סקירה כללית של לוח הבקרה של SIEM

נתמך ב:

אפשר להשתמש בלוחות הבקרה של Google Security Operations SIEM כדי להציג ולנתח את הנתונים ב-Google Security Operations SIEM, כולל טלמטריה של אבטחה, מדדי הטמעה, זיהויים, התראות ו-IoC. לוחות הבקרה האלה מבוססים על היכולות של Looker.

ב-Google Security Operations SIEM יש כמה לוחות בקרה שמוגדרים כברירת מחדל, כפי שמתואר במסמך הזה. אפשר גם ליצור מרכזי בקרה בהתאמה אישית.

מרכזי בקרה שמוגדרים כברירת מחדל

לוחצים על מרכזי בקרה ודוחות > מרכזי בקרה כדי לפתוח את הדף מרכזי בקרה.

מרכזי בקרה שמוגדרים כברירת מחדל מכילים תצוגות חזותיות מוגדרות מראש של הנתונים שמאוחסנים במופע SIEM של Google Security Operations. לוחות הבקרה האלה מיועדים לתרחיש שימוש ספציפי, כמו הבנת המצב של מערכת הטמעת הנתונים של Google Security Operations SIEM או מעקב אחר סטטוס האיום בארגון.

כל מרכז בקרה שמוגדר כברירת מחדל כולל מסנן של טווח תאריכים שמאפשר לכם לראות נתונים לתקופה ספציפית. הנתונים האלה יכולים לעזור לכם לפתור בעיות או לזהות מגמות. לדוגמה, אתם יכולים להשתמש במסנן כדי לראות נתונים מהשבוע האחרון או מטווח זמן ספציפי.

כדי להבטיח ביצועים אופטימליים של מרכז הבקרה, כדאי לעיין במאמר בנושא פתרון בעיות.

מערכת Google Security Operations SIEM מספקת את לוחות הבקרה הבאים כברירת מחדל:

לוח הבקרה הראשי

בלוח הבקרה Main מוצג מידע על הסטטוס של מערכת הטמעת הנתונים של Google Security Operations SIEM. היא כוללת גם מפה גלובלית שמציגה את המיקום הגיאוגרפי של ה-IoC שזוהו בארגון.

במרכז השליטה הראשי אפשר לראות את ההמחשות הבאות:

  • אירועים שהוטמעו: המספר הכולל של אירועים שהוטמעו.
  • Throughput: נפח הנתונים שנקלטים בפרק זמן מסוים.
  • התראות: המספר הכולל של זיהויים שהתרחשו במהלך תקופה מסוימת. יכול להיות שמספר ההתראות שמוצגות בדף התראות ואינדיקטורים של פשרות יהיה שונה, כי בדף הזה מוצגות רק התראות עדכניות. מידע נוסף זמין במאמר הצגת התראות.
  • אירועים לאורך זמן: תרשים עמודות שמציג את האירועים שהתרחשו לאורך תקופה.
  • מפת איומים גלובלית – התאמות של כתובות IP של IoC: המיקום שממנו התרחשו אירועים של התאמה של אינדיקטורים לפריצה (IoC).

מרכז הבקרה Cloud Detection and Response Overview

לוח הבקרה Cloud Detection and Response עוזר לכם לעקוב אחרי סטטוס האבטחה של סביבת הענן ולחקור איומים פוטנציאליים. במרכז הבקרה מוצגים נתונים חזותיים שעוזרים להבין את נפח הנתונים ממקורות שונים, את קבוצות הכללים, את ההתראות ומידע נוסף.

המסנן Time מאפשר לכם לסנן את הנתונים לפי תקופה.

המסנן GCP Log Type מאפשר לכם לסנן את הנתונים לפי Google Cloud סוג היומן.

בלוח הבקרה Cloud Detection and Response Overview (סקירה כללית של זיהוי ותגובה בענן) אפשר לראות את אמצעי הוויזואליזציה הבאים:

  • CDIR Rulesets Enabled: אחוז ערכות הכללים של CDIR שהופעלו בסביבת הענן מתוך כל ערכות הכללים ש-GCTI מספקת למשתמשי Google Security Operations SIEM. ‫GCTI מספק כמה כללים מוכנים מראש. אתם יכולים להפעיל או להשבית את קבוצות הכללים האלה.

