Ringkasan dasbor

Didukung di:

Gunakan dasbor SIEM Google Security Operations untuk melihat dan menganalisis data di SIEM Google Security Operations, termasuk telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, dan IoC. Dasbor ini didasarkan pada kemampuan Looker.

SIEM Google Security Operations menyediakan beberapa dasbor default untuk Anda, yang dijelaskan dalam dokumen ini. Anda juga dapat membuat dasbor kustom.

Dasbor default

Klik Dasbor untuk membuka halaman Dasbor.

Dasbor default berisi visualisasi standar data yang disimpan dalam instance SIEM Google Security Operations Anda. Dasbor ini dirancang untuk kasus penggunaan tertentu, seperti memahami status sistem penyerapan data SIEM Google Security Operations atau memantau status ancaman di perusahaan Anda.

Setiap dasbor default menyertakan filter rentang waktu yang memungkinkan Anda melihat data untuk jangka waktu tertentu. Hal ini dapat berguna saat memecahkan masalah atau mengidentifikasi tren. Misalnya, Anda dapat menggunakan filter untuk melihat data selama seminggu terakhir atau selama rentang waktu tertentu.

SIEM Google Security Operations menyediakan dasbor default berikut:

Dasbor utama

Dasbor Utama menampilkan informasi tentang status sistem penyerapan data SIEM Google Security Operations. Laporan ini juga mencakup peta global yang menandai lokasi geografis IoC yang terdeteksi dalam perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor Utama:

  • Peristiwa yang Diserap: total jumlah peristiwa yang diserap.
  • Throughput: volume data yang di-ingest untuk waktu tertentu.
  • Peringatan: jumlah total deteksi yang telah terjadi selama jangka waktu tertentu. Jumlah pemberitahuan yang ditampilkan di halaman Pemberitahuan & IoC mungkin berbeda, karena halaman ini hanya menampilkan pemberitahuan saat ini. Untuk mengetahui informasi selengkapnya, lihat Melihat pemberitahuan.
  • Peristiwa dari Waktu ke Waktu: diagram batang yang menampilkan peristiwa yang terjadi selama jangka waktu tertentu.
  • Global Threat Map - IoC IP Matches: lokasi terjadinya peristiwa yang cocok dengan Indikator Gangguan (IoC).

Dasbor Ringkasan Deteksi dan Respons Cloud

Dasbor Deteksi dan Respons Cloud membantu Anda memantau status keamanan lingkungan cloud dan menyelidiki potensi ancaman. Dasbor menampilkan visualisasi yang membantu Anda memahami volume sumber data, set aturan, pemberitahuan, dan informasi lainnya.

Filter Waktu memungkinkan Anda memfilter data menurut jangka waktu.

Filter Jenis Log GCP memungkinkan Anda memfilter data menurut Google Cloud jenis log.

Anda dapat melihat visualisasi berikut di dasbor Cloud Detection and Response Overview:

  • CDIR Rulesets Enabled: menampilkan persentase set aturan SIEM Google Security Operations yang diaktifkan untuk lingkungan cloud Anda dari total set aturan yang disediakan oleh GCTI untuk pengguna SIEM Google Security Operations. GCTI menyediakan beberapa aturan pilihan yang telah dikemas sebelumnya. Anda dapat mengaktifkan atau menonaktifkan set aturan ini.

  • Sumber Data GCP yang Dicakup: menampilkan persentase sumber data yang dicakup, dari total Google Cloud sumber data yang tersedia. Misalnya, jika Anda dapat menyerap data menggunakan 40 jenis log, tetapi Anda hanya mengirim data untuk 20 jenis log, kartu akan menampilkan 50%.

  • Pemberitahuan CDIR: menampilkan jumlah pemberitahuan yang muncul dari aturan dalam kumpulan aturan GCTI atau ancaman Cloud Anda. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.

  • Peringatan Terbaru: menampilkan peringatan terbaru beserta tingkat keparahan dan skor risikonya. Anda dapat mengurutkan tabel menggunakan kolom Waktu Stempel Waktu Peristiwa dan membuka setiap pemberitahuan untuk mengetahui informasi selengkapnya. Menyediakan jumlah temuan keamanan gabungan yang ditingkatkan oleh Security Command Center. Temuan keamanan ini dihasilkan oleh set aturan deteksi pilihan GCTI dan dikategorikan menurut jenis temuan. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.

