Visão geral dos painéis

Os painéis do SIEM do Google Security Operations podem ser usados para visualizar e analisar os dados no SIEM do Google Security Operations, incluindo telemetria de segurança, métricas de ingestão, detecções, alertas e IOCs. Esses painéis são criados com base nos recursos do Looker.

O Google Security Operations SIEM oferece vários painéis padrão, descritos neste documento. Também é possível criar painéis personalizados.

Painéis padrão

Para acessar a página Painéis, clique em Painéis na navegação à esquerda.

Os painéis padrão contêm visualizações predefinidas dos dados armazenados na instância do SIEM do Google Security Operations. Esses painéis são projetados para um caso de uso específico, como entender o estado do sistema de ingestão de dados do SIEM do Google Security Operations ou monitorar o status de ameaças na sua empresa.

Cada painel padrão inclui um filtro de período que permite visualizar dados de um período específico. Isso pode ser útil ao resolver problemas ou identificar tendências. Por exemplo, é possível usar o filtro para ver dados da semana passada ou de um período específico.

O Google Security Operations SIEM oferece os seguintes painéis padrão:

• Principal
• Detecção e resposta do Cloud
• Detecções baseadas no contexto: risco
• Ingestão e integridade de dados
• Correspondências de IOC
• Detecções de regras
• Visão geral do login do usuário

Painel principal

O painel Principal mostra informações sobre o status do sistema de ingestão de dados do SIEM do Google Security Operations. Ele também inclui um mapa global que destaca a localização geográfica dos IOCs detectados na sua empresa.

No painel Principal, você pode conferir as seguintes visualizações:

• Eventos ingeridos: o número total de eventos ingeridos.
• Capacidade: o volume de dados ingeridos em um período específico.
• Alertas: o número total de alertas que ocorreram.
• Eventos ao longo do tempo: um gráfico de colunas que mostra os eventos ocorridos durante um período.
• Mapa global de ameaças: correspondências de IP de IOC: o local de onde ocorreram os eventos de correspondência de IOC.

Painel de visão geral da detecção e resposta na nuvem

O painel Detecção e resposta na nuvem ajuda você a monitorar o status de segurança do seu ambiente de nuvem e investigar possíveis ameaças. O painel mostra visualizações que ajudam você a entender o volume de fontes de dados, conjuntos de regras, alertas e outras informações.

O filtro Período permite filtrar os dados por período.

Com o filtro Tipo de registro do GCP, é possível filtrar os dados por tipo de registro Google Cloud .

É possível conferir as seguintes visualizações no painel Visão geral da detecção e resposta na nuvem:

• Conjuntos de regras de CDRI ativados: mostra a porcentagem de conjuntos de regras do SIEM do Google Security Operations ativados para seu ambiente de nuvem do total de conjuntos de regras fornecidos pela GCTI para usuários do SIEM do Google Security Operations. A GCTI oferece várias regras pré-empacotadas e selecionadas. É possível ativar ou desativar esses conjuntos de regras.

• Fontes de dados do GCP cobertas: mostra a porcentagem de fontes de dados cobertas do total de fontes disponíveis. Google CloudPor exemplo, se você puder ingerir dados usando 40 tipos de registros, mas enviar dados de apenas 20, o bloco vai mostrar 50%.

• Alertas do CDIR: mostra o número de alertas gerados pelas regras nos conjuntos de regras do GCTI ou nas ameaças do Cloud. Use o filtro Período para definir o número de dias em que esses dados são mostrados.

• Alertas recentes: mostra alertas recentes com a gravidade e a pontuação de risco. É possível classificar a tabela usando a coluna Carimbo de data/hora do evento e navegar até cada alerta para mais informações. Ele fornece o número de descobertas de segurança agregadas aprimoradas pelo Security Command Center. Essas descobertas de segurança são geradas por conjuntos de regras de detecção selecionados pela GCTI e categorizadas por tipo de descoberta. Use o filtro Período para definir o número de dias em que esses dados são mostrados.

• Alertas por gravidade ao longo do tempo: mostra o total de alertas por gravidade, com tendência ao longo do tempo. Use o filtro Período para definir o número de dias em que esses dados são mostrados.

• Cobertura de detecção: fornece informações sobre os conjuntos de regras do SIEM do Google Security Operations e o status deles, o total de detecções e a data da detecção mais recente. Use o filtro Período para definir o número de dias em que esses dados são mostrados.

• Cobertura de dados do Cloud: fornece informações sobre todos os serviços Google Clouddisponíveis, analisadores que cobrem cada serviço, primeiro evento visto, último evento visto e taxa de transferência total.

Para mais informações sobre conjuntos de regras de CIDR, consulte Visão geral da categoria de ameaças na nuvem.

A tabela é seguida por gráficos de todos os serviços Google Cloud com os dados associados que mostram a tendência de ingestão nos seguintes intervalos de tempo:

• Últimas 24 horas
• Últimos 30 dias
• Últimos seis meses

Detecções com reconhecimento de contexto: painel de risco

O painel Detecções baseadas no contexto - risco oferece insights sobre o status atual de ameaças de recursos e usuários na sua empresa. Ela é criada usando campos na interface de análise Detecções de regras.

Os valores de gravidade e pontuação de risco são variáveis definidas em cada regra. Para ver um exemplo, consulte Sintaxe da seção de resultados. Em cada painel, os dados são classificados com base na gravidade e na pontuação de risco para identificar os usuários e ativos mais vulneráveis.

É possível conferir as seguintes visualizações no painel Detecções sensíveis ao contexto - risco:

• Recursos e dispositivos em risco: lista os 10 principais recursos com base na gravidade definida na regra em Meta > Gravidade. Consulte Sintaxe da seção de metadados. Os níveis de gravidade são Super alto, Crítico, Alto, Grande, Médio e Baixo. Se o valor do nome do host não estiver presente no registro, o endereço IP será exibido.
• Usuários em risco: lista os 10 principais usuários com base na gravidade. Os níveis de gravidade são Super High, Critical, High, Large, Medium e Low. Se o valor do nome de usuário não estiver presente no registro, o ID do e-mail será mostrado.
• Risco agregado: para cada data, mostra a pontuação total de risco agregado.
• Resultados da detecção: mostra detalhes sobre as detecções retornadas pelas regras do mecanismo de detecção. A tabela inclui o nome da regra, o ID da detecção, a pontuação de risco e a gravidade.

Ingestão de dados e painel de controle de saúde

O painel Ingestão e integridade de dados fornece informações sobre o tipo, o volume e a integridade dos dados ingeridos no seu locatário do SIEM do Google Security Operations. Use esse painel para monitorar anomalias no seu ambiente.

Esse painel oferece visualizações que ajudam você a entender o volume de registros ingeridos, erros de ingestão e outras informações relevantes. Os dados no painel são atualizados a cada 15 minutos. Portanto, talvez seja necessário aguardar até 15 minutos para ver as informações mais recentes.

Você pode conferir as seguintes visualizações no painel Ingestão de dados e integridade:

• Contagem de eventos ingeridos: o número total de eventos ingeridos.
• Contagem de erros de ingestão: o número total de erros encontrados durante a ingestão.
• Número de erros de análise: o número total de erros encontrados durante a análise.
• Contagem de erros de validação: o número total de erros encontrados durante a validação.
• Contagem total de erros: o número total de erros encontrados.
• Distribuição de tipos de registros por contagem de eventos: mostra a distribuição de tipos de registros com base no número de eventos para cada tipo de registro.
• Distribuição de tipo de registro por taxa de transferência: mostra a distribuição de tipos de registro com base na taxa de transferência.
• Ingestão – Eventos por status: mostra o número de eventos com base no status deles.
• Ingestão - eventos por tipo de registro: mostra o número de eventos com base no status e no tipo de registro.
• Eventos ingeridos recentemente: mostra os eventos ingeridos recentemente para cada tipo de registro.
• Informações de registro diário: mostra o número de registros de um dia para cada tipo de registro.
• Contagem de eventos x tamanho: compara a contagem e o tamanho dos eventos em um período.
• Capacidade de processamento de ingestão: mostra a capacidade de processamento de ingestão durante um período.

