventos de los últimos 3 meses.
  • Ingestión: rendimiento por hora: muestra el rendimiento de la ingestión por hora.
  • Ingestión: rendimiento semanal: muestra el rendimiento de la ingestión semanal.
  • Ingestión: rendimiento (últimos 6 meses): muestra el rendimiento de la ingestión de los últimos 6 meses.
  • Ingestión - Rendimiento (histórico): muestra el rendimiento de la ingestión por año durante todo el tiempo que haya datos.
  • Número de días desde que el host ha informado de un evento (últimos 7 días): muestra el número de días desde que los hosts han informado de un evento (en los últimos 7 días).

Panel de control Coincidencias de IoC

El panel de control Coincidencias de IoCs ofrece visibilidad de los IoCs presentes en tu empresa.

En el panel de control Coincidencias de IoCs, puedes ver las siguientes visualizaciones:

• Coincidencias de IoCs a lo largo del tiempo por categoría: muestra el número de coincidencias de IoCs en función de su categoría.
• Indicadores de compromiso de los 10 dominios principales: muestra los 10 indicadores de compromiso de dominio principales y sus recuentos.
• Principales 10 indicadores de IoC de IP: muestra los 10 principales indicadores de IoC de direcciones IP y sus recuentos.
• Los 10 recursos principales por coincidencias de IoCs: muestra los 10 recursos principales por coincidencias de IoCs y sus recuentos.
• Las 10 coincidencias de IoCs principales por categoría, tipo y recuento: muestra las 10 coincidencias de IoCs principales por categoría, tipo y recuento.
• Los 10 valores de IoC principales: muestra los 10 valores de IoC principales junto con el recuento.
• Los 10 valores que se ven con menos frecuencia: muestra los 10 IoCs que se han encontrado con menos frecuencia y el número de veces que se han encontrado.

Las visualizaciones de Coincidencias de IoCs incluyen el Filtro de marca de tiempo de evento en Campos solo para filtros.

Panel de control Detecciones de reglas

El panel de control Detecciones de reglas proporciona información valiosa sobre las detecciones devueltas por las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Aplicar una regla a datos activos.

En el panel de control Detecciones de reglas, puede ver las siguientes visualizaciones:

• Detecciones de reglas a lo largo del tiempo: muestra el número de detecciones de reglas durante un periodo.
• Detecciones de reglas por gravedad: muestra la gravedad de las detecciones de reglas.
• Detecciones de reglas por gravedad a lo largo del tiempo: muestra el recuento diario de detecciones por gravedad a lo largo del tiempo.
• Los 10 nombres de reglas principales por detecciones: muestra las 10 reglas que devuelven el mayor número de detecciones.
• Detecciones de reglas por nombre a lo largo del tiempo: muestra las reglas que han devuelto detecciones cada día y el número de detecciones devueltas.
• Los 10 usuarios principales por detecciones de reglas: muestra los 10 identificadores de usuario principales que han aparecido en eventos que han activado detecciones.
• Los 10 nombres de recursos principales por detecciones de reglas: muestra los 10 nombres de recursos principales que han aparecido en eventos que han activado detecciones, como el nombre de host.
• Las 10 IPs principales por detecciones de reglas: muestra las 10 direcciones IP principales que han aparecido en eventos que han activado detecciones.

Panel de control de resumen de inicio de sesión de usuario

El panel de control Resumen de inicio de sesión de usuarios ofrece información valiosa sobre los usuarios que inician sesión en tu empresa. Esta información puede ser útil para monitorizar los intentos de agentes maliciosos de acceder a tu empresa.

Por ejemplo, puede que un usuario concreto haya intentado acceder a su empresa desde un país en el que no tiene ninguna oficina o que un usuario específico parezca acceder repetidamente a una aplicación de contabilidad.

En el panel de control Resumen de inicio de sesión de usuario, puede ver las siguientes visualizaciones:

• Número de inicios de sesión correctos: muestra el número total de inicios de sesión correctos.
• Número de inicios de sesión fallidos: muestra el número total de inicios de sesión fallidos.
• Inicios de sesión por estado: muestra el desglose de los inicios de sesión correctos y fallidos.
• Inicios de sesión por estado a lo largo del tiempo: muestra la división de los inicios de sesión correctos y fallidos en el periodo seleccionado.
• Las 10 aplicaciones principales por inicios de sesión: muestra el desglose de las 10 aplicaciones más frecuentes en función del número de inicios de sesión.
• Inicios de sesión por aplicación: muestra el número de estados de inicio de sesión de cada aplicación. El recuento de cada aplicación se basa en los datos de registro que definas en el campo security_result.action. Consulta los tipos enumerados de eventos.
• 10 principales países por inicios de sesión: muestra el número de los 10 principales países desde los que los usuarios han iniciado sesión.
• Inicios de sesión por país: muestra el recuento de todos los países desde los que los usuarios han iniciado sesión.
• 10 inicios de sesión principales por IP: muestra las 10 direcciones IP principales desde las que han iniciado sesión los usuarios.
• Mapa de ubicación de inicio de sesión: muestra las ubicaciones de las direcciones IP desde las que han iniciado sesión los usuarios.
• Los 10 usuarios principales por estado de inicio de sesión: muestra el número de estados de inicio de sesión de cada usuario. El recuento de cada aplicación se basa en los datos de registro que definas en el campo security_result.action. Consulta los tipos enumerados de eventos.

Siguientes pasos

• Consulta cómo crear un panel de control personalizado.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.