資訊主頁總覽

支援的國家/地區:

您可以使用 Google Security Operations SIEM 資訊主頁,查看及分析 Google Security Operations SIEM 中的資料,包括安全性遙測、擷取指標、偵測結果、快訊和 IOC。這些資訊主頁是以 Looker 的功能為基礎建構而成。

Google Security Operations SIEM 提供多個預設資訊主頁,詳情請參閱本文。您也可以建立自訂資訊主頁

預設資訊主頁

如要前往「資訊主頁」頁面,請按一下左側導覽面板中的「資訊主頁」

預設資訊主頁包含預先定義的視覺化圖表,可呈現 Google Security Operations SIEM 執行個體中儲存的資料。這些資訊主頁是為特定用途而設計,例如瞭解 Google Security Operations SIEM 資料擷取系統的狀態,或監控企業中的威脅狀態。

每個預設資訊主頁都包含時間範圍篩選器,可讓您查看特定時間範圍的資料。這有助於排解問題或找出趨勢。舉例來說,您可以使用篩選器查看過去一週或特定時間範圍內的資料。

Google Security Operations SIEM 提供下列預設資訊主頁:

主要資訊主頁

「主要」資訊主頁會顯示 Google Security Operations SIEM 資料擷取系統的狀態資訊。此外,還會顯示全球地圖,標示企業內偵測到的 IOC 地理位置。

您可以在「主要」資訊主頁中查看下列視覺化資料:

  • 擷取的事件:擷取的事件總數。
  • 輸送量:特定時間內擷取的資料量。
  • 快訊:發生快訊的總次數。
  • 一段時間內的事件:顯示一段時間內發生的事件的直條圖。
  • 全球威脅地圖 - IOC IP 比對結果:發生 IOC 比對事件的位置。

Cloud Detection and Response 總覽資訊主頁

雲端偵測與回應資訊主頁可協助您監控雲端環境的安全狀態,並調查潛在威脅。資訊主頁會顯示視覺化內容,協助您瞭解資料來源、規則集、快訊和其他資訊的數量。

時間篩選器可讓您依時間範圍篩選資料。

使用「GCP Log Type」(GCP 記錄類型) 篩選器,即可依記錄類型 Google Cloud 篩選資料。

您可以在「Cloud Detection and Response Overview」資訊主頁中查看下列視覺化內容:

  • 已啟用 CDIR 規則集:顯示為雲端環境啟用的 Google Security Operations SIEM 規則集百分比,以 GCTI 為 Google Security Operations SIEM 使用者提供的規則集總數為基準。GCTI 提供多項預先封裝的精選規則。您可以啟用或停用這些規則集。

  • 涵蓋的 GCP 資料來源:顯示涵蓋的資料來源百分比,以可用資料來源總數為基準。 Google Cloud舉例來說,假設您可擷取 40 種記錄類型,但只傳送 20 種,則動態磚會顯示 50%。

  • CDIR 快訊:顯示 GCTI 規則集或 Cloud 威脅中規則引發的快訊數量。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 近期快訊:顯示近期快訊及其嚴重程度和風險分數。您可以使用「事件時間戳記時間」欄排序表格,並前往各個快訊查看更多資訊。這項指標會提供由 Security Command Center 強化安全防護機制後,彙整的安全性發現項目數量。這些安全防護發現項目是由 GCTI 策劃的偵測規則集生成,並依發現項目類型分類。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 依嚴重程度顯示一段時間內的快訊:顯示依嚴重程度分類的快訊總數,以及一段時間內的趨勢。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 偵測涵蓋範圍:提供 Google Security Operations SIEM 規則集及其狀態、偵測總數,以及最近一次偵測的日期。您可以使用「時間」篩選器,設定要顯示這項資料的天數。

  • 雲端資料涵蓋範圍:提供所有可用服務的相關資訊、涵蓋各項服務的剖析器、首次出現的事件、上次出現的事件,以及總輸送量。 Google Cloud

如要進一步瞭解 CDIR 規則集,請參閱「雲端威脅類別總覽」。

表格下方是所有服務的圖表,以及相關聯的資料,顯示下列時間間隔的擷取趨勢: Google Cloud

  • 過去 24 小時
  • 過去 30 天
  • 過去六個月

情境感知偵測 - 風險資訊主頁

情境感知偵測 - 風險資訊主頁可深入瞭解企業資產和使用者的當前威脅狀態。這項功能是使用「規則偵測」探索介面中的欄位建構而成。

嚴重程度和風險分數值是每個規則中定義的變數。如需範例,請參閱「結果專區語法」。每個面板中的資料都會依嚴重程度排序,然後依風險分數排序,找出風險最高的使用者和資產。

您可以在「Context Aware Detections - Risk」資訊主頁中查看下列視覺化內容:

  • 有風險的資產和裝置:根據您在「中繼資料」 >「嚴重程度」中設定的規則,列出前 10 項資產。請參閱中繼資料區段語法。嚴重程度分為「極高」、「嚴重」、「高」、「大」、「中」和「低」。如果記錄中沒有主機名稱值,系統就會顯示 IP 位址。
  • 高風險使用者:根據嚴重程度列出前 10 位使用者。嚴重程度等級包括「極高」、「嚴重」、「高」、「大」、「中」和「低」。如果記錄中沒有使用者名稱值,系統會顯示電子郵件 ID。
  • 匯總風險:顯示每個日期的匯總風險總分。
  • 偵測結果:顯示偵測引擎規則傳回的偵測詳細資料。表格會顯示規則名稱、偵測 ID、風險分數和嚴重程度。