  • Notifikasi menurut Tingkat Keseriusan dari Waktu ke Waktu: menampilkan total notifikasi menurut tingkat keseriusan, yang trennya berubah dari waktu ke waktu. Anda dapat menggunakan filter Waktu untuk menyetel jumlah hari data ini ditampilkan.

  • Cakupan Deteksi: memberikan informasi tentang set aturan SIEM Google Security Operations dan statusnya, total deteksi, dan tanggal deteksi terbaru. Anda dapat menggunakan filter Waktu untuk menetapkan jumlah hari data ini ditampilkan.

  • Cakupan Data Cloud: memberikan informasi tentang semua layanan yang tersedia, parser yang mencakup setiap layanan, peristiwa yang pertama kali terlihat, peristiwa yang terakhir kali terlihat, dan total throughput. Google Cloud

Untuk mengetahui informasi selengkapnya tentang set aturan CDIR, lihat Ringkasan Kategori Ancaman Cloud.

Tabel ini diikuti dengan grafik semua layanan Google Cloud dengan data terkaitnya yang menunjukkan tren penyerapan selama interval waktu berikut:

  • 24 jam terakhir
  • 30 hari terakhir
  • Enam bulan terakhir

Deteksi Kontekstual - Dasbor risiko

Dasbor Deteksi Kontekstual - Risiko memberikan insight tentang status ancaman saat ini dari aset dan pengguna di perusahaan Anda. Aturan ini dibuat menggunakan kolom di antarmuka eksplorasi Deteksi Aturan.

Nilai tingkat keseriusan dan skor risiko adalah variabel yang ditentukan dalam setiap aturan. Sebagai contoh, lihat Sintaksis bagian hasil. Di setiap panel, data diurutkan berdasarkan tingkat keparahan, lalu skor risiko untuk mengidentifikasi pengguna dan aset yang paling berisiko.

Anda dapat melihat visualisasi berikut di dasbor Context Aware Detections - Risk:

  • Aset dan Perangkat yang Berisiko: mencantumkan 10 aset teratas berdasarkan tingkat keparahan yang Anda tetapkan aturan di Meta > Tingkat Keparahan. Lihat Sintaksis bagian meta. Tingkat keparahan adalah Sangat Tinggi, Kritis, Tinggi, Besar, Sedang, dan Rendah. Jika nilai hostname tidak ada dalam data, alamat IP akan ditampilkan.
  • Pengguna yang Berisiko: mencantumkan 10 pengguna teratas berdasarkan tingkat keparahan. Tingkat keparahan adalah Sangat Tinggi, Kritis, Tinggi, Besar, Sedang, dan Rendah. Jika nilai username tidak ada dalam data, maka ID email akan ditampilkan.
  • Risiko Gabungan: untuk setiap tanggal, menampilkan skor risiko gabungan total.
  • Hasil Deteksi: menampilkan detail tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Tabel ini mencakup nama aturan, ID deteksi, skor risiko, dan tingkat keparahan.

Dasbor Penyerapan Data dan Kesehatan

Dasbor Penyerapan Data dan Kesehatan memberikan informasi tentang jenis, volume, dan kesehatan data yang diserap ke dalam tenant SIEM Google Security Operations Anda. Anda dapat menggunakan dasbor ini untuk memantau anomali di lingkungan Anda.

Dasbor ini menyediakan visualisasi yang membantu Anda memahami volume log yang di-ingest, error penyerapan, dan informasi relevan lainnya. Data di dasbor diperbarui setiap 15 menit, jadi Anda mungkin perlu menunggu hingga 15 menit untuk melihat informasi terbaru.

Anda dapat melihat visualisasi berikut di dasbor Penyerapan dan Kesehatan Data:

  • Filter Waktu Global yang dikonfigurasi di dasbor berlaku untuk visualisasi berikut:

    • Jumlah Peristiwa yang Di-Ingest: menampilkan total jumlah peristiwa yang di-ingest.
    • Distribusi Jenis Log menurut Throughput: menampilkan distribusi jenis log berdasarkan throughput.
    • Throughput: menampilkan throughput penyerapan.
    • Distribusi Jenis Log menurut Jumlah Peristiwa: menampilkan distribusi jenis log berdasarkan jumlah peristiwa untuk setiap jenis log.
    • Jumlah Error Penyerapan: menampilkan jumlah total error yang terjadi selama penyerapan.
    • Penyerapan - Peristiwa menurut Status: menampilkan tabel dengan peristiwa berdasarkan statusnya—dapat diurutkan menurut kolom: Tanggal, Log yang Diserap, Peristiwa yang Dinormalisasi, Error Parsing, Error Validasi, Error Pengindeksan.
    • Grafik Batas Lonjakan - Kecepatan Penyerapan: menampilkan kecepatan penyerapan log per jam dari waktu ke waktu (lihat Batas lonjakan).
    • Grafik Batas Lonjakan - Batas Kuota: menampilkan kuota penyerapan log per jam dari waktu ke waktu (lihat Batas lonjakan).
    • Grafik Penolakan Lonjakan: menampilkan volume per jam dari waktu ke waktu untuk log yang ditolak karena melampaui batas lonjakan (lihat Batas lonjakan).
    • Penyerapan - Peristiwa menurut Jenis Log: menampilkan peristiwa berdasarkan jenis log—dapat diurutkan menurut kolom: Jenis log, Throughput yang Diserap, Log yang diserap, Peristiwa yang Dinormalisasi, Error Parsing, Error Validasi, Error Pengindeksan.
    • Logging Agen BindPlane - Log menurut Tingkat Keparahan dari Waktu ke Waktu: menampilkan jumlah log menurut tingkat keparahan dari waktu ke waktu. Dasbor menampilkan visualisasi ini hanya saat Google SecOps menyerap log dari agen Bindplane.
    • Logging Agen Bindplane - Jumlah Pesan: menampilkan jumlah log menurut teks pesan—dapat diurutkan menurut kolom: Severity, Message, Total, First Seen, Last Seen. Dasbor menampilkan visualisasi ini hanya saat Google SecOps menyerap log dari agen Bindplane.

  • Jangka waktu untuk visualisasi berikut telah dipilih sebelumnya (Filter Waktu Global tidak berlaku untuknya):

    • Peristiwa yang Baru-Baru Ini Ditransfer: menampilkan peristiwa yang baru-baru ini ditransfer untuk setiap jenis log.
    • Informasi Log Harian: menampilkan jumlah log untuk satu hari untuk setiap jenis log.
    • Jumlah Peristiwa (24 Jam Terakhir) dan Ukuran Peristiwa (24 Jam Terakhir): menampilkan jumlah peristiwa dan ukuran peristiwa selama 24 jam terakhir.
    • Jumlah Peristiwa (7 Hari Terakhir) dan Ukuran Peristiwa (7 Hari Terakhir): menampilkan jumlah peristiwa dan ukuran peristiwa selama 7 hari terakhir.
    • Jumlah Peristiwa (3 Bulan Terakhir) dan Ukuran Peristiwa (3 Bulan Terakhir): menampilkan jumlah peristiwa dan ukuran peristiwa selama 3 bulan terakhir.
    • Penyerapan - Throughput Per Jam: menampilkan throughput penyerapan per jam.
    • Penyerapan - Throughput Mingguan: menampilkan throughput penyerapan mingguan.
    • Penyerapan - Throughput (6 bulan terakhir): menampilkan throughput penyerapan selama 6 bulan terakhir.
    • Penyerapan - Throughput (Sepanjang Waktu): menampilkan throughput penyerapan per tahun untuk semua waktu yang memiliki data.
    • Jumlah Hari Sejak Host Melaporkan Peristiwa (7 Hari Terakhir): menampilkan jumlah hari sejak host melaporkan peristiwa (dalam 7 hari terakhir).

Dasbor Kecocokan IoC

Dasbor Kecocokan IoC memberikan visibilitas ke dalam IoC yang ada di perusahaan Anda.

Anda dapat melihat visualisasi berikut di dasbor Pencocokan IoC:

  • Kecocokan IoC dari Waktu ke Waktu menurut Kategori: menampilkan jumlah kecocokan IoC berdasarkan kategorinya.
  • Indikator IoC 10 Domain Teratas: mencantumkan 10 indikator IoC domain teratas dan jumlahnya.
  • 10 Indikator IoC IP Teratas: mencantumkan 10 indikator IoC alamat IP teratas dan jumlahnya.
  • 10 Aset Teratas menurut Kecocokan IoC: mencantumkan 10 aset teratas menurut kecocokan IoC, dan jumlahnya.
  • 10 kecocokan IoC teratas menurut Kategori, Jenis, dan Jumlah: mencantumkan 10 kecocokan IoC teratas menurut kategori, jenis, dan jumlahnya.
  • 10 Nilai IoC Teratas: mencantumkan 10 nilai IoC teratas beserta jumlahnya.
  • 10 Nilai yang Jarang Terlihat: mencantumkan 10 kecocokan IoC yang jarang terjadi dan jumlahnya.