  • מקורות נתונים ב-GCP שנכללים בכיסוי: מוצג אחוז מקורות הנתונים שנכללים בכיסוי מתוך סך מקורות הנתונים הזמינים. Google Cloud לדוגמה, אם אתם יכולים להטמיע נתונים באמצעות 40 סוגים של יומנים, אבל אתם שולחים נתונים רק לגבי 20 סוגים, האריח יציג 50%.

  • התראות CDIR: מוצג מספר ההתראות שהופקו מהכללים בערכות הכללים של GCTI או מאיומים ב-Cloud. אפשר להשתמש במסנן Time כדי להגדיר את מספר הימים שבהם יוצגו הנתונים האלה.

  • התראות אחרונות: מוצגות התראות אחרונות עם רמת החומרה וציון הסיכון שלהן. אפשר למיין את הטבלה באמצעות העמודה חותמת זמן של אירוע ולעבור לכל התראה כדי לקבל מידע נוסף. הוא מציג את מספר הממצאים המצטברים בנושא אבטחה ששופרו על ידי Security Command Center. ממצאי האבטחה האלה נוצרים על ידי ערכות של כללי זיהוי שאוצרו על ידי GCTI ומסווגים לפי סוג הממצא. אפשר להשתמש במסנן Time כדי להגדיר את מספר הימים שבהם יוצגו הנתונים האלה.

  • התראות לפי חומרה לאורך זמן: כאן מוצגות ההתראות הכוללות לפי חומרה, עם מגמת השינוי לאורך זמן. אפשר להשתמש במסנן Time כדי להגדיר את מספר הימים שבהם הנתונים האלה יוצגו.

  • כיסוי הזיהוי: מספק מידע על ערכות הכללים של Google Security Operations SIEM, על הסטטוס שלהן, על סך הזיהויים ועל התאריך של הזיהוי האחרון. אפשר להשתמש במסנן Time כדי להגדיר את מספר הימים שבהם יוצגו הנתונים האלה.

  • Cloud Data Coverage: מספק מידע על כל השירותים הזמינים Google Cloud, על מנתחי הנתונים שמכסים כל שירות, על האירוע הראשון שנצפה, על האירוע האחרון שנצפה ועל התפוקה הכוללת.

מידע נוסף על קבוצות כללים של CDIR זמין במאמר סקירה כללית על קטגוריית האיומים ב-Cloud.

אחרי הטבלה מופיעים תרשימים של כל Google Cloud השירותים עם הנתונים המשויכים להם, שבהם מוצג מגמת ההטמעה שלהם במרווחי הזמן הבאים:

  • 24 השעות האחרונות
  • 30 הימים האחרונים
  • ‫6 החודשים האחרונים

זיהויים מבוססי-הקשר – לוח בקרה של סיכונים

לוח הבקרה Context Aware Detections - Risk מספק תובנות לגבי הסטטוס הנוכחי של האיומים על נכסים ומשתמשים בארגון. הוא מבוסס על שדות בממשק הניתוח Rule Detections.

ערכי דרגת החומרה וציון הסיכון הם משתנים שמוגדרים בכל כלל. דוגמה מופיעה בקטע תחביר של תוצאות. בכל חלונית, הנתונים ממוינים לפי חומרה, ולאחר מכן לפי ציון הסיכון, כדי לזהות את המשתמשים והנכסים שהסיכון לגביהם הוא הגבוה ביותר.

במרכז הבקרה Context Aware Detections - Risk (זיהויים בהתאם להקשר – סיכון) אפשר לראות את אמצעי הוויזואליזציה הבאים:

  • נכסים ומכשירים בסיכון: רשימה של 10 הנכסים המובילים על סמך רמת החומרה שהגדרתם לכלל בקטע מטא > חומרה. מידע נוסף על התחביר של קטע Meta רמות החומרה הן גבוהה מאוד, קריטית, גבוהה, גדולה, בינונית ונמוכה. אם הערך hostname לא מופיע ברשומה, מוצגת כתובת ה-IP.
  • משתמשים בסיכון: רשימה של 10 המשתמשים המובילים לפי חומרה. רמות החומרה הן גבוהה מאוד, קריטית, גבוהה, גדולה, בינונית ונמוכה. אם הערך username לא מופיע ברשומה, מוצג מזהה האימייל.
  • סיכון מצטבר: לכל תאריך מוצג ציון הסיכון המצטבר הכולל.
  • תוצאות הזיהוי: מוצגים פרטים על הזיהויים שהוחזרו על ידי כללי מנוע הזיהוי. הטבלה כוללת את שם הכלל, מזהה הזיהוי, ציון הסיכון והחומרה.

