Dashboards – Übersicht

Unterstützt in:

In den Google Security Operations SIEM-Dashboards können Sie die Daten in Google Security Operations SIEM ansehen und analysieren, einschließlich Sicherheitstelemetrie, Aufnahmemesswerte, Erkennungen, Benachrichtigungen und IoCs. Diese Dashboards basieren auf den Funktionen von Looker.

Google Security Operations SIEM bietet mehrere Standard-Dashboards, die in diesem Dokument beschrieben werden. Sie können auch benutzerdefinierte Dashboards erstellen.

Standard-Dashboards

Klicken Sie auf Dashboards & Berichte > Dashboards , um die Seite Dashboards zu öffnen.

Standard-Dashboards enthalten vordefinierte Visualisierungen der Daten, die in Ihrer Google Security Operations SIEM-Instanz gespeichert sind. Diese Dashboards sind für einen bestimmten Anwendungsfall konzipiert, z. B. um den Status des Google Security Operations SIEM-Datenaufnahmesystems zu verstehen oder den Bedrohungsstatus in Ihrem Unternehmen zu überwachen.

Jedes Standard-Dashboard enthält einen Zeitraumfilter, mit dem Sie Daten für einen bestimmten Zeitraum ansehen können. Das kann bei der Fehlerbehebung oder beim Erkennen von Trends hilfreich sein. Sie können den Filter beispielsweise verwenden, um Daten für die letzte Woche oder einen bestimmten Zeitraum anzusehen.

Google Security Operations SIEM bietet die folgenden Standard-Dashboards:

Haupt-Dashboard

Das Dashboard Haupt enthält Informationen zum Status des Google Security Operations SIEM-Datenaufnahmesystems. Es enthält auch eine Weltkarte, auf der der geografische Standort der in Ihrem Unternehmen erkannten IoCs hervorgehoben ist.

Im Dashboard Haupt können Sie die folgenden Visualisierungen ansehen:

  • Aufgenommene Ereignisse: die Gesamtzahl der aufgenommenen Ereignisse.
  • Durchsatz: das Datenvolumen, das für einen bestimmten Zeitraum aufgenommen wird.
  • Benachrichtigungen: die Gesamtzahl der Erkennungen, die in einem bestimmten Zeitraum aufgetreten sind. Die Anzahl der Benachrichtigungen auf der Seite Benachrichtigungen und IoCs kann abweichen, da auf dieser Seite nur aktuelle Benachrichtigungen angezeigt werden. Weitere Informationen finden Sie unter Benachrichtigungen ansehen.
  • Ereignisse im Zeitverlauf: ein Säulendiagramm, in dem die Ereignisse angezeigt werden, die in einem bestimmten Zeitraum aufgetreten sind.
  • Globale Bedrohungsübersicht – IoC-IP-Übereinstimmungen: der Standort, von dem aus Ereignisse mit Übereinstimmungen mit Kompromittierungsindikatoren (IoCs) aufgetreten sind.

Dashboard „Übersicht über Cloud-Erkennung und -Reaktion“

Mit dem Dashboard Cloud-Erkennung und -Reaktion können Sie den Sicherheitsstatus Ihrer Cloud-Umgebung überwachen und potenzielle Bedrohungen untersuchen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen der Datenquellen, Regelsätze, Benachrichtigungen und anderer Informationen besser verstehen können.

Mit dem Filter Zeit können Sie die Daten nach Zeitraum filtern.

Mit dem Filter GCP-Logtyp können Sie die Daten nach Google Cloud Logtyp filtern.

Im Dashboard Übersicht über Cloud-Erkennung und -Reaktion können Sie die folgenden Visualisierungen ansehen:

  • Aktivierte CDIR-Regelsätze: zeigt den Prozentsatz der Google Security Operations SIEM-Regelsätze an, die für Ihre Cloud-Umgebung aktiviert sind, im Vergleich zu den gesamten Regelsätzen, die von GCTI für Google Security Operations SIEM-Nutzer bereitgestellt werden. GCTI bietet mehrere vorkonfigurierte Regelsätze. Sie können diese Regelsätze aktivieren oder deaktivieren.

  • Abgedeckte GCP-Datenquellen: zeigt den Prozentsatz der abgedeckten Datenquellen im Vergleich zu allen verfügbaren Google Cloud Datenquellen an. Wenn Sie beispielsweise Daten mit 40 Logtypen aufnehmen können, aber nur Daten für 20 senden, werden auf der Kachel 50 % angezeigt.

  • CDIR-Benachrichtigungen: zeigt die Anzahl der Benachrichtigungen an, die von den Regeln in Ihren GCTI-Regelsätzen oder Cloud-Bedrohungen ausgelöst wurden. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Letzte Benachrichtigungen: zeigt die letzten Benachrichtigungen mit ihrem Schweregrad und ihrer Risikobewertung an. Sie können die Tabelle nach der Spalte Zeitstempel des Ereignisses sortieren und zu jeder Benachrichtigung navigieren, um weitere Informationen zu erhalten. Hier wird die Anzahl der aggregierten Sicherheitsergebnisse angezeigt, die von Security Command Center verbessert wurden. Diese Sicherheitsergebnisse werden von GCTI-Regelsätzen für die Erkennung generiert und nach Ergebnistyp kategorisiert. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Benachrichtigungen nach Schweregrad im Zeitverlauf: zeigt die Gesamtzahl der Benachrichtigungen nach Schweregrad an, trending over time. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Erkennungsabdeckung: enthält Informationen zu Google Security Operations SIEM Regelsätzen und deren Status, zur Gesamtzahl der Erkennungen und zum Datum der letzten Erkennung. Mit dem Filter Zeit können Sie die Anzahl der Tage festlegen, für die diese Daten angezeigt werden.

  • Cloud-Datenabdeckung: enthält Informationen zu allen verfügbaren Google Cloud Diensten, Parsern, die jeden Dienst abdecken, zum ersten und letzten Ereignis sowie zum Gesamtdurchsatz.

Weitere Informationen zu CDIR-Regelsätzen finden Sie unter Übersicht über die Kategorie „Cloud-Bedrohungen“.

Auf die Tabelle folgen Diagramme aller Google Cloud Dienste mit den zugehörigen Daten, die den Aufnahmetrend in den folgenden Zeiträumen zeigen:

  • Letzte 24 Stunden
  • Letzte 30 Tage
  • Letzte sechs Monate

Dashboard „Kontextsensitive Erkennungen – Risiko“

Das Dashboard Kontextsensitive Erkennungen – Risiko bietet Einblick in den aktuellen Bedrohungsstatus von Assets und Nutzern in Ihrem Unternehmen. Es wird mit Feldern in der Explore-Oberfläche Regelerkennungen erstellt.

Die Werte für Schweregrad und Risikobewertung sind Variablen, die in jeder Regel definiert sind. Ein Beispiel finden Sie unter Syntax für den Abschnitt „Ergebnis“. In jedem Bereich werden die Daten nach Schweregrad und dann nach Risikobewertung sortiert, um die Nutzer und Assets mit dem höchsten Risiko zu identifizieren.

Im Dashboard Kontextsensitive Erkennungen – Risiko können Sie die folgenden Visualisierungen ansehen:

  • Assets und Geräte mit Risiko: listet die zehn wichtigsten Assets basierend auf dem Schweregrad auf , den Sie für die Regel unter Meta > Schweregrad festgelegt haben. Siehe Syntax für den Abschnitt „Meta“. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel und Niedrig. Wenn der Wert hostname nicht im Datensatz vorhanden ist, wird die IP-Adresse angezeigt.
  • Nutzer mit Risiko: listet die zehn wichtigsten Nutzer basierend auf dem Schweregrad auf. Die Schweregrade sind Sehr hoch, Kritisch, Hoch, Groß, Mittel, und Niedrig. Wenn der Wert username nicht im Datensatz vorhanden ist, wird die E-Mail-ID angezeigt.
  • Aggregiertes Risiko: zeigt für jedes Datum die aggregierte Gesamtrisikobewertung an.
  • Erkennungsergebnisse: enthält Details zu den Erkennungen, die von Regeln der Erkennungs Engine zurückgegeben wurden. Die Tabelle enthält den Regelnamen, die Erkennungs-ID, die Risikobewertung und den Schweregrad.

