Descripción general de los paneles
En este documento, se explica cómo usar la función Paneles de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Se compone de diferentes gráficos que se completan con propiedades de YARA-L 2.0.
Antes de comenzar
Asegúrate de que tu instancia de Google SecOps tenga habilitadas las siguientes opciones:
Configura un Google Cloud proyecto o migra tu instancia de Google SecOps a un proyecto de Cloud existente.
Configura un proveedor de identidad de Google Cloud o un proveedor de identidad externo.
Permisos de IAM obligatorios
Se requieren los siguientes permisos para acceder a los paneles:
| Permisos de IAM | Objetivo |
|---|---|
chronicle.nativeDashboards.list |
Consulta la lista de todos los paneles. |
chronicle.nativeDashboards.get |
Ver un panel, aplicar un filtro del panel y aplicar el filtro global |
chronicle.nativeDashboards.create |
Crea un panel nuevo. |
chronicle.nativeDashboards.duplicate |
Crea una copia de un panel existente. |
chronicle.nativeDashboards.update |
Agregar y editar gráficos, agregar un filtro, cambiar el acceso al panel y administrar el filtro de tiempo global |
chronicle.nativeDashboards.delete |
Borra un panel. |
Información sobre los paneles
Los paneles proporcionan estadísticas sobre los eventos de seguridad, las detecciones y los datos relacionados. En esta sección, se describen las fuentes de datos admitidas y se explica cómo el control de acceso basado en roles (RBAC) afecta la visibilidad y el acceso a los datos dentro de los paneles.
Fuentes de datos compatibles
Los paneles incluyen las siguientes fuentes de datos, cada una con su prefijo de YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de la consulta | Prefijo de YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | no prefix |
Campos |
| Gráfico de entidades | 365 días | graph |
Campos |
| Métricas de transferencia | 365 días | ingestion |
Campos |
| Conjuntos de reglas | 365 días | ruleset |
Campos |
| Detecciones | 365 días | detection |
Campos |
| IOC | 365 días | ioc |
Campos |
| Reglas | Sin límite de tiempo | rules |
Campos |
| Casos y alertas | 365 días | case |
Campos |
| Guía | 365 días | playbook |
Campos |
| Historial de casos | 365 días | case_history |
Campos |
Impacto del RBAC de datos
El control de acceso basado en roles (RBAC) de datos es un modelo de seguridad que utiliza roles de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. El RBAC de datos permite que los administradores definan alcances y los asignen a los usuarios, lo que garantiza que el acceso se limite solo a los datos necesarios para sus funciones laborales. Todas las consultas en los paneles siguen las reglas del RBAC de datos. Para obtener más información sobre los controles y los alcances de acceso, consulta Controles y alcances de acceso en el RBAC de datos.
Eventos, gráfico de entidades y coincidencias de IOC
Los datos que se muestran de estas fuentes se restringen a los permisos de acceso asignados al usuario, lo que garantiza que solo vea los resultados de los datos autorizados. Si un usuario tiene varios permisos, las consultas incluyen datos de todos los permisos asignados. Los datos fuera de los alcances accesibles para el usuario no aparecen en los resultados de la búsqueda del panel.
Reglas
Los usuarios solo pueden ver las reglas asociadas con los permisos asignados.
Detección y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con los permisos que se les asignaron. Los conjuntos de reglas con detecciones solo son visibles para los usuarios globales.
Fuentes de datos de SOAR
Los casos y las alertas, las guías y el historial de casos solo son visibles para los usuarios globales.
Métricas de transferencia
Los componentes de transferencia son servicios o canalizaciones que incorporan registros a la plataforma desde feeds de registros fuente. Cada componente de transferencia recopila un conjunto específico de campos de registro dentro de su propio esquema de métricas de transferencia. Estas métricas solo son visibles para los usuarios globales.
Funciones avanzadas y supervisión
Para ajustar las detecciones y mejorar la visibilidad, puedes usar configuraciones avanzadas, como las reglas de YARA-L 2.0 y las métricas de transferencia. En esta sección, se exploran estas estadísticas de funciones, lo que te ayuda a optimizar la eficiencia de la detección y supervisar el procesamiento de datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en paneles:
En los paneles, se encuentran disponibles fuentes de datos adicionales, como el gráfico de entidades, las métricas de transferencia, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda del modelo de datos unificado (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla de YARA-L está implícita y no es necesario declararla en las búsquedas.La sección
conditionde una regla de YARA-L no está disponible para los paneles.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.