Visão geral do painel do SIEM
Use os painéis do Google Security Operations SIEM para visualizar e analisar os dados no Google Security Operations SIEM, incluindo telemetria de segurança, métricas de ingestão, detecções, alertas e IoCs. Esses painéis são baseados nos recursos do Looker.
O Google Security Operations SIEM oferece vários painéis padrão, descritos neste documento. Também é possível criar painéis personalizados.
Painéis padrão
Clique em Painéis e relatórios > Painéis para abrir a página Painéis.
Os painéis padrão contêm visualizações predefinidas dos dados armazenados na instância do Google Security Operations SIEM. Eles são projetados para um caso de uso específico, como entender o estado do sistema de ingestão de dados do Google Security Operations SIEM ou monitorar o status de ameaças na sua empresa.
Cada painel padrão inclui um filtro de período que permite visualizar dados de um período específico. Isso pode ser útil ao solucionar problemas ou identificar tendências. Por exemplo, é possível usar o filtro para visualizar dados da semana passada ou de um período específico.
Para garantir o desempenho ideal do painel, consulte Solução de problemas.
O Google Security Operations SIEM oferece os seguintes painéis padrão:
- Principal
- Detecção e resposta na nuvem
- Detecções com base no contexto: risco
- Central de saúde
- Ingestão e integridade de dados
- Correspondências de IoC
- Detecções de regras
- Visão geral do login do usuário
Painel principal
O painel Principal mostra informações sobre o status do sistema de ingestão de dados do Google Security Operations SIEM. Ele também inclui um mapa global que destaca a localização geográfica dos IoCs detectados na sua empresa.
É possível visualizar as seguintes visualizações no painel Principal:
- Eventos ingeridos: o número total de eventos ingeridos.
- Capacidade de processamento: o volume de dados ingeridos em um período específico.
- Alertas: o número total de detecções que ocorreram durante um período de tempo. O número de alertas exibidos na página Alertas e IoCs pode ser diferente, já que essa página mostra apenas os alertas atuais. Para mais informações, consulte Visualizar alertas.
- Eventos ao longo do tempo: um gráfico de colunas que mostra os eventos que ocorreram durante um período.
- Mapa global de ameaças: correspondências de IP de IoC: o local em que os eventos de correspondência de indicador de comprometimento (IoC) ocorreram.
Painel de visão geral de detecção e resposta na nuvem
O painel Detecção e resposta na nuvem ajuda a monitorar o status de segurança do ambiente de nuvem e investigar possíveis ameaças. O painel mostra visualizações que ajudam a entender o volume de fontes de dados, conjuntos de regras, alertas e outras informações.
O filtro Tempo permite filtrar os dados por período.
O filtro Tipo de registro do GCP permite filtrar os dados por Google Cloud tipo de registro.
É possível visualizar as seguintes visualizações no painel Visão geral de detecção e resposta na nuvem:
Conjuntos de regras de CDIR ativados: mostra a porcentagem de conjuntos de regras do Google Security Operations SIEM ativados para seu ambiente de nuvem do total de conjuntos de regras fornecidos pelo GCTI para usuários do Google Security Operations SIEM. O GCTI oferece várias regras selecionadas pré-empacotadas. É possível ativar ou desativar esses conjuntos de regras.
Fontes de dados do GCP cobertas: mostra a porcentagem de fontes de dados cobertas do total Google Cloud de fontes de dados disponíveis. Por exemplo, se você puder ingerir dados usando 40 tipos de registro, mas enviar dados apenas para 20, o bloco vai mostrar 50%.
Alertas de CDIR: mostra o número de alertas gerados pelas regras nos conjuntos de regras do GCTI ou ameaças na nuvem. É possível usar o filtro Tempo para definir o número de dias em que esses dados serão mostrados.
