Use SIEM tools(SIEM dashboard data) to protect organizations
Proprietary tools 專有工具:

Chronicle

Chronicle 是 Google 的一款cloud-native 雲端原生 SIEM 工具，能夠保留retains、分析analyzes和搜尋日誌數據searches log data，以識別潛在的安全威脅、風險和漏洞。Chronicle 允許您根據以下條件收集和分析日誌數據：

• 特定資產A specific asset
• 域名 A domain name
• 用戶 A user
• IP 地址 An IP address

Chronicle 提供多個儀表板，幫助分析師監控組織的日誌、創建篩選器和警報，以及追踪可疑的域名。
1.Enterprise insights dashboard 企業洞察儀表板:
企業洞察儀表板突出顯示了最近的警報。它在日誌中識別可疑的域名，稱為indicators of compromise 妥協指標（IOCs）。每個結果都標有信心分數，以指示威脅的可能性。它還提供了一個嚴重性級別，指出每個威脅對組織的重要性。安全分析師可能會使用此儀表板來監控與關鍵資產（例如應用程序或系統）相關的不尋常位置或設備的登錄或數據訪問嘗試。
2.Data ingestion and health dashboard數據攝取和健康儀表板顯示事件日誌:
日誌來源的數量以及數據被處理到 Chronicle 的成功率。安全分析師可能會使用這個儀表板來確保日誌來源被正確配置，以及日誌在沒有錯誤的情況下被接收。這有助於確保與日誌相關的問題得到解決，以便安全團隊可以訪問他們所需的日誌數據。
3.IOC matches dashboard IOC匹配儀表板
顯示了組織面臨的主要威脅、風險和漏洞。安全專業人員使用這個儀表板來觀察域名、IP 位址和設備 IOC，隨著時間的推移以識別趨勢。這些資訊然後被用來引導安全團隊專注於最高優先級的威脅。例如，安全分析師可以使用這個儀表板來搜尋與警報相關的其他活動，例如來自不尋常地理位置的可疑用戶登錄。
4.Main dashboard主控制台顯示與組織數據攝取、警報和事件活動相關的信息的高級摘要
安全專業人員可以使用該控制台訪問安全事件的時間軸，例如失敗登錄嘗試的高峰，以識別跨日誌來源、設備、IP 地址和物理位置的威脅趨勢。
5.Rule detections dashboard規則檢測儀表板提供與事件發生頻率
嚴重程度和隨時間變化的檢測相關的統計資訊。安全分析師可以使用此儀表板訪問由特定檢測規則觸發的所有警報列表，例如設計用於在使用者從電子郵件中打開已知的惡意附件時發出警報的規則。然後，分析師利用這些統計資訊來幫助管理重複發生的事件，並建立減輕策略以降低組織的風險水平。
6.User sign in overview dashboard用戶登錄概覽儀表板提供有關整個組織的用戶訪問行為的信息
安全分析師可以使用此儀表板訪問所有用戶登錄事件的列表，以識別不尋常的用戶活動，例如用戶同時從多個地點登錄。然後，這些信息用於幫助減輕對用戶帳戶和組織應用程序的威脅、風險和脆弱性。

Splunk

1. Security posture dashboard:安全姿態儀表板專為安全運營中心（SOC）設計，顯示組織過去24小時的顯著安全事件和趨勢，幫助安全專業人員評估安全基礎設施和政策的效能。安全分析師可以利用此儀表板即時監控和調查潛在威脅，如來自特定IP地址的可疑網絡活動。
2. Executive summary dashboard:執行摘要儀表板分析並監控組織的整體健康狀況，幫助安全團隊改善安全措施以降低風險。安全分析師可能使用該儀表板向利益相關者提供高層次的見解，例如生成特定時間範圍內的安全事件和趨勢摘要。
3. Incident review dashboard:事故回顧儀表板允許分析師識別事件發生時的可疑模式，並突顯需要立即審查的高風險項目，提供事件發生前的視覺時間線，對分析師非常有幫助。
4. Risk analysis dashboard:風險分析儀表板幫助分析師識別每個風險對象的風險，例如特定用戶、電腦或IP地址。它顯示風險相關活動或行為的變化，例如用戶在非正常工作時間登錄或特定電腦的網絡流量異常高。安全分析師可以使用這個儀表板分析關鍵資產中漏洞的潛在影響，幫助他們優先考慮風險緩解工作。