Native Dashboards – Übersicht
In diesem Dokument wird beschrieben, wie Sie mit der Funktion „Native Dashboards“ von Google Security Operations Visualisierungen für verschiedene Datenquellen erstellen. Es besteht aus verschiedenen Diagrammen, die mit YARA-L 2.0-Properties ausgefüllt werden.
Hinweise
Prüfen Sie, ob für Ihre Google SecOps-Instanz Folgendes aktiviert ist:
Konfigurieren Sie ein Google Cloud Projekt oder migrieren Sie Ihre Google SecOps-Instanz zu einem vorhandenen Cloud-Projekt.
Konfigurieren Sie einen Google Cloud Identity-Anbieter oder einen externen Identitätsanbieter.
Nachdem Sie die erforderlichen Berechtigungen aktiviert haben, wenden Sie sich an den Google SecOps-Support, um native Dashboards zu aktivieren.
Erforderliche IAM-Berechtigungen
Für den Zugriff auf native Dashboards sind die folgenden Berechtigungen erforderlich:
| IAM-Berechtigung | Zweck |
|---|---|
chronicle.nativeDashboards.list |
Liste aller nativen Dashboards ansehen |
chronicle.nativeDashboards.get |
Ein natives Dashboard aufrufen, einen Dashboard-Filter anwenden und den globalen Filter anwenden. |
chronicle.nativeDashboards.create |
Neues natives Dashboard erstellen |
chronicle.nativeDashboards.duplicate |
Eine Kopie eines vorhandenen Dashboards erstellen. |
chronicle.nativeDashboards.update |
Sie können Diagramme hinzufügen und bearbeiten, einen Filter hinzufügen, den Dashboardzugriff ändern und den globalen Zeitfilter verwalten. |
chronicle.nativeDashboards.delete |
Ein natives Dashboard löschen |
Native Dashboards
Native Dashboards liefern Informationen zu Sicherheitsereignissen, Erkennungen und zugehörigen Daten. In diesem Abschnitt werden die unterstützten Datenquellen beschrieben und erläutert, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die Sichtbarkeit und den Datenzugriff in den Dashboards auswirkt.
Unterstützte Datenquellen
Native Dashboards enthalten die folgenden Datenquellen, jeweils mit dem entsprechenden YARA-L-Präfix:
| Datenquelle | Abfragezeitintervall | YARA-L-Präfix | Schema |
|---|---|---|---|
| Ereignisse | 90 Tage | no prefix |
Fields |
| Entitätsdiagramm | 365 Tage | graph |
Fields |
| Messwerte für die Datenaufnahme | 365 Tage | ingestion |
Fields |
| Regelsätze | 365 Tage | ruleset |
Fields |
| Erkennungen | 365 Tage | detection |
Fields |
| IOCs | 365 Tage | ioc |
Fields |
Auswirkungen der RBAC für Daten
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist ein Sicherheitsmodell, bei dem der Nutzerzugriff auf Daten innerhalb einer Organisation anhand individueller Nutzerrollen eingeschränkt wird. Mit der datenbasierten RBAC können Administratoren Bereiche definieren und Nutzern zuweisen, damit der Zugriff auf die Daten beschränkt wird, die für ihre berufliche Tätigkeit erforderlich sind. Alle Abfragen in nativen Dashboards unterliegen den RBAC-Regeln für Daten. Weitere Informationen zu Zugriffssteuerungen und Bereichen finden Sie unter Zugriffssteuerungen und Bereiche in der datenbasierten RBAC.
Ereignisse, Entity Graph und IOC-Übereinstimmungen
Die von diesen Quellen zurückgegebenen Daten sind auf die zugewiesenen Zugriffsbereiche des Nutzers beschränkt. So sehen Nutzer nur Ergebnisse aus autorisierten Daten. Wenn ein Nutzer mehrere Bereiche hat, enthalten Abfragen Daten aus allen zugewiesenen Bereichen. Daten, die nicht zu den zugänglichen Bereichen des Nutzers gehören, werden nicht in den Suchergebnissen angezeigt.
Erkennungen und Regelsätze mit Erkennungen
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer sehen nur Erkennungen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind. Die Regelsätze mit Erkennungen sind nur für globale Nutzer sichtbar.
Messwerte für die Datenaufnahme
Datenaufnahmekomponenten sind Dienste oder Pipelines, die Protokolle aus Quellprotokollfeeds in die Plattform aufnehmen. Jede Datenaufnahmekomponente erfasst eine bestimmte Reihe von Protokollfeldern in ihrem eigenen Schema für Datenaufnahmemesswerte. Diese Messwerte sind nur für globale Nutzer sichtbar.
Erweiterte Funktionen und Monitoring
Sie können erweiterte Konfigurationen wie YARA-L 2.0-Regeln und Datenaufnahmemesswerte verwenden, um die Erkennung zu optimieren und die Sichtbarkeit zu verbessern. In diesem Abschnitt werden diese Funktionen näher erläutert, damit Sie die Effizienz der Erkennung optimieren und die Datenverarbeitung im Blick behalten können.
YARA-L 2.0-Eigenschaften
YARA-L 2.0 hat bei Verwendung in nativen Dashboards die folgenden einzigartigen Eigenschaften:
In Dashboards sind zusätzliche Datenquellen wie Entitätsgraphen, Datenaufnahmemesswerte, Regelsätze und Erkennungen verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und der UDM-Suche (Unified Data Model) verfügbar.
Weitere Informationen finden Sie unter YARA-L 2.0-Funktionen für native Google Security Operations-Dashboards und Aggregatfunktionen mit statistischen Maßen.
Die Abfrage in YARA-L 2.0 muss einen Abschnitt
matchoderoutcomeoder beide enthalten.Der Abschnitt
eventseiner YARA-L-Regel ist implizit und muss in Abfragen nicht deklariert werden.Der Abschnitt
conditioneiner YARA-L-Regel ist für Dashboards nicht verfügbar.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten