Présentation des tableaux de bord

Compatible avec :

Les tableaux de bord Google Security Operations SIEM peuvent être utilisés pour afficher et analyser les données dans Google Security Operations SIEM, y compris la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes et les IOC. Ces tableaux de bord sont basés sur les fonctionnalités de Looker.

Google Security Operations SIEM vous fournit plusieurs tableaux de bord par défaut, décrits dans ce document. Vous pouvez également créer des tableaux de bord personnalisés.

Tableaux de bord par défaut

Pour accéder à la page Tableaux de bord, cliquez sur Tableaux de bord dans le panneau de navigation de gauche.

Les tableaux de bord par défaut contiennent des visualisations prédéfinies des données stockées dans votre instance Google Security Operations SIEM. Ces tableaux de bord sont conçus pour un cas d'utilisation spécifique, par exemple pour comprendre l'état du système d'ingestion de données Google Security Operations SIEM ou pour surveiller l'état des menaces dans votre entreprise.

Chaque tableau de bord par défaut inclut un filtre de plage de dates qui vous permet d'afficher les données pour une période spécifique. Cela peut être utile pour résoudre les problèmes ou identifier les tendances. Par exemple, vous pouvez utiliser le filtre pour afficher les données de la semaine dernière ou sur une période spécifique.

Google Security Operations SIEM fournit les tableaux de bord par défaut suivants :

Tableau de bord principal

Le tableau de bord Principal affiche des informations sur l'état du système d'ingestion de données Google Security Operations SIEM. Il inclut également une carte du monde mettant en évidence la zone géographique des IOC détectés dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Principal :

  • Événements ingérés : nombre total d'événements ingérés.
  • Débit : volume de données ingérées pour une période spécifique.
  • Alertes : nombre total d'alertes déclenchées.
  • Événements au fil du temps : graphique à colonnes affichant les événements qui se sont produits au cours d'une période donnée.
  • Carte mondiale des menaces : correspondances d'adresses IP d'IOC : emplacement à partir duquel les événements de correspondance d'IOC se sont produits.

Tableau de bord "Présentation de la détection et de la réponse dans le cloud"

Le tableau de bord Détection et réponse dans le cloud vous aide à surveiller l'état de sécurité de votre environnement cloud et à examiner les menaces potentielles. Le tableau de bord affiche des visualisations qui vous aident à comprendre le volume de sources de données, d'ensembles de règles, d'alertes et d'autres informations.

Le filtre Période vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par type de journal Google Cloud .

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation de Cloud Detection and Response :

  • Ensembles de règles CDRI activés : affiche le pourcentage d'ensembles de règles Google Security Operations SIEM activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI aux utilisateurs de Google Security Operations SIEM. GCTI fournit plusieurs règles organisées prédéfinies. Vous pouvez activer ou désactiver ces ensembles de règles.

  • Sources de données GCP couvertes : affiche le pourcentage de sources de données couvertes sur le nombre total de sources de données Google Clouddisponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'envoyez des données que pour 20 d'entre eux, la vignette affichera 50 %.

  • Alertes CDIR : affiche le nombre d'alertes déclenchées par les règles de vos ensembles de règles GCTI ou les menaces cloud. Vous pouvez utiliser le filtre Période pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Alertes récentes : affiche les alertes récentes avec leur niveau de gravité et leur score de risque. Vous pouvez trier le tableau à l'aide de la colonne Heure de l'événement et accéder à chaque alerte pour en savoir plus. Il indique le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés par des ensembles de règles de détection organisés par la GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Période pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Alertes par niveau de gravité au fil du temps : affiche le nombre total d'alertes par niveau de gravité au fil du temps. Vous pouvez utiliser le filtre Période pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Couverture de la détection : fournit des informations sur les ensembles de règles Google Security Operations SIEM, leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Période pour définir le nombre de jours pour lesquels ces données sont affichées.

  • Couverture des données cloud : fournit des informations sur tous les services Google Clouddisponibles, les analyseurs qui couvrent chaque service, le premier événement observé, le dernier événement observé et le débit total.

Pour en savoir plus sur les ensembles de règles CDIR, consultez Présentation de la catégorie "Menaces cloud".

Le tableau est suivi de graphiques de tous les services Google Cloud avec leurs données associées qui montrent leur tendance d'ingestion au cours des intervalles de temps suivants :

  • Dernières 24 heures
  • 30 derniers jours
  • 6 derniers mois

Détections contextuelles : tableau de bord des risques

Le tableau de bord Détections contextuelles – Risque fournit des informations sur l'état actuel des menaces pour les composants et les utilisateurs de votre entreprise. Il est créé à l'aide des champs de l'interface Explorer Détections de règles.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour obtenir un exemple, consultez la section Syntaxe de la section "Résultat". Dans chaque panneau, les données sont triées en fonction de la gravité, puis du score de risque, pour identifier les utilisateurs et les ressources les plus à risque.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections contextuelles – Risque :

  • Composants et appareils à risque : liste les 10 principaux composants en fonction du niveau de gravité que vous avez défini pour la règle dans Méta > Gravité. Consultez la section Syntaxe de la section "meta". Les niveaux de gravité sont Très élevé, Critique, Élevé, Important, Moyen et Faible. Si la valeur du nom d'hôte n'est pas présente dans l'enregistrement, l'adresse IP s'affiche.
  • Utilisateurs à risque : liste les 10 principaux utilisateurs en fonction de la gravité. Les niveaux de gravité sont Très élevé, Critique, Élevé, Important, Moyen et Faible. Si la valeur du nom d'utilisateur n'est pas présente dans l'enregistrement, l'ID de l'adresse e-mail s'affiche.
  • Risque global : affiche le score de risque global pour chaque date.
  • Résultats de la détection : affiche les détails des détections renvoyées par les règles du moteur de détection. Le tableau indique le nom de la règle, l'ID de détection, le score de risque et la gravité.

Ingestion de données et tableau de bord "Santé"

Le tableau de bord Ingestion et état des données fournit des informations sur le type, le volume et l'état des données ingérées dans votre locataire Google Security Operations SIEM. Vous pouvez utiliser ce tableau de bord pour détecter les anomalies dans votre environnement.

Ce tableau de bord fournit des visualisations qui vous aident à comprendre le volume de journaux ingérés, les erreurs d'ingestion et d'autres informations pertinentes. Les données du tableau de bord sont actualisées toutes les 15 minutes. Vous devrez peut-être attendre jusqu'à 15 minutes pour voir les dernières informations.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et état des données :

  • Nombre d'événements ingérés : nombre total d'événements ingérés.
  • Nombre d'erreurs d'ingestion : nombre total d'erreurs rencontrées lors de l'ingestion.
  • Nombre d'erreurs d'analyse : nombre total d'erreurs rencontrées lors de l'analyse.
  • Nombre d'erreurs de validation : nombre total d'erreurs rencontrées lors de la validation.
  • Nombre total d'erreurs : nombre total d'erreurs rencontrées.
  • Distribution des types de journaux par nombre d'événements : affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
  • Distribution des types de journaux par débit : affiche la distribution des types de journaux en fonction du débit.
  • Ingestion – Événements par état : affiche le nombre d'événements en fonction de leur état.
  • Ingestion – Événements par type de journal : affiche le nombre d'événements en fonction de leur état et de leur type de journal.
  • Événements récemment ingérés : affiche les événements récemment ingérés pour chaque type de journal.
  • Informations du journal quotidien : affiche le nombre de journaux pour une journée et pour chaque type de journal.
  • Nombre d'événements vs taille : compare le nombre et la taille des événements sur une période donnée.
  • Débit d'ingestion : affiche le débit d'ingestion sur une période donnée.

Tableau de bord "Correspondances IoC"

Le tableau de bord "Correspondances des indicateurs de compromission" vous offre une visibilité sur les IOC présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Correspondances d'IOC :

  • Correspondances d'IOC au fil du temps par catégorie : affiche le nombre de correspondances d'IOC en fonction de leur catégorie.
  • Indicateurs de compromission (IOC) des 10 principaux domaines : liste les 10 principaux indicateurs de compromission (IOC) des domaines, ainsi que leur nombre.
  • 10 principaux indicateurs IOC d'adresses IP : liste les 10 principaux indicateurs IOC d'adresses IP ainsi que leur nombre.
  • Top 10 des composants par correspondances d'IOC : liste les 10 principaux composants par correspondances d'IOC, ainsi que leur nombre.
  • Top 10 des correspondances d'IOC par catégorie, type et nombre : liste les 10 principales correspondances d'IOC par catégorie, type et nombre.
  • 10 premières valeurs d'IOC : liste les 10 premières valeurs d'IOC ainsi que leur nombre.
  • 10 premières valeurs rarement observées : liste les 10 premières correspondances d'IOC rarement observées, ainsi que leur nombre.

Les visualisations Correspondances d'IOC incluent le Filtre d'horodatage des événements sous Champs de filtre uniquement.

Tableau de bord "Détections de règles"

Le tableau de bord Détections de règles fournit des informations sur les détections renvoyées par les règles du moteur de détection. Pour recevoir des détections, vous devez activer les règles. Pour en savoir plus, consultez Exécuter une règle sur des données réelles.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections de règles :

  • Détections de règles au fil du temps : affiche le nombre de détections de règles sur une période donnée.
  • Détections de règles par niveau de gravité : affiche le niveau de gravité des détections de règles.
  • Détections de règles par niveau de gravité au fil du temps : affiche le nombre quotidien de détections par niveau de gravité au fil du temps.
  • 10 principaux noms de règles par détection : liste les 10 principales règles renvoyant le plus grand nombre de détections.
  • Détections de règles par nom au fil du temps : affiche les règles qui ont renvoyé des détections chaque jour et le nombre de détections renvoyées.
  • Top 10 des utilisateurs par détection de règles : liste les 10 principaux identifiants utilisateur qui sont apparus dans les événements ayant déclenché des détections.
  • Top 10 des noms de composants par détection de règles : liste les 10 principaux noms de composants qui sont apparus dans les événements ayant déclenché des détections, comme le nom d'hôte.
  • Top 10 des adresses IP par détection de règles : liste des 10 adresses IP les plus fréquentes dans les événements ayant déclenché des détections.

Tableau de bord "Présentation des connexions utilisateur"

Le tableau de bord Présentation de la connexion des utilisateurs fournit des informations sur les utilisateurs qui se connectent à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'acteurs malveillants visant à accéder à votre entreprise.

Par exemple, vous pouvez constater qu'un utilisateur spécifique a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder à plusieurs reprises à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation des connexions utilisateur :

  • Nombre de connexions réussies : nombre total de connexions réussies.
  • Nombre d'échecs de connexion : nombre total d'échecs de connexion.
  • Connexions par état : affiche la répartition des connexions réussies et échouées.
  • Connexions par état au fil du temps : affiche la répartition des connexions réussies et échouées au cours de la période.
  • Top 10 des applications par connexions : affiche la répartition des 10 applications les plus fréquentes en fonction du nombre de connexions.
  • Connexions par application : indique le nombre d'états de connexion pour chaque application. Le nombre de chaque application est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types énumérés d'événements.
  • Top 10 des pays par connexions : affiche le nombre de connexions des utilisateurs dans les 10 pays les plus représentés.
  • Connexions par pays : affiche le nombre de connexions des utilisateurs par pays.
  • 10 principales adresses IP de connexion : affiche les 10 principales adresses IP à partir desquelles les utilisateurs se sont connectés.
  • Carte des lieux de connexion : affiche les adresses IP à partir desquelles les utilisateurs se sont connectés.
  • Top 10 des utilisateurs par état de connexion : affiche le nombre d'états de connexion pour chaque utilisateur. Le nombre de chaque application est renseigné en fonction des données de journaux que vous définissez dans le champ security_result.action. Consultez la section Types énumérés d'événements.

Étapes suivantes

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.