Alertas recentes: mostra alertas recentes com a gravidade e a pontuação de risco. É possível classificar a tabela usando a coluna Hora do carimbo de data/hora do evento e navegar até cada alerta para mais informações. Ele fornece o número de descobertas de segurança agregadas aprimoradas pelo Security Command Center. Essas descobertas de segurança são geradas por conjuntos de regras de detecção selecionados pelo GCTI e categorizadas por tipo de descoberta. É possível usar o filtro Tempo para definir o número de dias em que esses dados serão mostrados.
Alertas por gravidade ao longo do tempo: mostra o total de alertas por gravidade, com tendência ao longo do tempo. É possível usar o filtro Tempo para definir o número de dias em que esses dados serão mostrados.
Cobertura de detecção: fornece informações sobre conjuntos de regras do Google Security Operations SIEM e o status deles, o total de detecções e a data da detecção mais recente. É possível usar o filtro Tempo para definir o número de dias em que esses dados serão mostrados.
Cobertura de dados na nuvem: fornece informações sobre todos os Google Cloud serviços disponíveis, analisadores que cobrem cada serviço, o primeiro evento visto, o último evento visto, e a capacidade total de processamento.
Para mais informações sobre conjuntos de regras de CDIR, consulte Visão geral da categoria de ameaças na nuvem.
A tabela é seguida por gráficos de todos os Google Cloud serviços com os dados associados que mostram a tendência de ingestão nos seguintes intervalos de tempo:
- Últimas 24 horas
- Últimos 30 dias
- Últimos seis meses
Painel de detecções com base no contexto: risco
O painel Detecções com base no contexto: risco oferece insights sobre o status atual de ameaças de recursos e usuários na sua empresa. Ele é criado usando campos na interface de exploração Detecções de regras.
Os valores de gravidade e pontuação de risco são variáveis definidas em cada regra. Para ver um exemplo, consulte Sintaxe da seção de resultados. Em cada painel, os dados são classificados com base na gravidade e, em seguida, na pontuação de risco para identificar os usuários e recursos mais em risco.
É possível visualizar as seguintes visualizações no painel Detecções com base no contexto: risco :
- Recursos e dispositivos em risco: lista os 10 principais recursos com base na gravidade
definida na regra em Meta > Gravidade. Consulte
Sintaxe da seção de metadados.
Os níveis de gravidade são Super alta, Crítica, Alta,
Grande, Média e Baixa. Se o valor
hostnamenão estiver presente no registro, o endereço IP será mostrado. - Usuários em risco: lista os 10 principais usuários com base na gravidade. Os
níveis de gravidade são Super alta, Crítica, Alta, Grande, Média,
e Baixa. Se o valor
usernamenão estiver presente no registro, o ID do e-mail será mostrado. - Risco agregado: para cada data, mostra a pontuação total de risco agregado.
- Resultados da detecção: mostra detalhes sobre as detecções retornadas pelas regras do mecanismo de detecção. A tabela inclui o nome da regra, o ID da detecção, a pontuação de risco e a gravidade.
Painel de ingestão e integridade de dados
O painel Ingestão e integridade de dados fornece informações sobre o tipo, o volume e a integridade dos dados ingeridos no seu locatário do Google Security Operations SIEM. É possível usar esse painel para monitorar anomalias no seu ambiente. Esse painel fornece visualizações que ajudam a entender o volume de registros ingeridos, erros de ingestão e outras informações relevantes.
É possível visualizar as seguintes visualizações no painel Ingestão e integridade de dados:
O filtro de tempo global configurado no painel se aplica às seguintes visualizações:
- Contagem de eventos ingeridos: mostra o número total de eventos ingeridos.
- Distribuição de tipos de registro por capacidade de processamento: mostra a distribuição de tipos de registro com base na capacidade de processamento.
- Capacidade de processamento: mostra a capacidade de ingestão.
- Distribuição de tipos de registro por contagem de eventos: mostra a distribuição de tipos de registro com base no número de eventos de cada tipo de registro.
- Contagem de erros de ingestão: mostra o número total de erros encontrados durante a ingestão.
- Ingestão: eventos por status: mostra uma tabela com eventos com base no status, classificável por coluna: Data, Registros ingeridos, Eventos normalizados, Erros de análise, Erros de validação, Erros de indexação.
- Gráfico de limite de burst: taxa de ingestão: mostra a taxa horária de ingestão de registros ao longo do tempo (consulte Limites de burst).
- Gráfico de limite de burst: limite de cota: mostra a cota horária de ingestão de registros ao longo do tempo (consulte Limites de burst).
- Gráfico de rejeição de burst: mostra o volume horário ao longo do tempo de registros que foram rejeitados por exceder o limite de burst (consulte Limites de burst).
Ingestão: eventos por tipo de registro: mostra eventos com base no tipo de registro, classificável por coluna: Tipo de registro, Capacidade de processamento ingerida, Registros ingeridos, Eventos normalizados, Erros de análise, Erros de validação, Erros de indexação.
Registro do agente do Bindplane: registros por gravidade ao longo do tempo: mostra o número de registros por gravidade ao longo do tempo. O painel mostra essa visualização apenas quando o Google SecOps ingere registros de um agente do Bindplane.
Registro do agente do Bindplane: contagem de mensagens: mostra o número de registros por texto de mensagem, classificável por coluna: Gravidade, Mensagem, Total, Primeira visualização, Última visualização. O painel mostra essa visualização apenas quando o Google SecOps ingere registros de um agente do Bindplane.
Os períodos das seguintes visualizações são pré-selecionados e não são afetados pelo filtro de tempo global:
- Eventos ingeridos recentemente: mostra eventos ingeridos recentemente para cada tipo de registro.
- Informações de registro diário: mostra o número de registros de um dia para cada tipo de registro.
- Contagem de eventos (últimas 24 horas) e Tamanho do evento (últimas 24 horas): mostra a contagem e os tamanhos de eventos das últimas 24 horas.
- Contagem de eventos (últimos 7 dias) e Tamanho do evento (últimos 7 dias): mostra a contagem e os tamanhos de eventos dos últimos 7 dias.
- Contagem de eventos (últimos 3 meses) e Tamanho do evento (últimos 3 meses): mostra a contagem e os tamanhos de eventos dos últimos 3 meses.
- Ingestão: capacidade de processamento por hora: mostra a capacidade de ingestão por hora.
- Ingestão: capacidade de processamento semanal: mostra a capacidade de ingestão semanal.
- Ingestão: capacidade de processamento (últimos 6 meses): mostra a capacidade de ingestão dos últimos 6 meses.
- Ingestão: capacidade de processamento (total): mostra a capacidade de ingestão por ano para todo o período em que há dados.
- Número de dias desde que o host informou um evento (últimos 7 dias): mostra o número de dias desde que os hosts informaram um evento (nos últimos 7 dias).
Painel de correspondências de IoC
O painel Correspondências de IoC oferece visibilidade sobre os IoCs presentes na sua empresa.
É possível visualizar as seguintes visualizações no painel Correspondências de IoC:
- Correspondências de IoC ao longo do tempo por categoria: mostra o número de correspondências de IoC com base na categoria.
- 10 principais indicadores de IoC de domínio: lista os 10 principais indicadores de IoC de domínio e as contagens deles.
- 10 principais indicadores de IoC de IP: lista os 10 principais indicadores de IoC de endereço IP e as contagens deles.
- 10 principais recursos por correspondências de IoC: lista os 10 principais recursos por correspondências de IoC e as contagens deles.
- 10 principais correspondências de IoC por categoria, tipo e contagem: lista as 10 principais correspondências de IoC por categoria, tipo e contagens.
- 10 principais valores de IoC: lista os 10 principais valores de IoC com a contagem.
- 10 principais valores raramente vistos: lista as 10 principais correspondências de IoC que ocorrem raramente e as contagens delas.
As visualizações Correspondências de IoC incluem o filtro de carimbo de data/hora do evento em Campos somente de filtro.
