Panoramica delle dashboard

Supportato in:

I dashboard SIEM di Google Security Operations possono essere utilizzati per visualizzare e analizzare i dati in Google Security Operations SIEM, inclusi telemetria di sicurezza, metriche di importazione, rilevamenti, avvisi e indicatori di compromissione. Queste dashboard si basano sulle funzionalità di Looker.

Google Security Operations SIEM fornisce più dashboard predefinite, descritte in questo documento. Puoi anche creare dashboard personalizzate.

Dashboard predefinite

Per passare alla pagina Dashboard, fai clic su Dashboard nel riquadro di navigazione a sinistra.

Le dashboard predefinite contengono visualizzazioni predefinite dei dati archiviati nell'istanza SIEM di Google Security Operations. Queste dashboard sono progettate per un caso d'uso specifico, ad esempio per comprendere lo stato del sistema di importazione dati SIEM di Google Security Operations o per monitorare lo stato delle minacce nella tua azienda.

Ogni dashboard predefinita include un filtro dell'intervallo di tempo che ti consente di visualizzare i dati per un periodo di tempo specifico. Queste informazioni possono essere utili per la risoluzione dei problemi o l'identificazione delle tendenze. Ad esempio, puoi utilizzare il filtro per visualizzare i dati relativi alla settimana precedente o a un intervallo di tempo specifico.

Google Security Operations SIEM fornisce i seguenti dashboard predefiniti:

Dashboard principale

La dashboard Principale mostra informazioni sullo stato del sistema di importazione dati SIEM di Google Security Operations. Include anche una mappa globale che evidenzia la posizione geografica degli IOC rilevati all'interno della tua azienda.

Nella dashboard Principale puoi visualizzare le seguenti visualizzazioni:

  • Eventi importati: il numero totale di eventi importati.
  • Throughput: il volume di dati inseriti per un periodo di tempo specifico.
  • Avvisi: il numero totale di avvisi generati.
  • Eventi nel tempo: un grafico a colonne che mostra gli eventi che si sono verificati in un determinato periodo di tempo.
  • Mappa globale delle minacce - Corrispondenze IP IOC: la posizione da cui si sono verificati gli eventi di corrispondenza IOC.

Dashboard Panoramica di Cloud Detection and Response

La dashboard Cloud Detection and Response ti aiuta a monitorare lo stato di sicurezza del tuo ambiente cloud e a esaminare le potenziali minacce. La dashboard mostra visualizzazioni che ti aiutano a comprendere il volume di origini dati, set di regole, avvisi e altre informazioni.

Il filtro Ora consente di filtrare i dati in base al periodo di tempo.

Il filtro Tipo di log GCP consente di filtrare i dati in base al tipo di log. Google Cloud

Nella dashboard Panoramica di Cloud Detection and Response puoi visualizzare le seguenti visualizzazioni:

  • Set di regole CDIR attivati: mostra la percentuale di set di regole SIEM di Google Security Operations attivati per il tuo ambiente cloud rispetto al totale dei set di regole forniti da GCTI per gli utenti di SIEM di Google Security Operations. GCTI fornisce più regole curate preconfigurate. Puoi attivare o disattivare questi insiemi di regole.

  • Origini dati GCP coperte: mostra la percentuale di origini dati coperte sul totale delle origini dati disponibili. Google CloudAd esempio, se puoi importare dati utilizzando 40 tipi di log, ma invii dati solo per 20, il riquadro mostra il 50%.

  • Avvisi CDIR: mostra il numero di avvisi generati dalle regole all'interno dei tuoi set di regole GCTI o delle minacce cloud. Puoi utilizzare il filtro Ora per impostare il numero di giorni per cui vengono visualizzati questi dati.

  • Avvisi recenti: mostra gli avvisi recenti con la relativa gravità e il punteggio di rischio. Puoi ordinare la tabella utilizzando la colonna Ora timestamp evento e andare a ogni avviso per maggiori informazioni. Fornisce il numero di risultati di sicurezza aggregati migliorati da Security Command Center. Questi risultati di sicurezza sono generati da set di regole di rilevamento curate da GCTI e classificate per tipo di risultato. Puoi utilizzare il filtro Ora per impostare il numero di giorni per cui vengono visualizzati questi dati.

  • Avvisi per gravità nel tempo: mostra il totale degli avvisi per gravità, nel tempo. Puoi utilizzare il filtro Ora per impostare il numero di giorni per cui vengono visualizzati questi dati.

  • Copertura del rilevamento: fornisce informazioni sui set di regole SIEM di Google Security Operations e sul loro stato, sul numero totale di rilevamenti e sulla data del rilevamento più recente. Puoi utilizzare il filtro Ora per impostare il numero di giorni per cui vengono visualizzati questi dati.

  • Copertura dei dati cloud: fornisce informazioni su tutti i servizi Google Cloud disponibili, sugli analizzatori che coprono ciascun servizio, sul primo evento visualizzato, sull'ultimo evento visualizzato e sul throughput totale.

Per ulteriori informazioni sui set di regole CDIR, consulta Panoramica della categoria Minacce cloud.

La tabella è seguita da grafici di tutti i Google Cloud servizi con i relativi dati che mostrano la tendenza di importazione nei seguenti intervalli di tempo:

  • Ultime 24 ore
  • Ultimi 30 giorni
  • Ultimi sei mesi

Rilevamenti sensibili al contesto - Dashboard dei rischi

La dashboard Rilevamenti sensibili al contesto - Rischio fornisce informazioni sullo stato attuale delle minacce per asset e utenti della tua azienda. È creato utilizzando i campi nell'interfaccia di esplorazione Rilevamenti delle regole.

I valori di gravità e punteggio di rischio sono variabili definite in ogni regola. Per un esempio, vedi Sintassi della sezione Risultato. In ogni riquadro, i dati vengono ordinati in base alla gravità e poi al punteggio di rischio per identificare gli utenti e gli asset più a rischio.

Nella dashboard Rilevamenti sensibili al contesto - Rischio puoi visualizzare le seguenti visualizzazioni:

  • Asset e dispositivi a rischio: elenca i primi 10 asset in base alla gravità che hai impostato nella regola in Meta > Gravità. Consulta la sintassi della sezione Meta. I livelli di gravità sono Super alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome host non è presente nel record, viene visualizzato l'indirizzo IP.
  • Utenti a rischio: elenca i primi 10 utenti in base alla gravità. I livelli di gravità sono Super alta, Critica, Alta, Grande, Media e Bassa. Se il valore del nome utente non è presente nel record, viene visualizzato l'ID email.
  • Rischio aggregato: per ogni data, mostra il punteggio di rischio aggregato totale.
  • Risultati del rilevamento: mostra i dettagli sui rilevamenti restituiti dalle regole del motore di rilevamento. La tabella include il nome della regola, l'ID rilevamento, il punteggio di rischio e la gravità.

Importazione dati e dashboard Salute

La dashboard Importazione e integrità dei dati fornisce informazioni sul tipo, sul volume e sull'integrità dei dati importati nel tenant SIEM di Google Security Operations. Puoi utilizzare questa dashboard per monitorare le anomalie nel tuo ambiente.

Questa dashboard fornisce visualizzazioni che ti aiutano a comprendere il volume di log inseriti, gli errori di inserimento e altre informazioni pertinenti. I dati sulla dashboard vengono aggiornati ogni 15 minuti, quindi potresti dover attendere fino a 15 minuti per visualizzare le informazioni più recenti.

Nella dashboard Importazione e integrità dei dati puoi visualizzare le seguenti visualizzazioni:

  • Conteggio eventi importati: il numero totale di eventi importati.
  • Conteggio errori di importazione: il numero totale di errori riscontrati durante l'importazione.
  • Conteggio errori di analisi: il numero totale di errori riscontrati durante l'analisi.
  • Conteggio errori di convalida: il numero totale di errori riscontrati durante la convalida.
  • Numero di errori totali: il numero totale di errori riscontrati.
  • Distribuzione dei tipi di log per conteggio eventi: mostra la distribuzione dei tipi di log in base al numero di eventi per ciascun tipo di log.
  • Distribuzione dei tipi di log in base alla velocità effettiva: mostra la distribuzione dei tipi di log in base alla velocità effettiva.
  • Importazione - Eventi per stato: mostra il numero di eventi in base al loro stato.
  • Importazione - Eventi per tipo di log: mostra il numero di eventi in base al loro stato e al tipo di log.
  • Eventi importati di recente: mostra gli eventi importati di recente per ogni tipo di log.
  • Informazioni sui log giornalieri: mostra il numero di log per un giorno per ogni tipo di log.
  • Conteggio eventi vs Dimensione: confronta il conteggio e la dimensione degli eventi in un periodo di tempo.
  • Throughput di importazione: mostra il throughput di importazione in un determinato periodo di tempo.

Dashboard Corrispondenze IOC

La dashboard Indicatori di compromissione (IOC) corrispondenze offre visibilità sugli IOC presenti nella tua azienda.

