Présentation des tableaux de bord

Le tableau de bord Détection et réponse dans le cloud vous aide à surveiller l'état de sécurité de votre environnement cloud et à examiner les menaces potentielles. Il affiche des visualisations qui vous aident à comprendre le volume des sources de données, des ensembles de règles, des alertes et d'autres informations.

Le filtre Heure vous permet de filtrer les données par période.

Le filtre Type de journal GCP vous permet de filtrer les données par Google Cloud type de journal.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation de la détection et de la réponse dans le cloud :

• Ensembles de règles CDIR activés : affiche le pourcentage d'ensembles de règles Google Security Operations SIEM activés pour votre environnement cloud par rapport au nombre total d'ensembles de règles fournis par GCTI aux utilisateurs de Google Security Operations SIEM. GCTI fournit plusieurs règles optimisées préconfigurées. Vous pouvez activer ou désactiver ces ensembles de règles.

• Sources de données GCP couvertes : affiche le pourcentage de sources de données couvertes par rapport au nombre total Google Cloud de sources de données disponibles. Par exemple, si vous pouvez ingérer des données à l'aide de 40 types de journaux, mais que vous n'en envoyez que pour 20, la tuile affiche 50 %.

• Alertes CDIR : affiche le nombre d'alertes déclenchées par les règles de vos ensembles de règles GCTI ou par les menaces cloud. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.

• Alertes récentes : affiche les alertes récentes avec leur gravité et leur score de risque. Vous pouvez trier le tableau à l'aide de la colonne Heure de l'horodatage de l'événement et accéder à chaque alerte pour obtenir plus d'informations. Il indique le nombre de résultats de sécurité agrégés améliorés par Security Command Center. Ces résultats de sécurité sont générés par des ensembles de règles de détection optimisés par GCTI et classés par type de résultat. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.

• Alertes par gravité au fil du temps : affiche le nombre total d'alertes par gravité, avec une tendance au fil du temps. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.

• Couverture de la détection : fournit des informations sur les ensembles de règles Google Security Operations SIEM et leur état, le nombre total de détections et la date de la détection la plus récente. Vous pouvez utiliser le filtre Heure pour définir le nombre de jours pendant lesquels ces données sont affichées.

• Couverture des données cloud : fournit des informations sur tous les Google Cloud services disponibles, les analyseurs qui couvrent chaque service, le premier événement observé, le dernier événement observé et le débit total.

Pour en savoir plus sur les ensembles de règles CDIR, consultez Présentation de la catégorie Menaces cloud.

Le tableau est suivi de graphiques de tous les Google Cloud services avec leurs données associées , qui montrent leur tendance d'ingestion sur les intervalles de temps suivants :

• Dernières 24 heures
• 30 derniers jours
• Six derniers mois

Tableau de bord Détections contextuelles – Risque

Le tableau de bord Détections contextuelles – Risque fournit des informations sur l'état actuel des menaces concernant les assets et les utilisateurs de votre entreprise. Il est créé à l'aide de champs de l'interface d'exploration Détections de règles.

Les valeurs de gravité et de score de risque sont des variables définies dans chaque règle. Pour obtenir un exemple, consultez la syntaxe de la section Résultat. Dans chaque panneau, les données sont triées en fonction de la gravité, puis du score de risque, afin d'identifier les utilisateurs et les assets les plus à risque.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections contextuelles – Risque :

• Assets et appareils à risque : liste les 10 principaux assets en fonction de la gravité que vous avez définie pour la règle dans Méta > Gravité. Consultez la syntaxe de la section Méta. Les niveaux de gravité sont Très élevé, Critique, Élevé, Important, Moyen et Faible. Si la valeur hostname n'est pas présente dans l'enregistrement, l'adresse IP s'affiche.
• Utilisateurs à risque : liste les 10 principaux utilisateurs en fonction de la gravité. Les niveaux de gravité sont Très élevé, Critique, Élevé, Important, Moyen, et Faible. Si la valeur username n'est pas présente dans l'enregistrement, l'ID de l'e-mail s'affiche.
• Risque agrégé : affiche le score de risque agrégé total pour chaque date.
• Résultats de détection : affiche des informations sur les détections renvoyées par les règles du moteur de détection. Le tableau inclut le nom de la règle, l'ID de détection, le score de risque et la gravité.

Tableau de bord Ingestion et santé des données

Le tableau de bord Ingestion et santé des données fournit des informations sur le type, le volume et la santé des données ingérées dans votre locataire Google Security Operations SIEM. Vous pouvez utiliser ce tableau de bord pour surveiller les anomalies dans votre environnement. Il fournit des visualisations qui vous aident à comprendre le volume des journaux ingérés, les erreurs d'ingestion et d'autres informations pertinentes.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Ingestion et santé des données :

• Le filtre temporel global configuré dans le tableau de bord s'applique aux visualisations suivantes :

  • Nombre d'événements ingérés : affiche le nombre total d'événements ingérés.
  • Distribution des types de journaux par débit : affiche la distribution des types de journaux en fonction du débit.
  • Débit : affiche le débit d'ingestion.
  • Distribution des types de journaux par nombre d'événements : affiche la distribution des types de journaux en fonction du nombre d'événements pour chaque type de journal.
  • Nombre d'erreurs d'ingestion : affiche le nombre total d'erreurs rencontrées lors de l'ingestion.
  • Ingestion – Événements par état : affiche un tableau avec les événements en fonction de leur état, triable par colonne : Date, Journaux ingérés, Événements normalisés, Erreurs d'analyse, Erreurs de validation, Erreurs d'indexation.
  • Graphique de la limite de rafale – Taux d'ingestion : affiche le taux horaire d'ingestion des journaux au fil du temps (voir Limites de rafale).
  • Graphique de la limite de rafale – Limite de quota : affiche le quota horaire d'ingestion des journaux au fil du temps (voir Limites de rafale).
  • Graphique de rejet de rafale : affiche le volume horaire au fil du temps des journaux qui ont été rejetés pour avoir dépassé la limite de rafale (voir Limites de rafale).

  • Ingestion – Événements par type de journal : affiche les événements en fonction du type de journal, triable par colonne : Type de journal, Débit ingéré, Journaux ingérés, Événements normalisés, Erreurs d'analyse, Erreurs de validation, Erreurs d'indexation.

  • Journalisation de l'agent Bindplane – Journaux par gravité au fil du temps : affiche le nombre de journaux par gravité au fil du temps. Le tableau de bord n'affiche cette visualisation que lorsque votre Google SecOps ingère des journaux à partir d'un agent Bindplane.

  • Journalisation de l'agent Bindplane – Nombre de messages : affiche le nombre de journaux par texte de message, triable par colonne : Gravité, Message, Total, Première observation, Dernière observation. Le tableau de bord n'affiche cette visualisation que lorsque votre Google SecOps ingère des journaux à partir d'un agent Bindplane.

• Les périodes des visualisations suivantes sont présélectionnées et ne sont pas affectées par le filtre temporel global :

  • Événements récemment ingérés : affiche les événements récemment ingérés pour chaque type de journal.
  • Informations quotidiennes sur les journaux : affiche le nombre de journaux pour une journée pour chaque type de journal.
  • Nombre d'événements (24 dernières heures) et Taille des événements (24 dernières heures) : affichent le nombre d'événements et leur taille pour les 24 dernières heures.
  • Nombre d'événements (7 derniers jours) et Taille des événements (7 derniers jours) : affichent le nombre d'événements et leur taille pour les 7 derniers jours.
  • Nombre d'événements (3 derniers mois) et Taille des événements (3 derniers mois) : affichent le nombre d'événements et leur taille pour les 3 derniers mois.
  • Ingestion – Débit horaire : affiche le débit d'ingestion horaire.
  • Ingestion – Débit hebdomadaire : affiche le débit d'ingestion hebdomadaire.
  • Ingestion – Débit (6 derniers mois) : affiche le débit d'ingestion au cours des 6 derniers mois.
  • Ingestion – Débit (depuis le début) : affiche le débit d'ingestion par an pour toute la période pour laquelle des données sont disponibles.
  • Nombre de jours depuis qu'un hôte a signalé un événement (7 derniers jours) : affiche le nombre de jours depuis que les hôtes ont signalé un événement (au cours des 7 derniers jours).

Tableau de bord Correspondances IoC

Le tableau de bord Correspondances IoC offre une visibilité sur les IoC présents dans votre entreprise.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Correspondances IoC :

• Correspondances IoC au fil du temps par catégorie : affiche le nombre de correspondances IoC en fonction de leur catégorie.
• 10 principaux indicateurs IoC de domaine : liste les 10 principaux indicateurs IoC de domaine et leur nombre.
• 10 principaux indicateurs IoC IP : liste les 10 principaux indicateurs IoC d'adresse IP et leur nombre.
• 10 principaux assets par correspondances IoC : liste les 10 principaux assets par correspondances IoC et leur nombre.
• 10 principales correspondances IoC par catégorie, type et nombre : liste les 10 principales correspondances IoC par catégorie, type et leur nombre.
• 10 principales valeurs IoC : liste les 10 principales valeurs IoC ainsi que leur nombre.
• 10 principales valeurs rarement observées : liste les 10 principales correspondances IoC rares et leur nombre.

Les visualisations Correspondances IoC incluent le filtre d'horodatage de l'événement sous Champs de filtre uniquement.

Tableau de bord Détections de règles

Le tableau de bord Détections de règles fournit des informations sur les détections renvoyées par les règles du moteur de détection. Pour recevoir des détections, vous devez activer les règles. Pour en savoir plus, consultez Exécuter une règle sur des données en direct.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Détections de règles :

• Détections de règles au fil du temps : affiche le nombre de détections de règles sur une période donnée.
• Détections de règles par gravité : affiche la gravité des détections de règles.
• Détections de règles par gravité au fil du temps : affiche le nombre quotidien de détections par gravité au fil du temps.
• 10 principaux noms de règles par détections : liste les 10 principales règles renvoyant le plus grand nombre de détections.
• Détections de règles par nom au fil du temps : affiche les règles qui ont renvoyé des détections chaque jour et le nombre de détections renvoyées.
• 10 principaux utilisateurs par détections de règles : liste les 10 principaux identifiants d'utilisateur qui sont apparus dans les événements ayant déclenché des détections.
• 10 principaux noms d'assets par détections de règles : liste les 10 principaux noms d'assets qui sont apparus dans les événements ayant déclenché des détections, tels que le nom d'hôte.
• 10 principales adresses IP par détections de règles : liste les 10 principales adresses IP qui sont apparues dans les événements ayant déclenché des détections.

Tableau de bord Présentation des connexions utilisateur

Le tableau de bord Présentation des connexions utilisateur fournit des informations sur les utilisateurs qui se connectent à votre entreprise. Ces informations peuvent être utiles pour suivre les tentatives d'acteurs malveillants d'accéder à votre entreprise.

Par exemple, vous pouvez constater qu'un utilisateur particulier a tenté d'accéder à votre entreprise depuis un pays où vous n'avez pas de bureau ou qu'un utilisateur spécifique semble accéder à plusieurs reprises à une application de comptabilité.

Vous pouvez afficher les visualisations suivantes dans le tableau de bord Présentation des connexions utilisateur :

• Nombre de connexions réussies : affiche le nombre total de connexions réussies.
• Nombre de connexions ayant échoué : affiche le nombre total de connexions ayant échoué.
• Connexions par état : affiche la répartition des connexions réussies et ayant échoué.
• Connexions par état au fil du temps : affiche la répartition des connexions réussies et ayant échoué sur la période.
• 10 principales applications par connexions : affiche la répartition des 10 principales applications fréquentes en fonction du nombre de connexions.
• Connexions par application : liste le nombre d'états de connexion pour chaque application. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Consultez les types énumérés d'événements.
• 10 principaux pays par connexions : affiche le nombre des 10 principaux pays à partir desquels les utilisateurs se sont connectés.
• Connexions par pays : affiche le nombre de tous les pays à partir desquels les utilisateurs se sont connectés.
• 10 principales connexions par adresse IP : affiche les 10 principales adresses IP à partir desquelles les utilisateurs se sont connectés.
• Carte des lieux de connexion : affiche les emplacements des adresses IP à partir desquelles les utilisateurs se sont connectés.
• 10 principaux utilisateurs par état de connexion : affiche le nombre d'états de connexion pour chaque utilisateur. Le nombre de chaque application est renseigné en fonction des données de journal que vous définissez dans le champ security_result.action. Consultez les types énumérés d'événements.

Étape suivante

• Découvrez comment créer un tableau de bord personnalisé.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.