Dashboards – Übersicht
In diesem Dokument wird erläutert, wie Sie mit der Dashboard-Funktion von Google Security Operations Visualisierungen für verschiedene Datenquellen erstellen. Es besteht aus verschiedenen Diagrammen, die mit YARA-L 2.0-Eigenschaften gefüllt werden.
Hinweise
Prüfen Sie, ob in Ihrer Google SecOps-Instanz Folgendes aktiviert ist:
Konfigurieren Sie ein Google Cloud Projekt oder migrieren Sie Ihre Google SecOps-Instanz zu einem vorhandenen Cloud-Projekt.
Konfigurieren Sie einen Google Cloud-Identitätsanbieter oder einen externen Identitätsanbieter.
Erforderliche IAM-Berechtigungen
Die folgenden Berechtigungen sind für den Zugriff auf Dashboards erforderlich:
| IAM-Berechtigung | Zweck |
|---|---|
chronicle.nativeDashboards.list |
Liste aller Dashboards aufrufen |
chronicle.nativeDashboards.get |
Dashboard ansehen, Dashboardfilter anwenden und globalen Filter anwenden. |
chronicle.nativeDashboards.create |
Neues Dashboard erstellen |
chronicle.nativeDashboards.duplicate |
Kopie eines vorhandenen Dashboards erstellen |
chronicle.nativeDashboards.update |
Diagramme hinzufügen und bearbeiten, Filter hinzufügen, Dashboardzugriff ändern und globalen Zeitfilter verwalten. |
chronicle.nativeDashboards.delete |
Dashboard löschen |
Dashboards
Dashboards bieten Einblicke in Sicherheitsereignisse, Erkennungen und zugehörige Daten. In diesem Abschnitt werden die unterstützten Datenquellen beschrieben und es wird erläutert, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die Sichtbarkeit und den Datenzugriff in den Dashboards auswirkt.
Unterstützte Datenquellen
Dashboards enthalten die folgenden Datenquellen mit dem entsprechenden YARA-L-Präfix:
| Datenquelle | Zeitintervall für Abfragen | YARA-L-Präfix | Schema |
|---|---|---|---|
| Ereignisse | 90 Tage | no prefix |
Fields |
| Entitätsdiagramm | 365 Tage | graph |
Fields |
| Messwerte für die Aufnahme | 365 Tage | ingestion |
Fields |
| Regelsätze | 365 Tage | ruleset |
Fields |
| Erkennungen | 365 Tage | detection |
Fields |
| IOCs | 365 Tage | ioc |
Fields |
| Regeln | Kein Zeitlimit | rules |
Fields |
| Anfragen und Benachrichtigungen | 365 Tage | case |
Fields |
| Playbook | 365 Tage | playbook |
Fields |
| Verlauf der Anfrage | 365 Tage | case_history |
Fields |
Auswirkungen der datenbezogenen rollenbasierten Zugriffssteuerung
Die datenbasierte rollenbasierte Zugriffssteuerung (RBAC) ist ein Sicherheitsmodell, bei dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe von individuellen Nutzerrollen eingeschränkt wird. Mit der rollenbasierten Zugriffssteuerung für Daten können Administratoren Bereiche definieren und Nutzern zuweisen. So wird der Zugriff auf die Daten beschränkt, die für ihre Aufgaben erforderlich sind. Für alle Abfragen in Dashboards gelten die RBAC-Regeln für Daten. Weitere Informationen zu Zugriffssteuerungen und Bereichen finden Sie unter Zugriffssteuerungen und Bereiche in der rollenbasierten Zugriffssteuerung für Daten.
Ereignisse, Entity Graph und IOC-Übereinstimmungen
Die von diesen Quellen zurückgegebenen Daten sind auf die dem Nutzer zugewiesenen Zugriffsbereiche beschränkt. So werden nur Ergebnisse aus autorisierten Daten angezeigt. Wenn ein Nutzer mehrere Bereiche hat, enthalten Abfragen Daten aus allen zugewiesenen Bereichen. Daten, die außerhalb der für den Nutzer zugänglichen Bereiche liegen, werden nicht in den Suchergebnissen des Dashboards angezeigt.
Regeln
Nutzer können nur Regeln sehen, die mit den ihnen zugewiesenen Bereichen verknüpft sind.
Erkennung und Regelsätze mit Erkennungen
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die auf Regeln basieren, die mit ihren zugewiesenen Bereichen verknüpft sind. Die Regelsätze mit erkannten Verstößen sind nur für globale Nutzer sichtbar.
SOAR-Datenquellen
Fälle und Benachrichtigungen, Playbooks und der Fallverlauf sind nur für globale Nutzer sichtbar.
Messwerte für die Aufnahme
Aufnahmekomponenten sind Dienste oder Pipelines, die Logs aus Quell-Logfeeds in die Plattform übertragen. Jede Erfassungskomponente erfasst eine bestimmte Gruppe von Logfeldern in ihrem eigenen Erfassungs-Messwertschema. Diese Messwerte sind nur für globale Nutzer sichtbar.
Erweiterte Funktionen und Monitoring
Mit erweiterten Konfigurationen wie YARA-L 2.0-Regeln und Aufnahmemesswerten können Sie die Erkennung optimieren und die Sichtbarkeit verbessern. In diesem Abschnitt werden diese Statistiken zu Funktionen erläutert. So können Sie die Effizienz der Erkennung optimieren und die Datenverarbeitung überwachen.
YARA-L 2.0-Eigenschaften
YARA-L 2.0 hat die folgenden besonderen Eigenschaften, wenn es in Dashboards verwendet wird:
Zusätzliche Datenquellen wie Entity-Diagramme, Ingestion-Messwerte, Regelsätze und Erkennungen sind in Dashboards verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und UDM-Suchen (Unified Data Model) verfügbar.
Weitere Informationen finden Sie unter YARA-L 2.0-Funktionen für Google Security Operations-Dashboards und Aggregatfunktionen, die statistische Messwerte enthalten.
Die Abfrage in YARA-L 2.0 muss einen
match- oder einenoutcome-Abschnitt oder beides enthalten.Der
events-Abschnitt einer YARA-L-Regel ist impliziert und muss nicht in Abfragen deklariert werden.Der
condition-Abschnitt einer YARA-L-Regel ist für Dashboards nicht verfügbar.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten