Cette page a été traduite par l'API Cloud Translation.

Présentation des tableaux de bord

Compatible avec:

Google SecOps SIEM

Les tableaux de bord SIEM Google Security Operations permettent d'afficher et d'analyser les données du SIEM Google Security Operations, y compris la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes et les indicateurs de compromission. Ces tableaux de bord sont basés sur les fonctionnalités de Looker.

Google Security Operations SIEM vous fournit plusieurs tableaux de bord par défaut, décrits dans ce document. Vous pouvez également créer des tableaux de bord personnalisés.

Tableaux de bord par défaut

Pour accéder à la page Dashboards (Tableaux de bord), cliquez sur Dashboards (Tableaux de bord) dans le panneau de navigation de gauche.

Les tableaux de bord par défaut contiennent des visualisations prédéfinies des données stockées dans votre instance SIEM Google Security Operations. Ces tableaux de bord sont conçus pour un cas d'utilisation spécifique, par exemple pour comprendre l'état du système d'ingestion de données SIEM de Google Security Operations ou pour surveiller l'état des menaces dans votre entreprise.

Chaque tableau de bord par défaut inclut un filtre de période qui vous permet d'afficher les données d'une période spécifique. Cela peut être utile pour résoudre des problèmes ou identifier des tendances. Par exemple, vous pouvez utiliser le filtre pour afficher les données de la semaine précédente ou sur une période spécifique.

Les tableaux de bord par défaut ne peuvent pas être modifiés. Vous pouvez créer une copie d'un tableau de bord par défaut, puis modifier le nouveau tableau de bord pour qu'il prenne en charge un cas d'utilisation spécifique.

Le SIEM Google Security Operations fournit les tableaux de bord par défaut suivants:

Principal
Aperçu du tableau de bord
Cloud Detection and Response
Détections contextuelles : risque
Ingestion et santé des données
Correspondances IoC
Détections de règles
Présentation de la connexion des utilisateurs

Tableau de bord principal

Le tableau de bord Principal affiche des informations sur l'état du système d'ingestion de données SIEM Google Security Operations. Il comprend également une carte mondiale mettant en évidence l'emplacement géographique des IOC détectés dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Principal:

Événements ingérés: nombre total d'événements ingérés.
Débit: volume de données ingérées pendant une période spécifique.
Alertes: nombre total d'alertes générées.
Événements au fil du temps: graphique en colonnes qui affiche les événements survenus sur une période donnée.
Carte des menaces mondiales – Correspondances d'adresses IP IOC: emplacement à partir duquel les événements correspondants aux IOC se sont produits.

Prévisualiser le tableau de bord

Vous pouvez utiliser la fonctionnalité de prévisualisation des tableaux de bord de Google Security Operations pour créer des visualisations sur différentes sources de données. Un tableau de bord Google Security Operations est composé de différents graphiques, qui sont renseignés à l'aide de YARA-L 2.0.

Sources de données pour les tableaux de bord en avant-première de Google Security Operations

Les sources de données suivantes sont disponibles dans les tableaux de bord en version Preview avec le préfixe YARA-L suivant.

Syntaxe YARA-L 2.0 pour les tableaux de bord en version Preview de Google Security Operations

YARA-L 2.0 possède les propriétés uniques suivantes lorsqu'il est utilisé dans les tableaux de bord en version Preview:

Des sources de données supplémentaires, telles que le graphique des entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Ces sources de données ne sont pas encore disponibles dans les règles YARA-L et la recherche UDM.
Les tableaux de bord en version Preview de Google Security Operations utilisent la syntaxe YARA-L. Pour en savoir plus, consultez les pages Fonctions YARA-L 2.0 pour les tableaux de bord en avant-première de Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques. La recherche UDM (par exemple, principal.hostname = "john") ne fonctionne pas avec les tableaux de bord Google Security Operations en version Preview.
La section "events" d'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.
La section "condition" d'une règle YARA-L n'est pas utilisée pour les tableaux de bord.

Premiers pas avec les tableaux de bord en avant-première de Google Security Operations

Créer un tableau de bord

Pour créer un tableau de bord, procédez comme suit:

Sur la page Preview dashboards (Aperçu des tableaux de bord), cliquez sur Create dashboard (Créer un tableau de bord). La fenêtre "Créer un tableau de bord" s'affiche.
Saisissez un nom et une description pour votre tableau de bord.
Dans la liste Commencer avec un tableau de bord existant, sélectionnez Tableau de bord vide. Vous pouvez également commencer par copier un tableau de bord existant.
Définissez l'accès de votre tableau de bord sur "Privé" ou "Partagé". Les tableaux de bord privés ne sont visibles que par vous, tandis que les tableaux de bord partagés sont visibles par tous les utilisateurs de votre organisation.
Cliquez sur Créer pour créer un tableau de bord.

Ajouter un graphique

Un tableau de bord est composé de graphiques remplis de données à l'aide de YARA-L. Pour ajouter un graphique à votre tableau de bord, procédez comme suit:

Sur la page Modifier le tableau de bord, cliquez sur Ajouter un graphique.
Dans la section Rechercher, saisissez une requête YARA-L pour explorer et transformer vos données. La requête YARA-L suivante récupère les dates et les niveaux de gravité des détections, filtre celles dont la gravité est inconnue et compte les détections distinctes pour chaque date. Les détections sont triées par date dans l'ordre croissant.
```
$date = timestamp.get_date(detection.created_time.seconds)
$severity = detection.detection.severity
$severity != "UNKNOWN_SEVERITY"
match:
    $date, $severity
outcome:
    $detection_count = count_distinct(detection.id)
order:
    $date asc
```
Pour la période spécifiée, sélectionnez absolue ou relative.
Après avoir saisi la requête, cliquez sur Exécuter la recherche. Les résultats sont affichés sous forme de tableau, qui est le type de graphique par défaut.
Dans Détails du graphique, saisissez un nom pour le graphique.
Pour transformer les données de vos résultats de recherche sous forme de tableau en graphique à barres, sélectionnez Type de graphique > Graphique à barres.
Dans Paramètres des données, saisissez un type de données et une valeur de champ pour l'axe X et l'axe Y. Pour vous appuyer sur l'exemple de règle YARA-L, vous pouvez saisir les valeurs suivantes:
- Champ de l'axe X: date
- Champ de l'axe Y: detection_count
Dans Libellé de l'axe, saisissez un libellé pour l'axe X et l'axe Y.
Dans Grouping (Groupement), sélectionnez Grouped (Groupé).
Dans Série, définissez le champ de regroupement sur "Sévérité". Le graphique est alors regroupé par gravité.
Examinez les résultats, puis cliquez sur Ajouter au tableau de bord.

Ajouter un filtre

Vous pouvez utiliser des filtres pour modifier les données disponibles en fonction d'un champ spécifique. Cela n'affecte que les graphiques qui utilisent ce champ dans leur requête.

Pour ajouter un filtre, procédez comme suit :

Sur la page principale du tableau de bord, cliquez sur l'icône en forme de crayon pour le modifier.
Sur la page Tableau de bord de modification, cliquez sur l'icône de filtre pour ajouter un filtre.
Dans la fenêtre Gérer les filtres, cliquez sur l'icône Plus pour configurer un filtre.
Dans le champ Champ à filtrer, saisissez un champ en fonction duquel vous souhaitez filtrer les données. Par exemple, detection.collection_elements.references.event.principal.hostname.
Dans le champ Nom du filtre, saisissez un nom pour le filtre.
Dans le champ Champ à appliquer, sélectionnez un graphique auquel le filtre doit être appliqué.
Facultatif: définissez une valeur par défaut pour le filtre.
Cliquez sur OK pour ajouter le filtre et fermer la fenêtre "Gérer les filtres".

Appliquer le filtre

Pour appliquer un filtre au graphique, procédez comme suit:

Dans la vue du tableau de bord, cliquez sur l'icône Filtre pour afficher les filtres du tableau de bord.
Dans la fenêtre Filtres du tableau de bord, sélectionnez le filtre que vous avez créé.
Saisissez une valeur pour le champ sur lequel vous souhaitez filtrer.
Cliquez sur Appliquer. Le graphique sur lequel le filtre est appliqué est mis à jour pour refléter les résultats filtrés.

Ajouter un filtre temporel global

Vous pouvez appliquer un filtre temporel global pour sélectionner une période sur laquelle les données peuvent être affichées dans tous les graphiques. Le filtre temporel global est disponible par défaut pour tous les graphiques et peut gérer le temps dans toutes les sources de données. Contrairement aux autres filtres temporels (par exemple, la création d'un filtre sur le champ metadata.event_timestmap) qui ne filtrent que dans la plage de dates spécifiée dans le graphique individuel, un filtre temporel global, lorsqu'il est appliqué, prévaut sur la période sélectionnée dans le graphique individuel.

Pour ajouter un filtre temporel global, procédez comme suit:

Sur la page principale du tableau de bord, cliquez sur l'icône en forme de crayon pour le modifier.
Sur la page du tableau de bord "Modification", cliquez sur l'icône Filtre pour ajouter un filtre.
Dans la fenêtre Gérer les filtres, sélectionnez Filtre temporel global dans la liste des filtres.
Cliquez sur le bouton bascule pour vous assurer que le filtre temporel global est activé.
Dans le champ Champ d'application, sélectionnez les graphiques auxquels le filtre temporel global doit être appliqué.
Dans le champ Définir les valeurs par défaut, définissez une période pendant laquelle les données sont affichées en termes absolus ou relatifs.
Cliquez sur OK pour ajouter le filtre et fermer la fenêtre "Gérer les filtres".

Tableau de bord "Vue d'ensemble de la détection et de la réponse dans le cloud"

Le tableau de bord Détection et réponse dans le cloud vous aide à surveiller l'état de sécurité de votre environnement cloud et à examiner les menaces potentielles. Le tableau de bord affiche des visualisations qui vous aident à comprendre le volume de sources de données, de jeux de règles, d'alertes et d'autres informations.

Le filtre Temps vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par type de journal Google Cloud.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation de la détection et de la réponse dans Cloud:

Ensembles de règles CDIR activés: affiche le pourcentage d'ensembles de règles SIEM Google Security Operations activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI pour les utilisateurs du SIEM Google Security Operations. GCTI fournit plusieurs règles prédéfinies et sélectionnées. Vous pouvez activer ou désactiver ces ensembles de règles.
Sources de données GCP couvertes: affiche le pourcentage de sources de données couvertes par rapport au nombre total de sources de données Google Cloud disponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'en envoyez que 20, la carte affiche 50%.
Alertes CDIR: affiche le nombre d'alertes générées par les règles de vos règles GCTI ou menaces Cloud. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pour lesquels ces données sont affichées.
Alertes récentes: affiche les alertes récentes, ainsi que leur gravité et leur score de risque. Vous pouvez trier le tableau à l'aide de la colonne Heure de l'horodatage de l'événement et accéder à chaque alerte pour en savoir plus. Il indique le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés par des ensembles de règles de détection sélectionnés par GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.
Alertes par gravité au fil du temps: affiche le nombre total d'alertes par gravité, avec les tendances au fil du temps. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pour lesquels ces données sont affichées.
Couverture de détection: fournit des informations sur les ensembles de règles Google Security Operations SIEM, leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.
Couverture des données cloud: fournit des informations sur tous les services Google Cloud disponibles, les analyseurs qui couvrent chaque service, l'événement de première vue, l'événement de dernière vue et le débit total.

Pour en savoir plus sur les ensembles de règles CDIR, consultez la page Présentation de la catégorie Cloud Threats.

Le tableau est suivi de graphiques de tous les services Google Cloud et des données associées qui montrent leur tendance d'ingestion sur les intervalles de temps suivants:

Dernières 24 heures
30 derniers jours
6 derniers mois

Détections contextuelles : tableau de bord des risques

Le tableau de bord Détections contextuelles - Risque fournit des informations sur l'état actuel des menaces pesant sur les éléments et les utilisateurs de votre entreprise. Il est créé à l'aide des champs de l'interface d'exploration Détections de règles.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour obtenir un exemple, consultez la section Syntaxe de la section "Résultat". Dans chaque panneau, les données sont triées en fonction de la gravité, puis du score de risque pour identifier les utilisateurs et les composants les plus à risque.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections contextuelles – Risque:

Éléments et appareils à risque: liste les 10 premiers éléments en fonction de la gravité que vous avez définie pour la règle dans Métadonnées > Sévérité. Consultez la section Syntaxe de la section "meta". Les niveaux de gravité sont les suivants : Très élevé, Critique, Élevé, Important, Moyen et Faible. Si la valeur du nom d'hôte n'est pas présente dans l'enregistrement, l'adresse IP s'affiche.
Utilisateurs à risque: liste les 10 premiers utilisateurs en fonction de la gravité. Les niveaux de gravité sont Très élevé, Critique, Élevé, Important, Moyen et Faible. Si la valeur du nom d'utilisateur n'est pas présente dans l'enregistrement, l'ID de messagerie s'affiche.
Risque agrégé: pour chaque date, affiche le score de risque agrégé total.
Résultats de détection: affiche des informations sur les détections renvoyées par les règles du moteur de détection. Le tableau indique le nom de la règle, l'ID de détection, le score de risque et la gravité.

Tableau de bord "Ingestion de données" et "Santé"

Le tableau de bord Ingestion et état des données fournit des informations sur le type, le volume et l'état des données ingérées dans votre locataire SIEM Google Security Operations. Vous pouvez utiliser ce tableau de bord pour surveiller les anomalies dans votre environnement.

Ce tableau de bord fournit des visualisations qui vous aident à comprendre le volume de journaux ingérés, les erreurs d'ingestion et d'autres informations pertinentes. Les données du tableau de bord sont actualisées toutes les 15 minutes. Vous devrez peut-être attendre jusqu'à 15 minutes pour voir les dernières informations.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et état des données:

Nombre d'événements ingérés: nombre total d'événements ingérés.
Nombre d'erreurs d'ingestion: nombre total d'erreurs rencontrées lors de l'ingestion.
Nombre d'erreurs d'analyse: nombre total d'erreurs rencontrées lors de l'analyse.
Nombre d'erreurs de validation: nombre total d'erreurs rencontrées lors de la validation.
Nombre total d'erreurs: nombre total d'erreurs rencontrées.
Distribution des types de journaux par nombre d'événements: affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
Distribution des types de journaux par débit: affiche la distribution des types de journaux en fonction du débit.
Ingestion - Événements par état: affiche le nombre d'événements en fonction de leur état.
Ingestion - Événements par type de journal: affiche le nombre d'événements en fonction de leur état et de leur type de journal.
Événements ingérés récemment: affiche les événements ingérés récemment pour chaque type de journal.
Informations sur les journaux quotidiens: affiche le nombre de journaux pour une journée pour chaque type de journal.
Nombre d'événements par rapport à la taille: compare le nombre d'événements et la taille sur une période donnée.
Débit d'ingestion: affiche le débit d'ingestion sur une période donnée.

Tableau de bord "Correspondances IOC"

Le tableau de bord "Correspondances des indicateurs de compromission" vous permet de visualiser les indicateurs de compromission présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Matchs du CIO:

Correspondances IOC au fil du temps par catégorie: affiche le nombre de correspondances IOC en fonction de leur catégorie.
10 principaux indicateurs d'IOC de domaine: liste les 10 principaux indicateurs d'IOC de domaine, ainsi que leur nombre.
10 principaux indicateurs d'IOC d'adresse IP: liste les 10 principaux indicateurs d'IOC d'adresse IP, ainsi que leur nombre.
Top 10 des composants par correspondances avec l'IOC: liste les 10 composants les plus fréquemment mis en correspondance avec l'IOC, ainsi que leur nombre.
Top 10 des correspondances IOC par catégorie, type et nombre: liste les 10 meilleures correspondances IOC par catégorie, type et nombre.
10 premières valeurs d'IOC: liste les 10 premières valeurs d'IOC, ainsi que leur nombre.
Top 10 des valeurs rarement observées: liste les 10 premières correspondances d'IOC rarement observées, ainsi que leur nombre.

Tableau de bord des détections de règles

Le tableau de bord Détections de règles fournit des informations sur les détections renvoyées par les règles du moteur de détection. Pour recevoir des détections, vous devez activer des règles. Pour en savoir plus, consultez Exécuter une règle sur des données en temps réel.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections de règles:

Détections de règles au fil du temps: indique le nombre de détections de règles sur une période donnée.
Détections de règles par gravité: affiche la gravité des détections de règles.
Détections de règles par gravité au fil du temps: affiche le nombre quotidien de détections par gravité au fil du temps.
10 noms de règles les plus courants par détection: liste des 10 règles renvoyant le plus grand nombre de détections.
Détections de règles par nom au fil du temps: affiche les règles qui ont renvoyé des détections chaque jour et le nombre de détections renvoyées.
10 principaux utilisateurs par détection de règles: liste les 10 principaux identifiants utilisateur qui sont apparus dans les événements ayant déclenché des détections.
Top 10 des noms d'éléments par détection de règles: liste les 10 premiers noms d'éléments qui sont apparus dans les événements ayant déclenché des détections, comme l'hôte.
10 premières adresses IP par détection de règles: liste les 10 premières adresses IP qui sont apparues dans les événements ayant déclenché des détections.

Le tableau de bord Vue d'ensemble des connexions des utilisateurs fournit des insights sur les utilisateurs qui se connectent à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'accès à votre entreprise par des acteurs malveillants.

Par exemple, vous pouvez constater qu'un utilisateur particulier a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder de manière répétée à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Vue d'ensemble des connexions des utilisateurs:

Nombre de connexions réussies: nombre total de connexions réussies.
Nombre de connexions ayant échoué: nombre total de connexions ayant échoué.
Connexions par état: affiche la répartition des connexions réussies et des connexions ayant échoué.
Connexions par état au fil du temps: affiche la répartition des connexions réussies et échouées sur la période.
10 premières applications par connexions: affiche la répartition des 10 premières applications fréquentes en fonction du nombre de connexions.
Connexions par application: indique le nombre d'états de connexion pour chaque application. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Consultez la section Types d'événements énumérés.
Top 10 des pays par connexions: affiche le nombre de connexions provenant des 10 premiers pays.
Connexions par pays: affiche le nombre de pays dans lesquels les utilisateurs se sont connectés.
10 connexions principales par adresse IP: affiche les 10 adresses IP principales à partir desquelles les utilisateurs se sont connectés.
Carte des lieux de connexion: affiche les emplacements des adresses IP à partir desquelles les utilisateurs se sont connectés.
10 utilisateurs les plus actifs par état de connexion: affiche le nombre d'états de connexion pour chaque utilisateur. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Consultez la section Types d'événements énumérés.

Étape suivante

Découvrez comment créer un tableau de bord personnalisé.