Painel de detecções de regras
O painel Detecções de regras oferece insights sobre as detecções retornadas pelas regras do mecanismo de detecção. Para receber detecções, é necessário ativar as regras. Para mais informações, consulte Como executar uma regra em dados ativos.
É possível visualizar as seguintes visualizações no painel Detecções de regras:
- Detecções de regras ao longo do tempo: mostra o número de detecções de regras durante um período.
- Detecções de regras por gravidade: mostra a gravidade das detecções de regras.
- Detecções de regras por gravidade ao longo do tempo: mostra a contagem diária de detecções por gravidade ao longo do tempo.
- 10 principais nomes de regras por detecções: lista as 10 principais regras que retornam o maior número de detecções.
- Detecções de regras por nome ao longo do tempo: mostra as regras que retornaram detecções a cada dia e o número de detecções retornadas.
- 10 principais usuários por detecções de regras: lista os 10 principais identificadores de usuário que apareceram em eventos que acionaram detecções.
- 10 principais nomes de recursos por detecções de regras: lista os 10 principais nomes de recursos que apareceram em eventos que acionaram detecções, como o nome do host.
- 10 principais IPs por detecções de regras: lista os 10 principais endereços IP que apareceram em eventos que acionaram detecções.
Painel de visão geral do login do usuário
O painel Visão geral do login do usuário oferece insights sobre os usuários que fazem login na sua empresa. Essas informações podem ser úteis para rastrear tentativas de atores maliciosos de acessar sua empresa.
Por exemplo, você pode descobrir que um usuário específico tentou acessar sua empresa de um país em que você não tem um escritório ou que um usuário específico parece acessar repetidamente um aplicativo de contabilidade.
É possível visualizar as seguintes visualizações no painel Visão geral do login do usuário:
- Número de logins bem-sucedidos: mostra o número total de logins bem-sucedidos.
- Número de logins com falha: mostra o número total de logins com falha.
- Logins por status: mostra a divisão de logins bem-sucedidos e com falha.
- Logins por status ao longo do tempo: mostra a divisão de logins bem-sucedidos e com falha no período.
- 10 principais aplicativos por logins: mostra a divisão dos 10 principais aplicativos frequentes com base no número de logins.
- Logins por aplicativo: lista a contagem do status de login
de cada aplicativo. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo
security_result.action. Consulte Tipos enumerados de eventos. - 10 principais países por logins: mostra a contagem dos 10 principais países em que os usuários fizeram login.
- Logins por país: mostra a contagem de todos os países em que os usuários fizeram login.
- 10 principais logins por IP: mostra os 10 principais endereços IP em que os usuários fizeram login.
- Mapa de localização de login: mostra os locais dos endereços IP em que os usuários fizeram login.
- 10 principais usuários por status de login: mostra a contagem do status de login
de cada usuário. A contagem de cada aplicativo é preenchida com base nos dados de registro definidos no campo
security_result.action. Consulte Tipos enumerados de eventos.
Solução de problemas
Esta seção descreve as expectativas de desempenho e fornece correções de autoatendimento para problemas comuns de painel e pesquisa.
Otimizar o desempenho do painel
Para garantir que os painéis e as pesquisas permaneçam responsivos ao lidar com grandes conjuntos de dados, alinhe as visualizações aos limites de renderização da plataforma. A interface do Google SecOps tem um limite de visualização de 10.000 linhas. Exceder esse limite pode fazer com que a guia do navegador pare de responder, o que pode ser confundido com uma interrupção da plataforma.
Para visualizar dados de registro de alto volume de maneira eficaz:
- Sempre aplique um filtro "N principais" (por exemplo, 10 principais endereços IP) para agregar dados antes da renderização.
- Reduza o período de pesquisa para incrementos de 15 minutos ou 1 hora ao realizar pesquisas de registro bruto.
- Use os recursos Exportar para CSV ou BigQuery se precisar de acesso a mais de 10.000 linhas.
A seguir
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.