הטמעת נתונים ומרכז הבקרה 'בריאות'

בלוח הבקרה Data Ingestion and Health אפשר לראות מידע על הסוג, הנפח והמצב של הנתונים שמוזנים לדייר SIEM של Google Security Operations. אתם יכולים להשתמש בלוח הבקרה הזה כדי לעקוב אחרי חריגות בסביבה שלכם. בלוח הבקרה הזה מוצגים נתונים חזותיים שעוזרים להבין את נפח היומנים שהועברו, שגיאות בהעברה ומידע רלוונטי אחר.

במרכז הבקרה Data Ingestion and Health (העברת נתונים ובדיקת תקינות) אפשר לראות את אמצעי הוויזואליזציה הבאים:

  • מסנן הזמן הגלובלי שהוגדר בלוח הבקרה חל על התצוגות החזותיות הבאות:

    • מספר האירועים שהועברו: המספר הכולל של האירועים שהועברו.
    • התפלגות סוגי היומנים לפי קצב העברת הנתונים: כאן מוצגת התפלגות סוגי היומנים על סמך קצב העברת הנתונים.
    • Throughput: בעמודה הזו מוצג קצב ההעברה של הנתונים.
    • התפלגות סוגי היומנים לפי מספר האירועים: מציג את התפלגות סוגי היומנים על סמך מספר האירועים לכל סוג יומן.
    • מספר השגיאות בהעברה: מספר השגיאות הכולל שנתקלו בהן במהלך ההעברה.
    • הוספה למאגר – אירועים לפי סטטוס: מוצגת טבלה עם אירועים לפי הסטטוס שלהם. אפשר למיין את הטבלה לפי העמודות הבאות: תאריך, יומנים שהתווספו למאגר, אירועים שעברו נורמליזציה, שגיאות בניתוח, שגיאות באימות, שגיאות בהוספה לאינדקס.
    • תרשים של מגבלת פרץ – קצב ההטמעה: מציג את קצב ההטמעה של יומני הגישה לפי שעה לאורך זמן (ראו מגבלות פרץ).
    • תרשים של מגבלת פרץ – מגבלת נפח: מציג את מכסת ההעברה של יומנים לפי שעה לאורך זמן (ראו מגבלות פרץ).
    • תרשים של דחיית פרצי תנועה: מציג את הנפח השעתי לאורך זמן של יומנים שנדחו בגלל חריגה ממגבלת פרצי התנועה (ראו מגבלות פרצי תנועה).
    • הטמעה – אירועים לפי סוג יומן: מוצגים אירועים על סמך סוג היומן – אפשר למיין לפי העמודות: סוג יומן, קצב העברת נתונים (throughput) של נתונים שהוטמעו, יומנים שהוטמעו, אירועים שעברו נורמליזציה, שגיאות בניתוח, שגיאות באימות, שגיאות ביצירת אינדקס.

    • Bindplane Agent Logging - Logs by Severity over Time: מציג את מספר היומנים לפי חומרה לאורך זמן. הוויזואליזציה הזו מוצגת בלוח הבקרה רק כש-Google SecOps קולט יומנים מסוכן Bindplane.

    • Bindplane Agent Logging - Message Count: מוצג מספר היומנים לפי טקסט ההודעה. אפשר למיין לפי העמודות: Severity, ‏ Message, ‏ Total, ‏ First Seen, ‏ Last Seen. הוויזואליזציה הזו מוצגת בלוח הבקרה רק כש-Google SecOps קולט יומנים מסוכן Bindplane.

  • מסגרות הזמן של התרשימים הבאים נבחרות מראש ולא מושפעות ממסנן הזמן הגלובלי:

    • אירועים שהועברו לאחרונה: מציג אירועים שהועברו לאחרונה לכל סוג יומן.
    • מידע ביומן יומי: מוצגים מספר היומנים ליום עבור כל סוג יומן.
    • מספר אירועים (24 השעות האחרונות) וגודל האירוע (24 השעות האחרונות): מוצגים מספר האירועים וגודל האירועים ב-24 השעות האחרונות.
    • ספירת אירועים (7 הימים האחרונים) וגודל האירוע (7 הימים האחרונים): מציגים את ספירת האירועים ואת גודל האירועים ב-7 הימים האחרונים.
    • Event Count (Last 3 Months) ו-Event Size (Last 3 Months): מציגים את מספר האירועים ואת גודל האירועים ב-3 החודשים האחרונים.
    • הטמעה – קצב העברת נתונים לפי שעה: מוצג קצב העברת הנתונים לפי שעה.
    • קליטה – תפוקה שבועית: מוצגת תפוקת הקליטה השבועית.
    • Ingestion - Throughput (Last 6 months): מציג את קצב ההעברה של נתונים ל-BigQuery במהלך 6 החודשים האחרונים.
    • הטמעה – קצב העברת נתונים (בכל הזמנים): מציג את קצב העברת הנתונים בשנה לכל התקופה שקיימים לגביה נתונים.
    • מספר הימים שעברו מאז שהמארח דיווח על אירוע (7 הימים האחרונים): מספר הימים שעברו מאז שהמארחים דיווחו על אירוע (ב-7 הימים האחרונים).

לוח הבקרה 'התאמות של IoC'

בלוח הבקרה IoC Matches אפשר לראות את ה-IoC שקיימים בארגון.

במרכז השליטה IoC Matches אפשר לראות את התרשימים הבאים:

  • התאמות של IoC לאורך זמן לפי קטגוריה: מוצג מספר ההתאמות של IoC על סמך הקטגוריה שלהן.
  • 10 הדומיינים המובילים עם אינדיקטורים של IoC: רשימה של 10 הדומיינים המובילים עם אינדיקטורים של IoC והספירות שלהם.
  • 10 האינדיקטורים המובילים של IoC בכתובות IP: רשימה של 10 האינדיקטורים המובילים של IoC בכתובות IP והספירה שלהם.
  • 10 הנכסים המובילים לפי התאמות של IoC: רשימה של 10 הנכסים המובילים לפי התאמות של IoC, והמספרים שלהם.
  • 10 ההתאמות המובילות של IoC לפי קטגוריה, סוג וספירה: רשימה של 10 ההתאמות המובילות של IoC לפי קטגוריה, סוג והספירה שלהן.
  • 10 הערכים המובילים של IoC: רשימה של 10 הערכים המובילים של IoC עם הספירה.
  • 10 הערכים המובילים שמופיעים לעיתים רחוקות: רשימה של 10 ההתאמות המובילות של IoC שמופיעות לעיתים רחוקות, והספירה שלהן.

הוויזואליזציות של IoC Matches כוללות את Event Timestamp Filter בקטע Filter-only fields.

לוח הבקרה Rule Detections (זיהוי כללים)

לוח הבקרה Rule Detections מספק תובנות לגבי הזיהויים שמוחזרים על ידי כללים של מנוע הזיהוי. כדי לקבל זיהויים, צריך להפעיל כללים. מידע נוסף זמין במאמר בנושא הפעלת כלל על נתונים בזמן אמת.

במרכז השליטה Rule Detections (זיהויים של כללים) אפשר לראות את אמצעי הוויזואליזציה הבאים:

  • Rule Detections Over Time: מציג את מספר הזיהויים של כללים לאורך תקופה.
  • זיהוי כללים לפי חומרה: מוצגת החומרה של זיהוי הכללים.
  • זיהוי כללים לפי חומרה לאורך זמן: מוצג מספר הזיהויים היומי לפי חומרה לאורך זמן.
  • Top 10 Rule Names by Detections: רשימה של 10 הכללים המובילים שמחזירים את המספר הגדול ביותר של זיהויים.
  • Rule Detections by Name Over Time (זיהויים של כללים לפי שם לאורך זמן): מוצגים הכללים שהחזירו זיהויים בכל יום ומספר הזיהויים שהוחזרו.
  • 10 המשתמשים המובילים לפי זיהויים של כללים: רשימה של 10 מזהי המשתמשים המובילים שהופיעו באירועים שהפעילו זיהויים.
  • 10 השמות המובילים של נכסים לפי זיהויים של כללים: רשימה של 10 השמות המובילים של נכסים שהופיעו באירועים שהפעילו זיהויים, כמו שם המארח.
  • 10 כתובות ה-IP המובילות לפי זיהוי כללים: רשימה של 10 כתובות ה-IP המובילות שהופיעו באירועים שהפעילו זיהויים.

לוח הבקרה 'סקירה כללית של כניסת משתמשים'

לוח הבקרה סקירה כללית של כניסת משתמשים מספק תובנות לגבי משתמשים שנכנסים לארגון שלכם. המידע הזה יכול להיות שימושי למעקב אחרי ניסיונות של גורמים זדוניים לגשת לארגון שלכם.

לדוגמה, יכול להיות שתגלו שמשתמש מסוים ניסה לגשת לארגון שלכם ממדינה שאין לכם בה משרד, או שמשתמש מסוים נראה כאילו הוא ניגש שוב ושוב לאפליקציית הנהלת חשבונות.

במרכז הבקרה סקירה כללית של כניסת משתמשים אפשר לראות את הוויזואליזציות הבאות:

  • מספר הכניסות המוצלחות: המספר הכולל של הכניסות המוצלחות.
  • מספר ניסיונות הכניסה שנכשלו: המספר הכולל של ניסיונות הכניסה שנכשלו.
  • כניסות לפי סטטוס: מציג את החלוקה של כניסות מוצלחות וכניסות שנכשלו.
  • כניסות לפי סטטוס לאורך זמן: מוצג פיצול של כניסות מוצלחות וכניסות שנכשלו לאורך טווח הזמן.
  • 10 האפליקציות המובילות לפי כניסות: מציג את הפילוח של 10 האפליקציות הנפוצות ביותר על סמך מספר הכניסות.
  • כניסות לפי אפליקציה: רשימה של מספר הכניסות לכל אפליקציה. המספר של כל אפליקציה מאוכלס על סמך נתוני היומן שאתם מגדירים בשדה security_result.action. מידע נוסף זמין במאמר בנושא סוגים ממוספרים של אירועים.
  • 10 המדינות המובילות לפי כניסות: מוצג מספר הכניסות של משתמשים מ-10 המדינות המובילות.
  • כניסות לחשבון לפי מדינה: מוצגת ספירה של כל המדינות שמהן המשתמשים נכנסו לחשבון.
  • 10 הכניסות המובילות לפי כתובת IP: מציג את 10 כתובות ה-IP המובילות שמהן המשתמשים נכנסו לחשבון.
  • מפה של מיקומי כניסה: מוצגים בה המיקומים של כתובות ה-IP שמהן המשתמשים נכנסו לחשבון.
  • 10 המשתמשים המובילים לפי סטטוס הכניסה: מוצג מספר המשתמשים לפי סטטוס הכניסה של כל משתמש. המספר של כל אפליקציה מאוכלס על סמך נתוני היומן שאתם מגדירים בשדה security_result.action. מידע נוסף זמין במאמר בנושא סוגים ממוספרים של אירועים.

פתרון בעיות

בקטע הזה מפורטות ציפיות הביצועים ומוצעים תיקונים בשירות עצמי לבעיות נפוצות בלוח הבקרה ובחיפוש.

אופטימיזציה של ביצועי לוחות הבקרה

כדי להבטיח שמרכזי הבקרה והחיפושים שלכם יישארו רספונסיביים כשעובדים עם מערכי נתונים גדולים, צריך להתאים את התצוגות החזותיות למגבלות העיבוד של הפלטפורמה. בממשק המשתמש של Google SecOps יש מגבלה של 10,000 שורות לתצוגה חזותית. חריגה מהסף הזה עלולה לגרום לכרטיסיית הדפדפן להפסיק להגיב, וזה עלול להתפרש כהפסקת פעילות של הפלטפורמה.

כדי להציג נתוני יומן בכמות גדולה בצורה יעילה:

  • תמיד כדאי להחיל מסנן 'ה-N העליונים' (לדוגמה, 10 כתובות ה-IP המובילות) על נתונים מצטברים לפני העיבוד.
  • כשמבצעים חיפושים בלוגים גולמיים, כדאי לצמצם את טווח הזמן של החיפוש למרווחים של 15 דקות או שעה.
  • אם אתם צריכים לגשת ליותר מ-10,000 שורות, אתם יכולים להשתמש בתכונות ייצוא ל-CSV או BigQuery.

המאמרים הבאים

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.