Dashboard „Datenaufnahme und -Status“

Das Dashboard Datenaufnahme und -Status enthält Informationen zum Typ, Volumen und Status der Daten, die in Ihren Google Security Operations SIEM-Mandanten aufgenommen werden. Mit diesem Dashboard können Sie Anomalien in Ihrer Umgebung überwachen. Das Dashboard enthält Visualisierungen, mit denen Sie das Volumen der aufgenommenen Logs, Aufnahmefehler und andere relevante Informationen besser verstehen können.

Im Dashboard Datenaufnahme und -Status können Sie die folgenden Visualisierungen ansehen:

  • Der im Dashboard konfigurierte Globale Zeitfilter gilt für die folgenden Visualisierungen:

    • Anzahl der aufgenommenen Ereignisse: zeigt die Gesamtzahl der aufgenommenen Ereignisse an.
    • Verteilung der Logtypen nach Durchsatz: zeigt die Verteilung der Logtypen basierend auf dem Durchsatz an.
    • Durchsatz: zeigt den Aufnahmedurchsatz an.
    • Verteilung der Logtypen nach Anzahl der Ereignisse: zeigt die Verteilung der Logtypen basierend auf der Anzahl der Ereignisse für jeden Logtyp an.
    • Anzahl der Aufnahmefehler: zeigt die Gesamtzahl der Fehler an, die bei der Aufnahme aufgetreten sind.
    • Aufnahme – Ereignisse nach Status: zeigt eine Tabelle mit Ereignissen basierend auf ihrem Status an. Sie kann nach Spalte sortiert werden: Datum, Aufgenommene Logs, Normalisierte Ereignisse, Parsing-Fehler, Validierungsfehler, Indexierungsfehler.
    • Diagramm für Burst-Limit – Aufnahmerate: zeigt die stündliche Aufnahmerate für Logs im Zeitverlauf an (siehe Burst-Limits).
    • Diagramm für Burst-Limit – Kontingentlimit: zeigt das stündliche Kontingent für die Aufnahme von Logs im Zeitverlauf an (siehe Burst-Limits).
    • Diagramm für Burst-Ablehnung: zeigt das stündliche Volumen der Logs im Zeitverlauf an, die aufgrund der Überschreitung des Burst-Limits abgelehnt wurden (siehe Burst-Limits).

    • Aufnahme – Ereignisse nach Logtyp: zeigt Ereignisse basierend auf dem Logtyp an. Sie kann nach Spalte sortiert werden: Logtyp, Aufgenommener Durchsatz, Aufgenommene Logs, Normalisierte Ereignisse, Parsing-Fehler, Validierungsfehler, Indexierungsfehler.

    • Bindplane-Agent-Logging – Logs nach Schweregrad im Zeitverlauf: zeigt die Anzahl der Logs nach Schweregrad im Zeitverlauf an. Das Dashboard zeigt diese Visualisierung nur an, wenn Google SecOps Logs von einem Bindplane-Agent aufnimmt.

    • Bindplane-Agent-Logging – Anzahl der Nachrichten: zeigt die Anzahl der Logs nach Nachrichtentext an. Sie kann nach Spalte sortiert werden: Schweregrad, Nachricht, Gesamt, Erstmals gesehen, Zuletzt gesehen. Das Dashboard zeigt diese Visualisierung nur an, wenn Google SecOps Logs von einem Bindplane-Agent aufnimmt.

  • Die Zeiträume für die folgenden Visualisierungen sind vorab ausgewählt und werden nicht vom Globalen Zeitfilter beeinflusst:

    • Zuletzt aufgenommene Ereignisse: zeigt die zuletzt aufgenommenen Ereignisse für jeden Logtyp an.
    • Tägliche Loginformationen: zeigt die Anzahl der Logs für einen Tag für jeden Logtyp an.
    • Anzahl der Ereignisse (letzte 24 Stunden) und Ereignisgröße (letzte 24 Stunden): zeigen die Anzahl und Größe der Ereignisse für die letzten 24 Stunden an.
    • Anzahl der Ereignisse (letzte 7 Tage) und Ereignisgröße (letzte 7 Tage): zeigen die Anzahl und Größe der Ereignisse für die letzten 7 Tage an.
    • Anzahl der Ereignisse (letzte 3 Monate) und Ereignisgröße (letzte 3 Monate): zeigen die Anzahl und Größe der Ereignisse für die letzten 3 Monate an.
    • Aufnahme – Stündlicher Durchsatz: zeigt den stündlichen Aufnahmedurchsatz an.
    • Aufnahme – Wöchentlicher Durchsatz: zeigt den wöchentlichen Aufnahmedurchsatz an.
    • Aufnahme – Durchsatz (letzte 6 Monate): zeigt den Aufnahmedurchsatz der letzten 6 Monate an.
    • Aufnahme – Durchsatz (Gesamt): zeigt den Aufnahmedurchsatz pro Jahr für den gesamten Zeitraum an, für den Daten vorhanden sind.
    • Anzahl der Tage seit dem letzten Ereignisbericht eines Hosts (letzte 7 Tage): zeigt die Anzahl der Tage seit dem letzten Ereignisbericht eines Hosts (in den letzten 7 Tagen) an.

Dashboard „IoC-Übereinstimmungen“

Das Dashboard IoC-Übereinstimmungen bietet Einblick in die in Ihrem Unternehmen vorhandenen IoCs.

Im Dashboard IoC-Übereinstimmungen können Sie die folgenden Visualisierungen ansehen:

  • IoC-Übereinstimmungen im Zeitverlauf nach Kategorie: zeigt die Anzahl der IoC-Übereinstimmungen basierend auf ihrer Kategorie an.
  • Top 10 der IoC-Indikatoren für Domains: listet die zehn wichtigsten Domain- IoC-Indikatoren und ihre Anzahl auf.
  • Top 10 der IoC-Indikatoren für IP-Adressen: listet die zehn wichtigsten IoC-Indikatoren für IP-Adressen und ihre Anzahl auf.
  • Top 10 der Assets nach IoC-Übereinstimmungen: listet die zehn wichtigsten Assets nach IoC-Übereinstimmungen und ihre Anzahl auf.
  • Top 10 der IoC-Übereinstimmungen nach Kategorie, Typ und Anzahl: listet die zehn wichtigsten IoC-Übereinstimmungen nach Kategorie, Typ und Anzahl auf.
  • Top 10 der IoC-Werte: listet die zehn wichtigsten IoC-Werte zusammen mit der Anzahl auf.
  • Top 10 der seltenen Werte: listet die zehn wichtigsten seltenen IoC-Übereinstimmungen und ihre Anzahl auf.

Die Visualisierungen von IoC-Übereinstimmungen enthalten den Zeitstempelfilter für Ereignisse unter Nur-Filter-Felder.

Dashboard „Regelerkennungen“

Das Dashboard Regelerkennungen bietet Einblick in die Erkennungen, die von Regeln der Erkennungs-Engine zurückgegeben wurden. Damit Sie Erkennungen erhalten, müssen Sie Regeln aktivieren. Weitere Informationen finden Sie unter Regel für Live-Daten ausführen.

Im Dashboard Regelerkennungen können Sie die folgenden Visualisierungen ansehen:

  • Regelerkennungen im Zeitverlauf: zeigt die Anzahl der Regel erkennungen in einem bestimmten Zeitraum an.
  • Regelerkennungen nach Schweregrad: zeigt den Schweregrad der Regelerkennungen an.
  • Regelerkennungen nach Schweregrad im Zeitverlauf: zeigt die tägliche Anzahl der Erkennungen nach Schweregrad im Zeitverlauf an.
  • Top 10 der Regelnamen nach Erkennungen: listet die zehn wichtigsten Regeln auf, die die größte Anzahl von Erkennungen zurückgeben.
  • Regelerkennungen nach Name im Zeitverlauf: zeigt die Regeln an, die täglich Erkennungen zurückgegeben haben, und die Anzahl der zurückgegebenen Erkennungen.
  • Top 10 der Nutzer nach Regelerkennungen: listet die zehn wichtigsten Nutzer- IDs auf, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.
  • Top 10 der Asset-Namen nach Regelerkennungen: listet die zehn wichtigsten Asset-Namen auf, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben, z. B. Hostname.
  • Top 10 der IPs nach Regelerkennungen: listet die zehn wichtigsten IP Adressen auf, die in Ereignissen enthalten waren, die Erkennungen ausgelöst haben.

Dashboard „Übersicht über Nutzeranmeldungen“

Das Dashboard Übersicht über Nutzeranmeldungen bietet Einblick in die Nutzer, die sich in Ihrem Unternehmen anmelden. Diese Informationen können hilfreich sein, um Versuche böswilliger Akteure zu verfolgen, auf Ihr Unternehmen zuzugreifen.

Möglicherweise stellen Sie beispielsweise fest, dass ein bestimmter Nutzer versucht hat, von einem Land aus auf Ihr Unternehmen zuzugreifen, in dem Sie keine Niederlassung haben, oder dass ein bestimmter Nutzer wiederholt auf eine Buchhaltungsanwendung zugreift.

Im Dashboard Übersicht über Nutzeranmeldungen können Sie die folgenden Visualisierungen ansehen:

  • Anzahl der erfolgreichen Anmeldungen: zeigt die Gesamtzahl der erfolgreichen Anmeldungen an.
  • Anzahl der fehlgeschlagenen Anmeldungen: zeigt die Gesamtzahl der fehlgeschlagenen Anmeldungen an.
  • Anmeldungen nach Status: zeigt die Aufteilung der erfolgreichen und fehlgeschlagenen Anmeldungen an.
  • Anmeldungen nach Status im Zeitverlauf: zeigt die Aufteilung der erfolgreichen und fehlgeschlagenen Anmeldungen im Zeitverlauf an.
  • Top 10 der Anwendungen nach Anmeldungen: zeigt die Aufteilung der zehn häufigsten Anwendungen basierend auf der Anzahl der Anmeldungen an.
  • Anmeldungen nach Anwendung: listet die Anzahl der Anmeldestatus für jede Anwendung auf. Die Anzahl der einzelnen Anwendungen wird basierend auf den Logdaten ausgefüllt, die Sie im Feld security_result.action definieren. Siehe Aufgezählte Ereignistypen.
  • Top 10 der Länder nach Anmeldungen: zeigt die Anzahl der zehn wichtigsten Länder an, aus denen sich Nutzer angemeldet haben.
  • Anmeldungen nach Land: zeigt die Anzahl aller Länder an, aus denen sich Nutzer angemeldet haben.
  • Top 10 der Anmeldungen nach IP-Adresse: zeigt die zehn wichtigsten IP-Adressen an von denen sich Nutzer angemeldet haben.
  • Karte der Anmeldestandorte: zeigt die Standorte der IP-Adressen an, von denen sich Nutzer angemeldet haben.
  • Top 10 der Nutzer nach Anmeldestatus: zeigt die Anzahl der Anmeldestatus für jeden Nutzer an. Die Anzahl der einzelnen Anwendungen wird basierend auf den Logdaten ausgefüllt, die Sie im Feld security_result.action definieren. Siehe Aufgezählte Ereignistypen.

Nächste Schritte

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten