Descripción general de los paneles

Compatible con:

Usa los paneles de SIEM de Google Security Operations para ver y analizar los datos en el SIEM de Google Security Operations, incluidos los datos de telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IoC. Estos paneles se basan en las capacidades de Looker.

Google Security Operations SIEM te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Haz clic en Paneles para abrir la página Paneles.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia del SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos de SIEM de Operaciones de seguridad de Google o supervisar el estado de las amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de período que te permite ver los datos de un período específico. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la semana anterior o de un período específico.

Google Security Operations SIEM proporciona los siguientes paneles predeterminados:

Panel principal

En el panel Principal, se muestra información sobre el estado del sistema de transferencia de datos del SIEM de Google Security Operations. También incluye un mapa global en el que se destaca la ubicación geográfica de los IoC detectados en tu empresa.

En el panel Principal, puedes ver las siguientes visualizaciones:

  • Eventos transferidos: Es la cantidad total de eventos transferidos.
  • Capacidad de procesamiento: Es el volumen de datos que se transfieren para un período específico.
  • Alertas: Es la cantidad total de detecciones que se produjeron durante un período. La cantidad de alertas que se muestran en la página Alertas y IoC puede ser diferente, ya que esta página solo muestra las alertas actuales. Para obtener más información, consulta Cómo ver las alertas.
  • Eventos a lo largo del tiempo: Es un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
  • Mapa global de amenazas: coincidencias de IP de IoC: Es la ubicación desde la que se produjeron los eventos de coincidencia de indicadores de compromiso (IoC).

Panel general de Cloud Detection and Response

El panel de Cloud Detection and Response te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por Google Cloud tipo de registro.

Puedes ver las siguientes visualizaciones en el panel Cloud Detection and Response Overview:

  • CDIR Rulesets Enabled: Muestra el porcentaje de conjuntos de reglas del SIEM de Operaciones de seguridad de Google habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona el GCTI para los usuarios del SIEM de Operaciones de seguridad de Google. GCTI proporciona varias reglas seleccionadas preempaquetadas. Puedes habilitar o inhabilitar estos conjuntos de reglas.

  • Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas del total de fuentes de datos Google Clouddisponibles. Por ejemplo, si puedes transferir datos con 40 tipos de registros, pero solo envías datos de 20, la tarjeta mostrará un 50%.

  • Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla con la columna Marca de tiempo del evento y navegar a cada alerta para obtener más información. Proporciona la cantidad de hallazgos de seguridad agregados mejorados por Security Command Center. Estos resultados de seguridad se generan a partir de conjuntos de reglas de detección seleccionados por el GCTI y se categorizan por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Alerts by Severity Over Time: Muestra el total de alertas por gravedad a lo largo del tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Cobertura de detección: Proporciona información sobre los conjuntos de reglas del SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Cobertura de datos de Cloud: Proporciona información sobre todos los servicios Google Clouddisponibles, los analizadores que cubren cada servicio, el primer evento detectado, el último evento detectado y el rendimiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría Amenazas de Cloud.

Después de la tabla, se muestran gráficos de todos los servicios de Google Cloud con sus datos asociados que muestran su tendencia de transferencia durante los siguientes intervalos:

  • Últimas 24 horas
  • Últimos 30 días
  • Últimos seis meses

Detecciones adaptadas al contexto: panel de riesgo

El panel Context Aware Detections - Risk proporciona estadísticas sobre el estado actual de amenaza de los activos y los usuarios de tu empresa. Se crea con los campos de la interfaz de exploración Rule Detections.

Los valores de gravedad y de puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se ordenan según la gravedad y, luego, según la puntuación de riesgo para identificar a los usuarios y los activos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Context Aware Detections - Risk:

  • Recursos y dispositivos en riesgo: Enumera los 10 recursos principales según la gravedad que estableciste para la regla en Meta > Gravedad. Consulta Sintaxis de la sección Meta. Los niveles de gravedad son Súper alta, Crítica, Alta, Grande, Media y Baja. Si el valor hostname no está presente en el registro, se muestra la dirección IP.
  • Usuarios en riesgo: Muestra los 10 usuarios principales según la gravedad. Los niveles de gravedad son Súper alta, Crítica, Alta, Grande, Media y Baja. Si el valor username no está presente en el registro, se muestra el ID de correo electrónico.
  • Aggregate Risk: Para cada fecha, muestra la puntuación de riesgo total agregada.
  • Resultados de detección: Muestra detalles sobre las detecciones que devolvieron las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Tablero de Transferencia de datos y estado

El panel Transferencia y estado de los datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu arrendatario del SIEM de Google Security Operations. Puedes usar este panel para supervisar las anomalías en tu entorno.

