信息中心概览

您可以使用 Google Security Operations SIEM 信息中心来查看和分析 Google Security Operations SIEM 中的数据，包括安全遥测数据、注入指标、检测结果、提醒和 IOC。这些信息中心基于 Looker 的功能构建。

Google Security Operations SIEM 为您提供了多个默认信息中心，本文档对此进行了介绍。您还可以创建自定义信息中心。

默认信息中心

如需前往信息中心页面，请点击左侧导航栏中的信息中心。

默认信息中心包含 Google Security Operations SIEM 实例中存储的数据的预定义可视化图表。这些信息中心专为特定用例而设计，例如了解 Google Security Operations SIEM 数据注入系统的状态或监控企业的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件，可让您查看特定时间段的数据。这有助于排查问题或识别趋势。例如，您可以使用此过滤条件查看过去一周或特定时间范围内的数据。

Google Security Operations SIEM 提供以下默认信息中心：

• 主要
• Cloud Detection and Response
• 情境感知检测 - 风险
• 数据注入和健康状况
• IOC 匹配项
• 规则检测
• 用户登录概览

主信息中心

主信息中心显示有关 Google Security Operations SIEM 数据注入系统状态的信息。它还包含一个全球地图，其中突出显示了在您的企业内检测到的 IOC 的地理位置。

您可以在主要信息中心内查看以下可视化图表：

• 注入的事件：注入的事件总数。
• 吞吐量：在特定时间内提取的数据量。
• 提醒：发生的提醒总数。
• 随时间变化的事件：显示一段时间内发生的事件的柱状图。
• 全球威胁地图 - IOC IP 匹配：发生 IOC 匹配事件的位置。

“云检测和响应概览”信息中心

云检测和响应信息中心可帮助您监控云环境的安全状态并调查潜在威胁。该信息中心显示可视化数据，可帮助您了解数据源、规则集、提醒和其他信息的数量。

借助时间过滤条件，您可以按时间段过滤数据。

借助 GCP 日志类型过滤条件，您可以按 Google Cloud 日志类型过滤数据。

您可以在 Cloud 检测和响应概览信息中心内查看以下可视化图表：

• 已启用的 CDIR 规则集：显示为您的云环境启用的 Google Security Operations SIEM 规则集占 GCTI 为 Google Security Operations SIEM 用户提供的总规则集的百分比。GCTI 提供多个预打包的精选规则。您可以启用或停用这些规则集。

• 涵盖的 GCP 数据源：显示涵盖的数据源占可用数据源总数 ( Google Cloud) 的百分比。例如，如果您可以使用 40 种日志类型来注入数据，但您只发送了 20 种日志类型的数据，则该图块会显示 50%。

• CDIR 提醒：显示根据 GCTI 规则集或云威胁中的规则触发的提醒数量。您可以使用时间过滤条件来设置显示相应数据的天数。

• 近期提醒：显示近期提醒及其严重程度和风险评分。您可以使用“事件时间戳时间”列对表格进行排序，然后前往每条提醒查看更多信息。它提供由 Security Command Center 增强的汇总安全发现结果的数量。这些安全发现结果由 GCTI 精选的检测规则集生成，并按发现结果类型进行分类。您可以使用时间过滤条件来设置显示相应数据的天数。

• 按严重程度显示的提醒（随时间变化）：显示按严重程度划分的总提醒数，随时间变化的趋势。您可以使用时间过滤条件来设置显示相应数据的天数。

• 检测覆盖率：提供有关 Google Security Operations SIEM 规则集及其状态、检测总数和最近一次检测日期的信息。 您可以使用时间过滤条件来设置显示相应数据的天数。

• Cloud 数据覆盖范围：提供有关所有可用 Google Cloud服务、涵盖每项服务的解析器、首次发现的事件、上次发现的事件以及总吞吐量的信息。

如需详细了解 CDIR 规则集，请参阅云威胁类别概览。

下表后面是所有 Google Cloud 服务的图表，其中包含相关数据，显示了这些服务在以下时间间隔内的提取趋势：

• 过去 24 小时
• 过去 30 天
• 过去 6 个月

情境感知检测 - 风险信息中心

情境感知检测 - 风险信息中心可帮助您了解企业中资产和用户的当前威胁状态。它使用规则检测探索界面中的字段构建而成。

严重程度和风险得分值是每条规则中定义的变量。如需查看示例，请参阅结果部分语法。在每个面板中，数据会先按严重程度排序，然后再按风险得分排序，以便识别风险最高的用户和资产。

您可以在情境感知检测 - 风险信息中心内查看以下可视化图表：

• 存在风险的资产和设备：根据您在元 > 严重程度中设置的规则，列出风险最高的 10 项资产。请参阅元部分语法。 严重程度级别包括超高、严重、高、大、中和低。如果记录中没有主机名值，则显示 IP 地址。
• 高风险用户：根据严重程度列出前 10 位用户。严重程度级别包括超高、严重、高、大、中和低。如果记录中没有用户名值，则显示电子邮件 ID。
• 汇总风险：显示每个日期的总汇总风险得分。
• 检测结果：显示检测引擎规则返回的检测结果的详细信息。该表格包含规则名称、检测 ID、风险得分和严重程度。

“数据注入和健康状况”信息中心

数据提取和运行状况信息中心提供有关提取到 Google Security Operations SIEM 租户的数据类型、数量和运行状况的信息。您可以使用此信息中心来监控环境中的异常情况。

此信息中心提供可视化数据，可帮助您了解注入日志的数量、注入错误和其他相关信息。信息中心的数据每 15 分钟刷新一次，因此您可能需要等待最多 15 分钟才能看到最新信息。

您可以在数据注入和健康状况信息中心内查看以下可视化图表：

• 注入的事件计数：注入的事件总数。
• 注入错误计数：注入期间遇到的错误总数。
• 解析错误数量：解析期间遇到的错误总数。
• 验证错误数量：验证期间遇到的错误总数。
• 错误总数：遇到的错误总数。
• 基于事件计数的日志类型分布：显示基于每种日志类型的事件数量的日志类型分布。
• 基于吞吐量的日志类型分布：显示基于吞吐量的日志类型分布。
• 注入 - 按状态划分的事件：根据事件状态显示事件数量。
• 注入 - 按日志类型划分的事件：根据事件状态和日志类型显示事件数量。
• 最近注入的事件：显示每种日志类型最近注入的事件。
• 每日日志信息：显示每种日志类型每天的日志数。
• 事件计数与大小：比较一段时间内的事件计数和大小。
• 注入吞吐量：显示一段时间内的注入吞吐量。

“IOC 匹配项”信息中心

“失陷指标 (IOC) 匹配项”信息中心可让您了解组织中存在的 IOC。

您可以在 IOC 匹配项信息中心内查看以下可视化图表：

• IOC 匹配随时间的变化（按类别）：显示按类别划分的 IOC 匹配数量。
• 10 大网域 IOC 指标：列出 10 大网域 IOC 指标以及相应数量。
• 10 大 IP 地址 IOC 指标：列出 10 大 IP 地址 IOC 指标以及相应数量。
• 10 大资产（按 IOC 匹配）：列出了按 IOC 匹配次数排名的前 10 大资产以及匹配次数。
• 前 10 大 IOC 匹配（按类别、类型和数量）：列出前 10 大 IOC 匹配（按类别、类型和数量）。
• 前 10 个 IOC 值：列出前 10 个 IOC 值以及相应数量。
• 10 个最少见的值：列出 10 个最少见的 IOC 匹配项以及相应数量。

IOC 匹配项可视化图表在仅限过滤条件的字段下包含事件时间戳过滤条件。

“规则检测”信息中心

规则检测信息中心可提供有关检测引擎规则返回的检测结果的数据分析。如需接收检测结果，您必须启用规则。 如需了解详情，请参阅针对实时数据运行规则。

您可以在规则检测信息中心内查看以下可视化图表：

• 规则检测随时间的变化：显示一段时间内的规则检测次数。
• 按严重程度划分的规则检测：显示规则检测的严重程度。
• 按严重程度划分的规则检测（随时间变化）：显示每天按严重程度划分的检测数量（随时间变化）。
• 检测次数最多的前 10 条规则名称：列出返回的检测次数最多的前 10 条规则。
• 按名称随时间变化的规则检测：显示每天返回检测结果的规则以及返回的检测结果数量。
• Top 10 Users by Rule Detections：列出触发检测的事件中出现的前 10 个用户标识符。
• 按规则检测次数排序的前 10 个资产名称：列出在触发检测的事件中出现的前 10 个资产名称，例如主机名。
• 按规则检测次数排序的前 10 个 IP 地址：列出了触发检测的事件中出现次数最多的前 10 个 IP 地址。

“用户登录概览”信息中心

用户登录概览信息中心可帮助您深入了解登录企业的用户。此信息有助于跟踪恶意操作者访问您企业的尝试。

例如，您可能会发现，特定用户尝试从没有办事处的国家/地区访问您的企业，或者特定用户似乎反复访问会计应用。

您可以在用户登录概览信息中心内查看以下可视化图表：

• 成功登录次数：成功登录的总次数。
• 登录失败次数：登录失败的总次数。
• 按状态划分的登录次数：显示成功登录次数和失败登录次数的比例。
• 按状态显示随时间变化的登录次数：显示时间范围内成功登录和登录失败的次数。
• 按登录次数排名的前 10 个应用：显示了前 10 个常用应用的分布情况（按登录次数）。
• 按应用列出的登录次数：列出每个应用的登录状态数量。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的数量。请参阅事件枚举类型。
• 登录次数最多的 10 个国家/地区：显示用户登录次数最多的 10 个国家/地区的数量。
• 按国家/地区统计的登录次数：显示用户登录时所处的所有国家/地区的数量。
• 按 IP 地址列出的前 10 次登录：显示用户登录时使用的前 10 个 IP 地址。
• 登录位置地图：显示用户登录时所用 IP 地址的位置。
• 按登录状态划分的前 10 名用户：显示每位用户的登录状态数量。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的数量。请参阅事件枚举类型。

后续步骤

• 了解如何创建自定义信息中心

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。