我们重新整理了导航结构，使其与您的运营工作流程直接对应。如需了解详情，请参阅 Google SecOps 版本说明。

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

SIEM 信息中心概览

支持：

Google SecOps SIEM

您可以使用 Google Security Operations SIEM 信息中心查看和分析 Google Security Operations SIEM 中的数据，包括安全遥测数据、注入指标、检测结果、提醒和 IoC。这些信息中心基于 Looker 的功能。

Google Security Operations SIEM 为您提供了多个默认信息中心，本文档对此进行了介绍。您也可以创建自定义信息中心。

默认信息中心

点击信息中心和报告 > 信息中心 ，打开信息中心 页面。

默认信息中心包含 Google Security Operations SIEM 实例中存储的预定义数据可视化图表。这些信息中心专为特定用例而设计，例如了解 Google Security Operations SIEM 数据注入系统的状态或监控企业中的威胁状态。

每个默认信息中心都包含一个时间范围过滤条件，可让您查看特定时间段的数据。这在排查问题或识别趋势时很有帮助。例如，您可以使用过滤条件查看过去一周或特定时间范围内的数据。

如需确保信息中心性能最佳，请参阅问题排查。

Google Security Operations SIEM 提供以下默认信息中心：

主信息中心
云检测和响应
情境感知检测 - 风险
运行状况中心
数据注入和运行状况
IoC 匹配项
规则检测
用户登录概览

主信息中心

主信息中心 显示有关 Google Security Operations SIEM 数据注入系统状态的信息。它还包含一个全球地图，其中突出显示了在您的企业内检测到的 IoC 的地理位置。

您可以在主信息中心 中查看以下可视化图表：

注入的事件：注入的事件总数。
吞吐量：在特定时间内注入的数据量。
提醒：在一段时间内发生的检测总数。提醒和 IoC 页面上显示的提醒数量可能有所不同，因为此页面仅显示当前提醒。如需了解更多信息，请参阅查看提醒。
一段时间内的事件：显示在一段时间内发生的事件的柱形图。
全球威胁地图 - IoC IP 匹配项：发生失陷指标 (IoC) 匹配事件的位置。

云检测和响应概览信息中心

云检测和响应 信息中心可帮助您监控云环境的安全状态并调查潜在威胁。该信息中心显示可视化图表，可帮助您了解数据源、规则集、提醒和其他信息。

您可以使用时间过滤条件按时间段过滤数据。

您可以使用 GCP 日志类型 过滤条件按 Google Cloud 日志类型过滤数据。

您可以在云检测和响应概览 信息中心中查看以下可视化图表：

已启用的 CDIR 规则集：显示为您的云环境启用的 Google Security Operations SIEM 规则集占 GCTI 为 Google Security Operations SIEM 用户提供的规则集总数的百分比。GCTI 提供多个预打包的精选规则。您可以启用或停用这些规则集。
涵盖的 GCP 数据源：显示涵盖的数据源占可用 Google Cloud 数据源总数的百分比。例如，如果您可以使用 40 种日志类型注入数据，但仅发送 20 种日志类型的数据，则该图块会显示 50%。
CDIR 提醒：显示从 GCTI 规则集或云威胁中的规则引发的提醒数量。您可以使用时间过滤条件设置显示此数据的天数。
近期提醒：显示近期提醒及其严重程度和风险评分。您可以使用事件时间戳时间 列对表格进行排序，并导航到每个提醒以了解详情。它提供了由 Security Command Center 增强的汇总安全发现结果的数量。这些安全发现结果由 GCTI 精选检测规则集生成，并按发现结果类型进行分类。您可以使用时间过滤条件设置显示此数据的天数。
一段时间内按严重程度划分的提醒：显示按严重程度划分的提醒总数，并显示随时间变化的趋势。您可以使用时间过滤条件设置显示此数据的天数。
检测覆盖率：提供有关 Google Security Operations SIEM 规则集及其状态、检测总数以及最新检测日期的信息。您可以使用时间过滤条件设置显示此数据的天数。
云数据覆盖率：提供有关所有可用 Google Cloud 服务、涵盖每项服务的解析器、首次看到的事件、上次看到的事件以及总吞吐量的信息。

如需详细了解 CDIR 规则集，请参阅云威胁类别概览。

表格后是所有 Google Cloud 服务的图表及其关联数据，这些图表显示了服务在以下时间间隔内的注入趋势：

过去 24 小时
过去 30 天
过去六个月

情境感知检测 - 风险信息中心

情境感知检测 - 风险 信息中心可帮助您了解企业中资产和用户的当前威胁状态。它使用规则检测 探索界面中的字段构建而成。

严重程度和风险评分值是在每个规则中定义的变量。如需查看示例，请参阅结果部分语法。在每个面板中，数据首先按严重程度排序，然后按风险评分排序，以识别风险最高的用户和资产。

您可以在情境感知检测 - 风险 信息中心中查看以下可视化图表：

存在风险的资产和设备：根据您在元数据 > 严重程度中设置的规则严重程度，列出排名前 10 的资产。请参阅元数据部分语法。严重程度级别包括极高、严重、高、大、中和低。如果记录中没有 hostname 值，则会显示 IP 地址。
存在风险的用户：根据严重程度列出排名前 10 的用户。严重程度级别包括极高、严重、高、大、中和低。如果记录中没有 username 值，则会显示电子邮件 ID。
汇总风险：显示每个日期的汇总风险评分总值。
检测结果：显示有关检测引擎规则返回的检测结果的详细信息。表格包括规则名称、检测 ID、风险评分和严重程度。

数据注入和运行状况信息中心

数据注入和运行状况 信息中心提供有关注入到 Google Security Operations SIEM 租户的数据类型、数量和运行状况的信息。您可以使用此信息中心监控环境中的异常情况。此信息中心提供可视化图表，可帮助您了解注入日志的数量、注入错误和其他相关信息。

您可以在数据注入和运行状况 信息中心中查看以下可视化图表：

在信息中心内配置的全局时间过滤条件 适用于以下可视化图表：
- 注入的事件数：显示注入的事件总数。
- 基于吞吐量的日志类型分布：显示基于吞吐量的日志类型分布。
- 吞吐量：显示注入吞吐量。
- 基于事件计数的日志类型分布：显示基于每种日志类型的事件数量的日志类型分布。
- 注入错误数：显示注入期间遇到的错误总数。
- 注入 - 按状态划分的事件：显示一个表格，其中包含按状态划分的事件，可按列排序：日期、注入的日志、规范化事件、解析错误、验证错误、索引错误。
- 突发限制图表 - 注入速率：显示日志注入每小时速率随时间的变化（请参阅突发限制）。
- 突发限制图表 - 配额限制：显示日志注入每小时配额随时间的变化（请参阅突发限制）。
- 突发拒绝图表：显示每小时因超出突发限制而被拒绝的日志数量随时间的变化（请参阅突发限制）。
- 注入 - 按日志类型划分的事件：显示按日志类型划分的事件，可按列排序：日志类型、注入的吞吐量、注入的日志、规范化事件、解析错误、验证错误、索引错误。
  
  注意：如果指定时间范围内只有 ENTITY_RISK_CHANGE 事件，则 UDM 日志的注入的吞吐量 和注入的日志 列会显示 0 值。这是因为 ENTITY_RISK_CHANGE 事件不计入注入指标，并且不会影响结算。
- Bindplane 代理日志记录 - 按严重程度划分的日志（随时间变化）：显示按严重程度划分的日志数量随时间的变化。仅当 Google SecOps 从 Bindplane 代理注入日志时，信息中心才会显示此可视化图表。
- Bindplane 代理日志记录 - 消息数：显示按消息文本划分的日志数量，可按列排序：严重程度、消息、总数、首次看到、上次看到。仅当 Google SecOps 从 Bindplane 代理注入日志时，信息中心才会显示此可视化图表。
以下可视化图表的时间范围是预先选择的，不受全局时间过滤条件的影响：
- 最近注入的事件：显示每种日志类型最近注入的事件。
- 每日日志信息：显示每种日志类型每天的日志数。
- 事件数（过去 24 小时） 和事件大小（过去 24 小时）：显示过去 24 小时的事件数和事件大小。
- 事件数（过去 7 天） 和事件大小（过去 7 天）：显示过去 7 天的事件数和事件大小。
- 事件数（过去 3 个月） 和事件大小（过去 3 个月）：显示过去 3 个月的事件数和事件大小。
- 注入 - 每小时吞吐量：显示每小时注入吞吐量。
- 注入 - 每周吞吐量：显示每周注入吞吐量。
- 注入 - 吞吐量（过去 6 个月）：显示过去 6 个月的注入吞吐量。
- 注入 - 吞吐量（所有时间）：显示有数据的所有时间段内每年的注入吞吐量。
- 主机报告事件以来的天数（过去 7 天）：显示主机报告事件以来的天数（过去 7 天内）。

IoC 匹配项信息中心

IoC 匹配项 信息中心可让您了解企业中存在的 IoC。

注意： **IoC 匹配项** 信息中心显示 IoC 匹配时的 IoC 详细信息（例如置信度评分和严重程度），而**提醒和 IoC** 页面的 **IOC 匹配项** 标签页显示发生 IoC 匹配的日期存储桶的 UNIX 秒值。

您可以在IoC 匹配项 信息中心中查看以下可视化图表：

IoC 匹配随时间的变化（按类别）：显示基于 IoC 类别的 IoC 匹配数。
10 大网域 IoC 指标：列出排名前 10 的网域 IoC 指标及其计数。
10 大 IP 地址 IoC 指标：列出排名前 10 的 IP 地址 IoC 指标及其计数。
10 大资产（按 IoC 匹配）：列出排名前 10 的资产（按 IoC 匹配）及其计数。
10 大 IoC 匹配项（按类别、类型和计数）：列出排名前 10 的 IoC 匹配项（按类别、类型）及其计数。
10 大 IoC 值：列出排名前 10 的 IoC 值及其计数。
10 大罕见值：列出排名前 10 的罕见 IoC 匹配项及其计数。

IoC 匹配项 可视化图表包含仅限过滤条件的字段 下的事件时间戳过滤条件 。

规则检测信息中心

规则检测 信息中心可帮助您了解检测引擎规则返回的检测结果。如需接收检测结果，您必须启用规则。如需了解详情，请参阅针对实时数据运行规则。

您可以在规则检测 信息中心中查看以下可视化图表：

一段时间内的规则检测：显示一段时间内的规则检测数。
按严重程度划分的规则检测：显示规则检测的严重程度。
按严重程度划分的规则检测（随时间变化）：显示按严重程度划分的每日检测数（随时间变化）。
10 大规则名称（按检测次数）：列出返回检测次数最多的排名前 10 的规则。
按名称划分的规则检测（随时间变化）：显示每天返回检测结果的规则以及返回的检测结果数。
10 大用户（按规则检测次数）：列出触发检测的事件中出现次数最多的排名前 10 的用户标识符。
10 大资产名称（按规则检测次数）：列出触发检测的事件中出现次数最多的排名前 10 的资产名称，例如主机名。
10 大 IP 地址（按规则检测次数）：列出触发检测的事件中出现次数最多的排名前 10 的 IP 地址。

用户登录概览 信息中心可帮助您了解登录企业的用户。此信息有助于跟踪恶意操作者访问您的企业的尝试。

例如，您可能会发现，特定用户尝试从没有办事处的国家/地区访问您的企业，或者特定用户似乎反复访问会计应用。

您可以在用户登录概览 信息中心中查看以下可视化图表：

成功登录次数：显示成功登录的总次数。
登录失败次数：显示登录失败的总次数。
按状态划分的登录次数：显示成功登录和登录失败的比例。
按状态划分的登录次数（随时间变化）：显示在时间范围内成功登录和登录失败的比例。
10 大应用（按登录次数）：显示排名前 10 的常用应用（按登录次数）的比例。
按应用划分的登录次数：列出每个应用的登录状态计数。每个应用的计数基于您在 security_result.action 字段中定义的日志数据填充。请参阅事件枚举类型。
10 大国家/地区（按登录次数）：显示用户登录次数最多的排名前 10 的国家/地区的计数。
按国家/地区划分的登录次数：显示用户登录的所有国家/地区的计数。
10 大登录 IP 地址：显示用户登录次数最多的排名前 10 的 IP 地址。
登录位置地图：显示用户登录的 IP 地址的位置。
10 大用户（按登录状态）：显示每个用户的登录状态计数。每个应用的计数基于您在 security_result.action 字段中定义的日志数据填充。请参阅事件枚举类型。

问题排查

本部分概述了性能预期，并提供了针对常见信息中心和搜索问题的自助修复方案。

优化信息中心性能

为确保信息中心和搜索在处理大型数据集时保持响应，请使可视化图表与平台的渲染限制保持一致。Google SecOps 界面具有 10,000 行的可视化图表限制；超出此阈值可能会导致浏览器标签页停止响应，这可能会被误认为是平台中断。

如需有效地可视化大量日志数据，请执行以下操作：

在渲染之前，始终应用 “前 N 个” 过滤条件（例如，前 10 个 IP 地址）来汇总数据。
执行原始日志搜索时，将搜索时间范围缩短为 15 分钟或 1 小时增量 。
如果您需要访问超过 10,000 行，请使用导出到 CSV 或 BigQuery 功能。

后续步骤

了解如何创建自定义信息中心