En este panel, se proporcionan visualizaciones que te ayudan a comprender el volumen de registros ingeridos, los errores de ingesta y otra información pertinente. Los datos del panel se actualizan cada 15 minutos, por lo que es posible que debas esperar hasta 15 minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Ingesta y estado de los datos:

  • El filtro de tiempo global configurado en el panel se aplica a las siguientes visualizaciones:

    • Recuento de eventos transferidos: Muestra la cantidad total de eventos transferidos.
    • Distribución del tipo de registro por rendimiento: Muestra la distribución de los tipos de registro según el rendimiento.
    • Capacidad de procesamiento: Muestra la capacidad de procesamiento de la transferencia de datos.
    • Distribución de tipos de registros por recuento de eventos: Muestra la distribución de los tipos de registros según la cantidad de eventos para cada tipo de registro.
    • Recuento de errores de transferencia: Muestra la cantidad total de errores detectados durante la transferencia.
    • Ingestion - Events by Status: Muestra una tabla con eventos según su estado, que se puede ordenar por columna: Date, Ingested Logs, Normalized Events, Parsing Errors, Validation Errors, Indexing Errors.
    • Gráfico de límite de ráfaga: Tasa de transferencia: Muestra la tasa de transferencia de registros por hora a lo largo del tiempo (consulta Límites de ráfaga).
    • Gráfico de límite de ráfaga: Límite de cuota: Muestra la cuota de transferencia de registros por hora a lo largo del tiempo (consulta Límites de ráfaga).
    • Gráfico de rechazo de ráfagas: Muestra el volumen por hora a lo largo del tiempo de los registros que se rechazaron por exceder el límite de ráfagas (consulta Límites de ráfagas).
    • Ingestion - Events by Log Type: Muestra los eventos según el tipo de registro, que se pueden ordenar por columna: Log type, Ingested Throughput, Ingested logs, Normalized Events, Parsing Errors, Validation Errors, Indexing Errors.
    • Bindplane Agent Logging - Logs by Severity over Time: Muestra la cantidad de registros por gravedad a lo largo del tiempo. El panel muestra esta visualización solo cuando tu equipo de SecOps de Google ingiere registros de un agente de Bindplane.
    • Bindplane Agent Logging - Message Count: Muestra la cantidad de registros por texto del mensaje, que se pueden ordenar por columna: Severity, Message, Total, First Seen y Last Seen. El panel muestra esta visualización solo cuando tu equipo de SecOps de Google ingiere registros de un agente de Bindplane.

  • Los períodos de las siguientes visualizaciones están preseleccionados (el filtro de período global no se aplica a ellos):

    • Recently Ingested Events: Muestra los eventos transferidos recientemente para cada tipo de registro.
    • Daily Log Information: Muestra la cantidad de registros de un día para cada tipo de registro.
    • Recuento de eventos (últimas 24 horas) y Tamaño del evento (últimas 24 horas): Muestran los recuentos y los tamaños de los eventos de las últimas 24 horas.
    • Recuento de eventos (últimos 7 días) y Tamaño del evento (últimos 7 días): Muestran los recuentos y los tamaños de los eventos de los últimos 7 días.
    • Recuento de eventos (últimos 3 meses) y Tamaño del evento (últimos 3 meses): Muestran los recuentos y los tamaños de los eventos de los últimos 3 meses.
    • Ingestion - Throughput Hourly: Muestra la capacidad de procesamiento de la transferencia por hora.
    • Ingestion - Throughput Weekly: Muestra el rendimiento de la transferencia de datos semanal.
    • Ingestion - Throughput (Last 6 months): Muestra el rendimiento de la transferencia de los últimos 6 meses.
    • Ingestion - Throughput (All-Time): Muestra el procesamiento de transferencia por año para todo el período en el que hay datos.
    • Cantidad de días desde que el host informó un evento (últimos 7 días): Muestra la cantidad de días desde que los hosts informaron un evento (en los últimos 7 días).

Panel de coincidencias de IOC

El panel IoC Matches proporciona visibilidad sobre los IoC presentes en tu empresa.

En el panel IoC Matches, puedes ver las siguientes visualizaciones:

  • IoC Matches Over Time by Category: Muestra la cantidad de coincidencias de IoC según su categoría.
  • Top 10 Domains IoC indicators: Enumera los 10 indicadores de IoC de dominio principales y sus recuentos.
  • Top 10 IP IoC Indicators: Muestra los 10 principales indicadores de IoC de direcciones IP y sus recuentos.
  • Top 10 Assets by IoC Matches: Enumera los 10 activos principales por coincidencias de IoC y sus recuentos.
  • Las 10 coincidencias de IoC principales por categoría, tipo y recuento: Muestra las 10 coincidencias de IoC principales por categoría, tipo y sus recuentos.
  • Top 10 IoC Values: Muestra los 10 principales valores de IoC junto con el recuento.
  • Top 10 Rarely Seen Values: Enumera las 10 coincidencias de IoC que ocurren con menos frecuencia y sus recuentos.

Las visualizaciones de IoC Matches incluyen el Event Timestamp Filter en Filter-only fields.

Panel de Rule Detections

El panel Rule Detections proporciona estadísticas sobre las detecciones que devuelven las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Cómo ejecutar una regla en datos activos.

Puedes ver las siguientes visualizaciones en el panel Rule Detections:

  • Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas durante un período.
  • Detecciones de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
  • Detecciones de reglas por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad a lo largo del tiempo.
  • Top 10 Rule Names by Detections: Enumera las 10 reglas principales que muestran la mayor cantidad de detecciones.
  • Detecciones de reglas por nombre a lo largo del tiempo: Muestra las reglas que devolvieron detecciones cada día y la cantidad de detecciones devueltas.
  • Top 10 Users by Rule Detections: Enumera los 10 principales identificadores de usuario que aparecieron en los eventos que activaron detecciones.
  • Los 10 principales nombres de recursos por detecciones de reglas: Enumera los 10 principales nombres de recursos que aparecieron en eventos que activaron detecciones, como el nombre de host.
  • Las 10 principales IPs por detecciones de reglas: Enumera las 10 principales direcciones IP que aparecieron en los eventos que activaron las detecciones.

Panel de descripción general del acceso del usuario

El panel Resumen de acceso de usuarios proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de agentes maliciosos para acceder a tu empresa.

Por ejemplo, es posible que descubras que un usuario en particular intentó acceder a tu empresa desde un país en el que no tienes una oficina o que un usuario específico parece acceder repetidamente a una aplicación de contabilidad.

En el panel User Sign In Overview, puedes ver las siguientes visualizaciones:

  • Cantidad de accesos exitosos: Muestra la cantidad total de accesos exitosos.
  • Cantidad de errores de acceso: Muestra la cantidad total de errores de acceso.
  • Sign Ins By Status: Muestra la división de los accesos exitosos y fallidos.
  • Sign Ins by Status Over Time: Muestra la división de los accesos exitosos y fallidos durante el período.
  • Top 10 Applications By Sign Ins: Muestra la división de las 10 aplicaciones más frecuentes según la cantidad de accesos.
  • Sign Ins By Application: Muestra la cantidad de estados de acceso para cada aplicación. El recuento de cada aplicación se completa en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.
  • Los 10 países principales por accesos: Muestra el recuento de los 10 países principales desde los que accedieron los usuarios.
  • Sign Ins by Country: Muestra el recuento de todos los países desde los que accedieron los usuarios.
  • Top 10 Sign Ins By IP: Muestra las 10 principales direcciones IP desde las que accedieron los usuarios.
  • Mapa de ubicación de acceso: Muestra las ubicaciones de las direcciones IP desde las que accedieron los usuarios.
  • Los 10 usuarios principales por estado de acceso: Muestra el recuento del estado de acceso de cada usuario. El recuento de cada aplicación se completa en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.