信息中心概览

使用 Google Security Operations SIEM 信息中心查看和分析 Google Security Operations SIEM 中的数据，包括安全遥测数据、注入指标、检测结果、提醒和 IoC。这些信息中心基于 Looker 的功能。

Google Security Operations SIEM 为您提供了多个默认信息中心，本文档将对此进行介绍。您还可以创建自定义信息中心。

默认信息中心

依次点击信息中心和报告 > 信息中心，打开信息中心页面。

默认信息中心包含 Google Security Operations SIEM 实例中存储的数据的预定义可视化图表。这些信息中心是针对特定使用情形设计的，例如了解 Google Security Operations SIEM 数据注入系统的状态或监控企业中的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件，可让您查看特定时间段的数据。这有助于排查问题或识别趋势。例如，您可以使用过滤条件查看过去一周或特定时间范围内的数据。

Google Security Operations SIEM 提供以下默认信息中心：

• 主要
• Cloud Detection and Response
• 情境感知检测 - 风险
• 数据健康状况监控
• 数据注入和健康状况
• IoC 匹配项
• 规则检测
• 用户登录概览

主信息中心

主信息中心显示有关 Google Security Operations SIEM 数据注入系统状态的信息。它还包含一个全球地图，其中突出显示了在您的企业内检测到的 IOC 的地理位置。

您可以在主要信息中心内查看以下可视化图表：

• 注入的事件：注入的事件总数。
• 吞吐量：在特定时间内提取的数据量。
• 提醒：一段时间内发生的检测总数。提醒和 IOC 页面上显示的提醒数量可能有所不同，因为此页面仅显示当前提醒。如需了解详情，请参阅查看提醒。
• 随时间变化的事件：显示一段时间内发生的事件的柱状图。
• 全球威胁地图 - IoC IP 匹配：发生失陷指标 (IoC) 匹配事件的位置。

“云检测和响应概览”信息中心

云检测和响应信息中心可帮助您监控云环境的安全状况并调查潜在威胁。该信息中心显示可视化数据，可帮助您了解数据源、规则集、提醒和其他信息的数量。

借助时间过滤条件，您可以按时间段过滤数据。

借助 GCP 日志类型过滤条件，您可以按 Google Cloud 日志类型过滤数据。

您可以在 Cloud 检测和响应概览信息中心内查看以下可视化图表：

• 已启用的 CDRI 规则集：显示为您的云环境启用的 Google Security Operations SIEM 规则集占 GCTI 为 Google Security Operations SIEM 用户提供的规则集总数的百分比。GCTI 提供多个预打包的精选规则。您可以启用或停用这些规则集。

• 涵盖的 GCP 数据源：显示涵盖的数据源占可用数据源总数 ( Google Cloud) 的百分比。例如，如果您可以使用 40 种日志类型注入数据，但您只发送了 20 种日志类型的数据，则该图块会显示 50%。

• CDIR 提醒：显示根据 GCTI 规则集或云威胁中的规则触发的提醒数量。您可以使用时间过滤条件来设置显示相应数据的天数。

• 近期提醒：显示近期提醒及其严重程度和风险评分。您可以使用“事件时间戳时间”列对表格进行排序，然后前往每条提醒查看更多信息。它会显示由 Security Command Center 增强的汇总安全发现结果的数量。这些安全发现结果由 GCTI 精选检测规则集生成，并按发现结果类型进行分类。您可以使用时间过滤条件来设置显示相应数据的天数。

• 按严重程度划分的提醒（随时间变化）：显示按严重程度划分的总提醒数，随时间变化的趋势。您可以使用时间过滤条件来设置显示相应数据的天数。

• 检测覆盖范围：提供有关 Google Security Operations SIEM 规则集及其状态、检测总数和最新检测日期的信息。 您可以使用时间过滤条件来设置显示相应数据的天数。

• 云数据覆盖范围：提供有关所有可用 Google Cloud服务、涵盖每项服务的解析器、首次发现的事件、上次发现的事件以及总吞吐量的信息。

如需详细了解 CDIR 规则集，请参阅云威胁类别概览。

下表后面是所有 Google Cloud 服务的图表，其中包含相关数据，显示了这些服务在以下时间间隔内的提取趋势：

• 过去 24 小时
• 过去 30 天
• 过去六个月

情境感知检测 - 风险信息中心

情境感知检测 - 风险信息中心可帮助您了解企业中资产和用户的当前威胁状态。它是使用规则检测探索界面中的字段构建的。

严重程度和风险得分值是每条规则中定义的变量。如需查看示例，请参阅结果部分语法。在每个面板中，数据会先按严重程度排序，然后再按风险得分排序，以便识别风险最高的用户和资产。

您可以在情境感知检测 - 风险信息中心内查看以下可视化图表：

• 存在风险的资产和设备：根据您在元 > 严重程度中设置的规则，列出风险最高的 10 项资产。请参阅元部分语法。 严重程度分为极高、严重、高、大、中和低。如果记录中没有 hostname 值，则显示 IP 地址。
• 存在风险的用户：根据严重程度列出前 10 位用户。严重程度分为极高、严重、高、大、中和低。如果记录中不存在 username 值，则显示电子邮件 ID。
• 汇总风险：显示每个日期的总汇总风险得分。
• 检测结果：显示检测引擎规则返回的检测结果的详细信息。该表格包含规则名称、检测 ID、风险得分和严重程度。

“数据注入和健康状况”信息中心

数据提取和运行状况信息中心提供有关提取到 Google Security Operations SIEM 租户的数据类型、数量和运行状况的信息。您可以使用此信息中心监控环境中的异常情况。此信息中心提供可视化数据，可帮助您了解注入日志的数量、注入错误和其他相关信息。

您可以在数据注入和健康状况信息中心内查看以下可视化图表：

• 在信息中心内配置的全局时间过滤条件适用于以下可视化图表：

  • 注入的事件数：显示注入的事件总数。
  • 基于吞吐量的日志类型分布：显示基于吞吐量的日志类型分布。
  • 吞吐量：显示注入吞吐量。
  • 基于事件计数的日志类型分布：显示基于每种日志类型的事件数量的日志类型分布。
  • 注入错误数：显示注入期间遇到的错误总数。
  • 注入 - 按状态划分的事件：显示一个表格，其中包含按状态划分的事件，可按列进行排序：日期、注入的日志、归一化事件、解析错误、验证错误、索引编制错误。
  • 突发限制图 - 提取速率：显示一段时间内的日志提取每小时速率（请参阅突发限制）。
  • 突发限制图表 - 配额限制：显示每小时的日志提取配额随时间的变化情况（请参阅突发限制）。
  • 突发拒绝图：显示因超出突发限制而被拒绝的日志的小时级数量随时间的变化情况（请参阅突发限制）。
  • 注入 - 按日志类型划分的事件：根据日志类型显示事件，可按列进行排序：日志类型、注入的吞吐量、注入的日志、归一化事件、解析错误、验证错误、索引编制错误。
  • Bindplane 代理日志记录 - 按严重程度随时间变化的日志：显示按严重程度随时间变化的日志数量。只有当 Google SecOps 从 Bindplane 代理提取日志时，信息中心才会显示此可视化图表。
  • Bindplane 代理日志记录 - 消息数量：按消息文本显示日志数量 - 可按列排序：严重程度、消息、总数、首次看到、上次看到。只有当 Google SecOps 从 Bindplane 代理提取日志时，信息中心才会显示此可视化图表。

• 以下可视化图表的时间范围是预先选择的，不受全局时间过滤条件的影响：

  • 最近注入的事件：显示每种日志类型最近注入的事件。
  • 每日日志信息：显示每种日志类型每天的日志数。
  • 事件数（过去 24 小时）和事件大小（过去 24 小时）：显示过去 24 小时的事件数和事件大小。
  • 事件数（过去 7 天）和事件大小（过去 7 天）：显示过去 7 天的事件数和事件大小。
  • 事件数（过去 3 个月）和事件大小（过去 3 个月）：显示过去 3 个月的事件数和事件大小。
  • 注入 - 吞吐量（每小时）：显示每小时的注入吞吐量。
  • 注入 - 吞吐量（每周）：显示每周注入吞吐量。
  • 提取 - 吞吐量（过去 6 个月）：显示过去 6 个月的提取吞吐量。
  • 注入 - 吞吐量（所有时间）：显示有数据的所有时间段内每年的注入吞吐量。
  • 自主机报告事件以来的天数（过去 7 天）：显示自主机报告事件以来的天数（过去 7 天）。

“IoC 匹配项”信息中心

“IoC 匹配项”信息中心可让您了解组织中存在的 IoC。

您可以在 IoC 匹配项信息中心内查看以下可视化图表：

• IoC 匹配随时间的变化（按类别）：显示按类别划分的 IoC 匹配数量。
• 10 大网域 IoC 指标：列出排名前 10 的网域 IoC 指标及其数量。
• 10 大 IP 地址 IoC 指标：列出了 10 大 IP 地址 IoC 指标及其数量。
• 10 大资产（按 IoC 匹配）：列出按 IoC 匹配次数排名的前 10 大资产及其匹配次数。
• 按类别、类型和数量列出的前 10 个 IoC 匹配项：按类别、类型及其数量列出前 10 个 IoC 匹配项。
• 前 10 个 IoC 值：列出前 10 个 IoC 值以及相应数量。
• 前 10 个罕见值：列出了前 10 个罕见的 IoC 匹配项及其数量。

IoC 匹配项可视化图表在仅限过滤条件的字段下包含事件时间戳过滤条件。

“规则检测”信息中心

规则检测信息中心可提供有关检测引擎规则返回的检测结果的数据分析。如需接收检测结果，您必须启用规则。 如需了解详情，请参阅针对实时数据运行规则。

您可以在规则检测信息中心内查看以下可视化图表：

• 一段时间内的规则检测次数：显示一段时间内的规则检测次数。
• 按严重程度划分的规则检测：显示规则检测的严重程度。
• 按严重程度划分的规则检测（随时间变化）：显示每天按严重程度划分的检测次数（随时间变化）。
• 检测次数最多的前 10 条规则名称：列出返回的检测次数最多的前 10 条规则。
• 按名称显示随时间变化的规则检测次数：显示每天返回检测结果的规则以及返回的检测结果数量。
• 按规则检测次数排序的前 10 名用户：列出了触发检测的事件中出现次数最多的前 10 个用户标识符。
• 按规则检测次数排序的前 10 个资产名称：列出在触发检测的事件中出现的前 10 个资产名称，例如主机名。
• 按规则检测次数排序的前 10 个 IP 地址：列出了触发检测的事件中出现次数最多的前 10 个 IP 地址。

“用户登录概览”信息中心

用户登录概览信息中心可帮助您深入了解登录企业的用户。此信息有助于跟踪恶意操作者访问您企业的尝试。

例如，您可能会发现，特定用户尝试从没有办事处的国家/地区访问您的企业，或者特定用户似乎反复访问会计应用。

您可以在用户登录概览信息中心内查看以下可视化图表：

• 成功登录次数：显示成功登录的总次数。
• 登录失败次数：显示登录失败的总次数。
• 按状态划分的登录次数：显示成功登录次数和失败登录次数的比例。
• 按状态显示随时间变化的登录次数：显示时间范围内成功登录和登录失败的次数。
• 按登录次数统计的前 10 个应用：显示根据登录次数统计的前 10 个常用应用的分布情况。
• 按应用列出的登录次数：列出每个应用的登录状态数量。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的数量。请参阅事件枚举类型。
• 登录次数最多的 10 个国家/地区：显示用户登录次数最多的 10 个国家/地区的数量。
• 按国家/地区统计的登录次数：显示用户登录的所有国家/地区的数量。
• 按 IP 地址列出的前 10 次登录：显示用户登录时使用的前 10 个 IP 地址。
• 登录位置地图：显示用户登录时所用 IP 地址的位置。
• 按登录状态划分的前 10 名用户：显示每个用户的登录状态数量。系统会根据您在 security_result.action 字段中定义的日志数据填充每个应用的数量。请参阅事件枚举类型。

后续步骤

• 了解如何创建自定义信息中心

需要更多帮助？获得社区成员和 Google SecOps 专业人士的解答。