Visualisasi IoC Matches menyertakan Event Timestamp Filter di bagian Kolom hanya filter.

Dasbor Deteksi Aturan

Dasbor Deteksi Aturan memberikan insight tentang deteksi yang ditampilkan oleh aturan mesin deteksi. Untuk menerima deteksi, Anda harus mengaktifkan aturan. Untuk mengetahui informasi selengkapnya, lihat Menjalankan aturan terhadap data aktif.

Anda dapat melihat visualisasi berikut di dasbor Deteksi Aturan:

  • Deteksi Aturan dari Waktu ke Waktu: menampilkan jumlah deteksi aturan selama jangka waktu tertentu.
  • Deteksi Aturan menurut Tingkat Keparahan: menampilkan tingkat keparahan deteksi aturan.
  • Deteksi Aturan menurut Tingkat Keseriusan dari Waktu ke Waktu: menampilkan jumlah deteksi harian menurut tingkat keseriusan dari waktu ke waktu.
  • 10 Nama Aturan Teratas menurut Deteksi: mencantumkan 10 aturan teratas yang menampilkan jumlah deteksi terbesar.
  • Deteksi Aturan menurut Nama dari Waktu ke Waktu: menampilkan aturan yang menampilkan deteksi setiap hari dan jumlah deteksi yang ditampilkan.
  • 10 Pengguna Teratas menurut Deteksi Aturan: mencantumkan 10 ID pengguna teratas yang muncul dalam peristiwa yang memicu deteksi.
  • 10 Nama Aset Teratas menurut Deteksi Aturan: mencantumkan 10 nama aset teratas yang muncul dalam peristiwa yang memicu deteksi, seperti nama host.
  • 10 IP Teratas menurut Deteksi Aturan: mencantumkan 10 alamat IP teratas yang muncul dalam peristiwa yang memicu deteksi.

Dasbor Ringkasan Login Pengguna

Dasbor Ringkasan Login Pengguna memberikan insight tentang pengguna yang login ke perusahaan Anda. Informasi ini dapat berguna untuk melacak upaya pelaku berbahaya dalam mengakses perusahaan Anda.

Misalnya, Anda mungkin mendapati bahwa pengguna tertentu telah mencoba mengakses perusahaan Anda dari negara tempat Anda tidak memiliki kantor atau bahwa pengguna tertentu tampaknya berulang kali mengakses aplikasi akuntansi.

Anda dapat melihat visualisasi berikut di dasbor Ringkasan Login Pengguna:

  • Jumlah Login yang Berhasil: menampilkan total jumlah login yang berhasil.
  • Jumlah Login Gagal: menampilkan total jumlah login yang gagal.
  • Login Berdasarkan Status: menampilkan perincian login yang berhasil dan gagal.
  • Login menurut Status dari Waktu ke Waktu: menampilkan perincian login yang berhasil dan gagal selama rentang waktu.
  • 10 Aplikasi Teratas Berdasarkan Login: menampilkan pemisahan 10 aplikasi teratas yang sering digunakan berdasarkan jumlah login.
  • Login Berdasarkan Aplikasi: mencantumkan jumlah status login untuk setiap aplikasi. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis yang di-enum untuk peristiwa.
  • 10 Negara Teratas menurut Login: menampilkan jumlah 10 negara teratas tempat pengguna login.
  • Login menurut Negara: menampilkan jumlah semua negara tempat pengguna login.
  • 10 Login Teratas Menurut IP: menampilkan 10 alamat IP teratas tempat pengguna login.
  • Peta Lokasi Login: menampilkan lokasi alamat IP tempat pengguna login.
  • 10 Pengguna Teratas menurut Status Login: menampilkan jumlah status login untuk setiap pengguna. Jumlah setiap aplikasi diisi berdasarkan data log yang Anda tentukan di kolom security_result.action. Lihat Jenis yang di-enum untuk peristiwa.

Langkah berikutnya

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.