Descripción general de los paneles

Compatible con:

Los paneles de SIEM de Google Security Operations se pueden usar para ver y analizar los datos en el SIEM de Google Security Operations, incluidos la telemetría de seguridad, las métricas de transferencia, las detecciones, las alertas y los IOC. Estos paneles se basan en las capacidades de Looker.

Google Security Operations SIEM te proporciona varios paneles predeterminados, que se describen en este documento. También puedes crear paneles personalizados.

Paneles predeterminados

Para navegar a la página Paneles, haz clic en Paneles en la navegación de la izquierda.

Los paneles predeterminados contienen visualizaciones predefinidas de los datos almacenados en tu instancia del SIEM de Google Security Operations. Estos paneles están diseñados para un caso de uso específico, como comprender el estado del sistema de transferencia de datos de SIEM de Operaciones de seguridad de Google o supervisar el estado de las amenazas en tu empresa.

Cada panel predeterminado incluye un filtro de período que te permite ver los datos de un período específico. Esto puede ser útil para solucionar problemas o identificar tendencias. Por ejemplo, puedes usar el filtro para ver los datos de la semana anterior o de un período específico.

Google Security Operations SIEM proporciona los siguientes paneles predeterminados:

Panel principal

En el panel Principal, se muestra información sobre el estado del sistema de transferencia de datos del SIEM de Google Security Operations. También incluye un mapa global en el que se destaca la ubicación geográfica de los IOC detectados en tu empresa.

En el panel Principal, puedes ver las siguientes visualizaciones:

  • Eventos transferidos: Es la cantidad total de eventos transferidos.
  • Capacidad de procesamiento: Es el volumen de datos que se transfieren para un período específico.
  • Alertas: Es la cantidad total de alertas que se produjeron.
  • Eventos a lo largo del tiempo: Es un gráfico de columnas que muestra los eventos que ocurrieron durante un período.
  • Mapa global de amenazas: coincidencias de IP de IOC: Es la ubicación desde la que se produjeron los eventos de coincidencia de IOC.

Panel general de Cloud Detection and Response

El panel de Cloud Detection and Response te ayuda a supervisar el estado de seguridad de tu entorno de nube y a investigar posibles amenazas. En el panel, se muestran visualizaciones que te ayudan a comprender el volumen de fuentes de datos, conjuntos de reglas, alertas y otra información.

El filtro Tiempo te permite filtrar los datos por período.

El filtro Tipo de registro de GCP te permite filtrar los datos por Google Cloud tipo de registro.

Puedes ver las siguientes visualizaciones en el panel Cloud Detection and Response Overview:

  • CDIR Rulesets Enabled: Muestra el porcentaje de conjuntos de reglas del SIEM de Operaciones de seguridad de Google habilitados para tu entorno de nube del total de conjuntos de reglas que proporciona GCTI para los usuarios del SIEM de Operaciones de seguridad de Google. GCTI proporciona varias reglas seleccionadas preempaquetadas. Puedes habilitar o inhabilitar estos conjuntos de reglas.

  • Fuentes de datos de GCP cubiertas: Muestra el porcentaje de fuentes de datos cubiertas del total de fuentes de datos Google Clouddisponibles. Por ejemplo, si puedes transferir datos con 40 tipos de registros, pero solo envías datos de 20, la tarjeta mostrará un 50%.

  • Alertas de CDIR: Muestra la cantidad de alertas generadas a partir de las reglas de tus conjuntos de reglas de GCTI o amenazas de Cloud. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Alertas recientes: Muestra las alertas recientes con su gravedad y puntuación de riesgo. Puedes ordenar la tabla con la columna Marca de tiempo del evento y navegar a cada alerta para obtener más información. Proporciona la cantidad de hallazgos de seguridad agregados mejorados por Security Command Center. Estos resultados de seguridad se generan a partir de conjuntos de reglas de detección seleccionados por el GCTI y se categorizan por tipo de resultado. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Alerts by Severity Over Time: Muestra el total de alertas por gravedad a lo largo del tiempo. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Cobertura de detección: Proporciona información sobre los conjuntos de reglas del SIEM de Google Security Operations y su estado, las detecciones totales y la fecha de la detección más reciente. Puedes usar el filtro Tiempo para establecer la cantidad de días durante los que se muestran estos datos.

  • Cobertura de datos de Cloud: Proporciona información sobre todos los servicios Google Clouddisponibles, los analizadores que cubren cada servicio, el primer evento detectado, el último evento detectado y el rendimiento total.

Para obtener más información sobre los conjuntos de reglas de CDIR, consulta Descripción general de la categoría Amenazas de Cloud.

Después de la tabla, se muestran gráficos de todos los servicios de Google Cloud con sus datos asociados que muestran su tendencia de transferencia durante los siguientes intervalos:

  • Últimas 24 horas
  • Últimos 30 días
  • Últimos seis meses

Detecciones adaptadas al contexto: panel de riesgo

El panel Context Aware Detections - Risk proporciona estadísticas sobre el estado actual de amenaza de los activos y los usuarios de tu empresa. Se crea con los campos de la interfaz de exploración Rule Detections.

Los valores de gravedad y de puntuación de riesgo son variables definidas en cada regla. Para ver un ejemplo, consulta Sintaxis de la sección de resultados. En cada panel, los datos se ordenan según la gravedad y, luego, según la puntuación de riesgo para identificar a los usuarios y los activos con mayor riesgo.

Puedes ver las siguientes visualizaciones en el panel Context Aware Detections - Risk:

  • Recursos y dispositivos en riesgo: Enumera los 10 recursos principales según la gravedad que estableciste para la regla en Meta > Gravedad. Consulta Sintaxis de la sección Meta. Los niveles de gravedad son Súper alta, Crítica, Alta, Grande, Media y Baja. Si el valor del nombre de host no está presente en el registro, se muestra la dirección IP.
  • Usuarios en riesgo: Muestra los 10 usuarios principales según la gravedad. Los niveles de gravedad son Súper alta, Crítica, Alta, Grande, Media y Baja. Si el valor del nombre de usuario no está presente en el registro, se muestra el ID de correo electrónico.
  • Aggregate Risk: Para cada fecha, muestra la puntuación de riesgo total agregada.
  • Resultados de detección: Muestra detalles sobre las detecciones que devolvieron las reglas del motor de detección. La tabla incluye el nombre de la regla, el ID de detección, la puntuación de riesgo y la gravedad.

Tablero de Transferencia de datos y estado

El panel Transferencia y estado de los datos proporciona información sobre el tipo, el volumen y el estado de los datos que se transfieren a tu arrendatario del SIEM de Google Security Operations. Puedes usar este panel para supervisar las anomalías en tu entorno.

En este panel, se proporcionan visualizaciones que te ayudan a comprender el volumen de registros ingeridos, los errores de ingesta y otra información pertinente. Los datos del panel se actualizan cada 15 minutos, por lo que es posible que debas esperar hasta 15 minutos para ver la información más reciente.

Puedes ver las siguientes visualizaciones en el panel Ingesta y estado de los datos:

  • Recuento de eventos transferidos: Es la cantidad total de eventos transferidos.
  • Ingestion Error Count: Es la cantidad total de errores que se encontraron durante la transferencia.
  • Cantidad de errores de análisis: Es la cantidad total de errores detectados durante el análisis.
  • Validation Error Count: Es la cantidad total de errores que se encontraron durante la validación.
  • Total Error Count: Es la cantidad total de errores encontrados.
  • Distribución de tipos de registros por recuento de eventos: Muestra la distribución de los tipos de registros según la cantidad de eventos de cada tipo de registro.
  • Distribución del tipo de registro por capacidad de procesamiento: Muestra la distribución de los tipos de registro según la capacidad de procesamiento.
  • Ingestion - Events by Status: Muestra la cantidad de eventos según su estado.
  • Ingestion - Events by Log Type: Muestra la cantidad de eventos según su estado y tipo de registro.
  • Eventos transferidos recientemente: Muestra los eventos transferidos recientemente para cada tipo de registro.
  • Daily Log Information: Muestra la cantidad de registros de un día para cada tipo de registro.
  • Recuento de eventos vs. tamaño: Compara el recuento y el tamaño de los eventos durante un período.
  • Capacidad de procesamiento de la transferencia: Muestra la capacidad de procesamiento de la transferencia durante un período.

Panel de coincidencias de IOC

El panel Coincidencias de indicadores de compromiso (IOC) proporciona visibilidad sobre los IOC presentes en tu empresa.

En el panel IOC Matches, puedes ver las siguientes visualizaciones:

  • IOC Matches Over Time by Category: Muestra la cantidad de coincidencias de IOC según su categoría.
  • Top 10 Domains IOC indicators: Enumera los 10 principales indicadores de IOC de dominio junto con el recuento.
  • Top 10 IP IOC Indicators: Muestra los 10 indicadores de IOC de direcciones IP principales junto con el recuento.
  • Top 10 Assets by IOC Matches: Enumera los 10 recursos principales por coincidencias de IOC junto con el recuento.
  • Top 10 IOC matches by Category, Type, and Count: Enumera las 10 principales coincidencias de IOC por categoría, tipo y recuento.
  • Top 10 IOC Values: Muestra los 10 valores de IOC principales junto con el recuento.
  • Top 10 Rarely Seen Values: Enumera las 10 coincidencias de IOC que ocurren con menos frecuencia junto con el recuento.

Las visualizaciones de IOC Matches incluyen el Filtro de marcas de tiempo de eventos en Campos solo de filtro.

Panel de Rule Detections

El panel Rule Detections proporciona estadísticas sobre las detecciones que devuelven las reglas del motor de detección. Para recibir detecciones, debes habilitar las reglas. Para obtener más información, consulta Cómo ejecutar una regla en datos activos.

Puedes ver las siguientes visualizaciones en el panel Rule Detections:

  • Detecciones de reglas a lo largo del tiempo: Muestra la cantidad de detecciones de reglas durante un período.
  • Detecciones de reglas por gravedad: Muestra la gravedad de las detecciones de reglas.
  • Detecciones de reglas por gravedad a lo largo del tiempo: Muestra el recuento diario de detecciones por gravedad a lo largo del tiempo.
  • Top 10 Rule Names by Detections: Enumera las 10 reglas principales que muestran la mayor cantidad de detecciones.
  • Detecciones de reglas por nombre a lo largo del tiempo: Muestra las reglas que devolvieron detecciones cada día y la cantidad de detecciones devueltas.
  • Top 10 Users by Rule Detections: Enumera los 10 principales identificadores de usuario que aparecieron en los eventos que activaron detecciones.
  • Los 10 principales nombres de recursos por detecciones de reglas: Enumera los 10 principales nombres de recursos que aparecieron en eventos que activaron detecciones, como el nombre de host.
  • Las 10 principales IPs por detecciones de reglas: Enumera las 10 principales direcciones IP que aparecieron en los eventos que activaron las detecciones.

Panel de descripción general del acceso del usuario

El panel Resumen de acceso de usuarios proporciona estadísticas sobre los usuarios que acceden a tu empresa. Esta información puede ser útil para hacer un seguimiento de los intentos de agentes maliciosos para acceder a tu empresa.

Por ejemplo, es posible que descubras que un usuario en particular intentó acceder a tu empresa desde un país en el que no tienes una oficina o que un usuario específico parece acceder repetidamente a una aplicación de contabilidad.

En el panel User Sign In Overview, puedes ver las siguientes visualizaciones:

  • Cantidad de accesos exitosos: Es la cantidad total de accesos exitosos.
  • Cantidad de errores de acceso: Es la cantidad total de errores de acceso.
  • Sign Ins By Status: Muestra la división de los accesos exitosos y fallidos.
  • Sign Ins by Status Over Time: Muestra la división de los accesos exitosos y fallidos durante el período.
  • Top 10 Applications By Sign Ins: Muestra la división de las 10 aplicaciones más frecuentes según la cantidad de accesos.
  • Sign Ins By Application: Muestra la cantidad de estados de acceso para cada aplicación. El recuento de cada aplicación se completa en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.
  • Los 10 países principales por accesos: Muestra el recuento de los 10 países principales desde los que accedieron los usuarios.
  • Sign Ins by Country: Muestra el recuento de todos los países desde los que accedieron los usuarios.
  • Top 10 Sign Ins By IP: Muestra las 10 direcciones IP principales desde las que accedieron los usuarios.
  • Mapa de ubicación de acceso: Muestra las ubicaciones de las direcciones IP desde las que accedieron los usuarios.
  • Los 10 usuarios principales por estado de acceso: Muestra el recuento del estado de acceso de cada usuario. El recuento de cada aplicación se completa en función de los datos de registro que definas en el campo security_result.action. Consulta Tipos enumerados de eventos.

¿Qué sigue?

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.