Painel de correspondências de IOC

O painel "Correspondências de indicador de comprometimento (IOC)" oferece visibilidade sobre os IOCs presentes na sua empresa.

Você pode conferir as seguintes visualizações no painel Correspondências de IOC:

• Correspondências de IOC ao longo do tempo por categoria: mostra o número de correspondências de IOC com base na categoria.
• 10 principais indicadores de IOC de domínios: lista os 10 principais indicadores de IOC de domínios e a contagem.
• Os 10 principais indicadores de comprometimento (IOCs) de IP: lista os 10 principais indicadores de comprometimento de endereço IP e a contagem.
• 10 principais recursos por correspondências de IOC: lista os 10 principais recursos por correspondências de IOC e a contagem.
• 10 principais correspondências de IOC por categoria, tipo e contagem: lista as 10 principais correspondências de IOC por categoria, tipo e contagem.
• 10 principais valores de IOC: lista os 10 principais valores de IOC e a contagem.
• 10 principais valores raramente vistos: lista as 10 principais correspondências de IOC que ocorrem raramente, além da contagem.

As visualizações de Correspondências de IOC incluem o Filtro de carimbo de data/hora do evento em Campos somente para filtros.

Painel de detecções de regras

O painel Detecções de regras oferece insights sobre as detecções retornadas pelas regras do mecanismo de detecção. Para receber detecções, é necessário ativar as regras. Para mais informações, consulte Executar uma regra em dados ativos.

É possível conferir as seguintes visualizações no painel Detecções de regras:

• Detecções de regras ao longo do tempo: mostra o número de detecções de regras em um período.
• Detecções de regras por gravidade: mostra a gravidade das detecções de regras.
• Detecções de regras por gravidade ao longo do tempo: mostra a contagem diária de detecções por gravidade ao longo do tempo.
• Os 10 principais nomes de regras por detecções: lista as 10 principais regras que retornam o maior número de detecções.
• Detecções de regras por nome ao longo do tempo: mostra as regras que retornaram detecções a cada dia e o número de detecções retornadas.
• Os 10 principais usuários por detecções de regras: lista os 10 principais identificadores de usuário que apareceram em eventos que acionaram detecções.
• 10 principais nomes de recursos por detecções de regras: lista os 10 principais nomes de recursos que apareceram em eventos que acionaram detecções, como nome do host.
• 10 principais IPs por detecções de regras: lista os 10 principais endereços IP que apareceram em eventos que acionaram detecções.

Painel de visão geral do login do usuário

O painel Visão geral do login do usuário oferece insights sobre os usuários que fazem login na sua empresa. Essas informações podem ser úteis para rastrear tentativas de acesso à sua empresa por usuários maliciosos.

Por exemplo, um usuário pode ter tentado acessar sua empresa de um país onde você não tem um escritório, ou um usuário específico pode acessar repetidamente um aplicativo de contabilidade.

Você pode conferir as seguintes visualizações no painel Visão geral do login do usuário:

• Número de logins bem-sucedidos: o número total de logins bem-sucedidos.
• Número de falhas no login: o número total de falhas no login.
• Logins por status: mostra a divisão de logins bem-sucedidos e com falha.
• Logins por status ao longo do tempo: mostra a divisão de logins bem-sucedidos e com falha no período.
• Os 10 principais aplicativos por logins: mostra a divisão dos 10 principais aplicativos frequentes com base no número de logins.
• Logins por aplicativo: lista a contagem do status de login para cada aplicativo. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de eventos.
• Os 10 principais países por logins: mostra a contagem dos 10 principais países de onde os usuários fizeram login.
• Logins por país: mostra a contagem de todos os países de onde os usuários fizeram login.
• Os 10 principais logins por IP: mostra os 10 principais endereços IP de onde os usuários fizeram login.
• Mapa de locais de login: mostra os locais dos endereços IP em que os usuários fizeram login.
• Os 10 principais usuários por status de login: mostra a contagem do status de login de cada usuário. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo security_result.action. Consulte Tipos enumerados de eventos.

A seguir

• Saiba como criar um painel personalizado

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.