Nella dashboard Corrispondenze IOC puoi visualizzare le seguenti visualizzazioni:

  • Corrispondenze IOC nel tempo per categoria: mostra il numero di corrispondenze IOC in base alla categoria.
  • Indicatori IOC dei primi 10 domini: elenca i primi 10 indicatori IOC dei domini insieme al conteggio.
  • I 10 principali indicatori IOC IP: elenca i 10 principali indicatori IOC dell'indirizzo IP insieme al conteggio.
  • Prime 10 risorse per corrispondenze IOC: elenca le prime 10 risorse per corrispondenze IOC insieme al conteggio.
  • Prime 10 corrispondenze IOC per categoria, tipo e conteggio: elenca le prime 10 corrispondenze IOC per categoria, tipo e conteggio.
  • I 10 valori IOC principali: elenca i 10 valori IOC principali insieme al conteggio.
  • I 10 valori visualizzati raramente: elenca le 10 corrispondenze IOC che si verificano raramente insieme al conteggio.

Le visualizzazioni Corrispondenze IOC includono il Filtro timestamp evento in Campi solo con filtri.

Dashboard Rilevamenti delle regole

La dashboard Rilevamenti delle regole fornisce informazioni dettagliate sui rilevamenti restituiti dalle regole del motore di rilevamento. Per ricevere i rilevamenti, devi attivare le regole. Per saperne di più, vedi Eseguire una regola sui dati attivi.

Nella dashboard Rilevamenti delle regole puoi visualizzare le seguenti visualizzazioni:

  • Rilevamenti delle regole nel tempo: mostra il numero di rilevamenti delle regole in un determinato periodo di tempo.
  • Rilevamenti delle regole per gravità: mostra la gravità dei rilevamenti delle regole.
  • Rilevamenti delle regole per gravità nel tempo: mostra il conteggio giornaliero dei rilevamenti per gravità nel tempo.
  • I 10 nomi delle regole più importanti per rilevamenti: elenca le 10 regole che restituiscono il maggior numero di rilevamenti.
  • Rilevamenti delle regole per nome nel tempo: mostra le regole che hanno restituito rilevamenti ogni giorno e il numero di rilevamenti restituiti.
  • I 10 utenti principali per rilevamenti di regole: elenca i 10 identificatori utente principali visualizzati negli eventi che hanno attivato i rilevamenti.
  • I 10 nomi di asset principali per rilevamenti di regole: elenca i 10 nomi di asset principali visualizzati negli eventi che hanno attivato i rilevamenti, ad esempio il nome host.
  • I 10 indirizzi IP principali per rilevamenti di regole: elenca i 10 indirizzi IP principali visualizzati negli eventi che hanno attivato i rilevamenti.

Dashboard Panoramica dell'accesso utente

La dashboard Panoramica dell'accesso utente fornisce informazioni sugli utenti che accedono alla tua azienda. Queste informazioni possono essere utili per monitorare i tentativi di accesso alla tua azienda da parte di malintenzionati.

Ad esempio, potresti scoprire che un determinato utente ha tentato di accedere alla tua azienda da un paese in cui non hai una sede o che un utente specifico sembra accedere ripetutamente a un'applicazione di contabilità.

Nella dashboard Panoramica accesso utenti puoi visualizzare le seguenti visualizzazioni:

  • Numero di accessi riusciti: il numero totale di accessi riusciti.
  • Numero di accessi non riusciti: il numero totale di accessi non riusciti.
  • Accessi per stato: mostra la suddivisione degli accessi riusciti e non riusciti.
  • Accessi per stato nel tempo: mostra la suddivisione degli accessi riusciti e non riusciti nell'intervallo di tempo.
  • Le 10 app più utilizzate per gli accessi: mostra la suddivisione delle 10 app più utilizzate in base al numero di accessi.
  • Accessi per applicazione: elenca il conteggio dello stato di accesso per ogni applicazione. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Vedi Tipi enumerati di eventi.
  • I 10 paesi principali per accessi: mostra il conteggio dei 10 paesi principali da cui gli utenti hanno eseguito l'accesso.
  • Accessi per paese: mostra il conteggio di tutti i paesi da cui gli utenti hanno eseguito l'accesso.
  • I 10 accessi principali per IP: mostra i 10 indirizzi IP principali da cui gli utenti hanno eseguito l'accesso.
  • Mappa delle località di accesso: mostra le posizioni degli indirizzi IP da cui gli utenti hanno eseguito l'accesso.
  • I 10 utenti principali per stato di accesso: mostra il conteggio dello stato di accesso per ogni utente. Il conteggio di ogni applicazione viene compilato in base ai dati di log definiti nel campo security_result.action. Vedi Tipi enumerati di eventi.

Passaggi successivi

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.