資料擷取和健康資訊主頁

「資料擷取和健康狀態」資訊主頁會提供資訊,說明擷取至 Google Security Operations SIEM 租戶的資料類型、量和健康狀態。您可以使用這個資訊主頁監控環境中的異常狀況。

這個資訊主頁會顯示圖表,協助您瞭解擷取的記錄數量、擷取錯誤和其他相關資訊。資訊主頁上的資料每 15 分鐘會重新整理一次,因此您可能需要等待最多 15 分鐘,才能看到最新資訊。

您可以在「資料擷取和健康狀態」資訊主頁中查看下列視覺化資料:

  • 擷取的事件數:擷取的事件總數。
  • 擷取錯誤數:擷取期間發生的錯誤總數。
  • 剖析錯誤數:剖析期間發生的錯誤總數。
  • 驗證錯誤數:驗證期間發生的錯誤總數。
  • 錯誤總數:發生錯誤的總次數。
  • 依事件數劃分的記錄類型分布圖:根據各記錄類型的事件數,顯示記錄類型分布情況。
  • 依輸送量劃分的記錄檔類型分布:顯示依輸送量劃分的記錄檔類型分布。
  • 擷取 - 依狀態劃分的事件:顯示依狀態劃分的事件數。
  • 擷取 - 依記錄類型顯示的事件:依事件狀態和記錄類型顯示事件數量。
  • 最近攝入的事件:顯示每種記錄類型最近攝入的事件。
  • 每日記錄資訊:顯示各記錄類型的每日記錄數量。
  • 事件計數與大小:比較一段時間內的事件計數和大小。
  • 擷取總處理量:顯示一段時間內的擷取總處理量。

IOC 比對結果資訊主頁

「入侵指標 (IOC) 比對」資訊主頁可讓您掌握企業中存在的 IOC。

您可以在「IOC Matches」(IOC 比對) 資訊主頁中查看下列視覺化內容:

  • 依類別顯示一段時間內的 IOC 比對結果:根據 IOC 類別顯示比對結果數量。
  • 前 10 大網域 IOC 指標:列出前 10 大網域 IOC 指標和計數。
  • 前 10 大 IP 入侵指標:列出前 10 大 IP 位址入侵指標,以及計數。
  • 前 10 大資產 (依 IOC 相符結果排序):列出前 10 大資產 (依 IOC 相符結果排序),以及相符結果的數量。
  • 依類別、類型和計數列出的前 10 項 IOC 比對結果:依類別和類型列出前 10 項 IOC 比對結果,以及計數。
  • 前 10 大 IOC 值:列出前 10 大 IOC 值,以及計數。
  • 前 10 個罕見值:列出前 10 個罕見的 IOC 相符項目,以及計數。

「IOC 比對」圖表包含「篩選器限定欄位」下的「事件時間戳記篩選器」

規則偵測資訊主頁

「規則偵測」資訊主頁會顯示偵測引擎規則傳回的偵測結果。如要接收偵測結果,請啟用規則。 詳情請參閱「針對即時資料執行規則」。

您可以在「規則偵測」資訊主頁中查看下列視覺化資料:

  • 一段時間內的規則偵測次數:顯示一段時間內的規則偵測次數。
  • 依嚴重程度顯示規則偵測結果:顯示規則偵測結果的嚴重程度。
  • 一段時間內依嚴重程度分類的規則偵測結果:顯示一段時間內每天依嚴重程度分類的偵測次數。
  • 偵測次數排名前 10 的規則名稱:列出偵測次數最多的前 10 項規則。
  • 規則偵測結果 (依名稱和時間):顯示每天傳回偵測結果的規則,以及傳回的偵測結果數量。
  • 按規則偵測次數排序的前 10 位使用者:列出事件中出現的前 10 位使用者 ID,這些事件觸發了偵測。
  • 依規則偵測結果列出的前 10 個資產名稱:列出在觸發偵測的事件中出現的前 10 個資產名稱,例如主機名稱。
  • 按規則偵測結果列出的前 10 個 IP:列出觸發偵測的事件中出現的前 10 個 IP 位址。

使用者登入總覽資訊主頁

「使用者登入總覽」資訊主頁可深入瞭解登入貴企業的使用者。這項資訊有助於追蹤惡意人士嘗試存取您企業的行為。

舉例來說,您可能會發現特定使用者嘗試從您沒有辦公室的國家/地區存取企業,或是特定使用者似乎重複存取會計應用程式。

您可以在「使用者登入總覽」資訊主頁中查看下列視覺化資料:

  • 成功登入次數:成功登入的總次數。
  • 登入失敗次數:登入失敗的總次數。
  • 依狀態劃分的登入次數:顯示登入成功和失敗的次數。
  • 登入狀態隨時間變化:顯示時間範圍內成功和失敗的登入次數。
  • 登入次數前 10 名的應用程式:根據登入次數,顯示前 10 名常用應用程式的分布情況。
  • 依應用程式登入:列出每個應用程式的登入狀態計數。系統會根據您在 security_result.action 欄位中定義的記錄資料,填入各個應用程式的計數。請參閱「事件列舉型別」。
  • 登入次數最多的前 10 個國家/地區:顯示使用者登入次數最多的前 10 個國家/地區。
  • 登入次數 (按國家/地區劃分):顯示使用者登入時所在的國家/地區總數。
  • 前 10 大登入 IP:顯示使用者登入時所用的前 10 大 IP 位址。
  • 登入位置地圖:顯示使用者登入時的 IP 位址位置。
  • 登入狀態前 10 名使用者:顯示每位使用者的登入狀態計數。系統會根據您在 security_result.action 欄位中定義的記錄資料,填入各個應用程式的計數。請參閱「事件列舉型別」。

後續步驟

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。