Información general sobre los paneles de control
En este documento se explica cómo usar la función Paneles de Google Security Operations para crear visualizaciones a partir de diferentes fuentes de datos. Se compone de diferentes gráficos que se rellenan con propiedades de YARA-L 2.0.
Antes de empezar
Asegúrate de que tu instancia de Google SecOps tenga lo siguiente habilitado:
Configura un Google Cloud proyecto o migra tu instancia de Google SecOps a un proyecto de Cloud.
Configura un proveedor de identidades de Google Cloud o un proveedor de identidades externo.
Configurar el control de acceso a funciones con la gestión de identidades y accesos
Permisos de gestión de identidades y accesos necesarios
Para acceder a los paneles de control, se necesitan los siguientes permisos:
| Permiso de gestión de identidades y accesos | Finalidad |
|---|---|
chronicle.nativeDashboards.list |
Consulta la lista de todos los paneles de control. |
chronicle.nativeDashboards.get |
Ver un panel de control, aplicar un filtro del panel de control y aplicar el filtro global. |
chronicle.nativeDashboards.create |
Crea un panel de control. |
chronicle.nativeDashboards.duplicate |
Crea una copia de un panel de control. |
chronicle.nativeDashboards.update |
Añadir y editar gráficos, añadir un filtro, cambiar el acceso al panel de control y gestionar el filtro de tiempo global. |
chronicle.nativeDashboards.delete |
Eliminar un panel de control. |
Información sobre los paneles
Los paneles de control proporcionan información valiosa sobre los eventos de seguridad, las detecciones y los datos relacionados. En esta sección se describen las fuentes de datos admitidas y se explica cómo afecta el control de acceso basado en roles (RBAC) a la visibilidad y al acceso a los datos en los paneles de control.
Fuentes de datos admitidas
Los paneles de control incluyen las siguientes fuentes de datos, cada una con su prefijo YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de las consultas | Prefijo de YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | no prefix |
Campos |
| Gráfico de entidades | 365 días | graph |
Campos |
| Métricas de ingestión | 365 días | ingestion |
Campos |
| Conjuntos de reglas | 365 días | ruleset |
Campos |
| Detecciones | 365 días | detection |
Campos |
| IOCs | 365 días | ioc |
Campos |
| Reglas | Sin límite de tiempo | rules |
Campos |
| Incidencias y alertas | 365 días | case |
Campos |
| Guía | 365 días | playbook |
Campos |
| Historial de casos | 365 días | case_history |
Campos |
Impacto del RBAC de datos
El control de acceso basado en roles (RBAC) de datos es un modelo de seguridad que usa roles de usuario individuales para restringir el acceso de los usuarios a los datos de una organización. El control de acceso basado en roles de datos permite a los administradores definir ámbitos y asignarlos a los usuarios, lo que garantiza que el acceso se limite únicamente a los datos necesarios para sus funciones laborales. Todas las consultas de los paneles de control siguen las reglas de control de acceso basado en roles de datos. Para obtener más información sobre los controles de acceso y los ámbitos, consulta Controles de acceso y ámbitos en el control de acceso basado en roles de datos.
Eventos, gráfico de entidades y coincidencias de IOC
Los datos devueltos de estas fuentes se restringen a los permisos de acceso asignados al usuario, lo que garantiza que solo vea resultados de datos autorizados. Si un usuario tiene varios ámbitos, las consultas incluyen datos de todos los ámbitos asignados. Los datos que estén fuera de los ámbitos a los que puede acceder el usuario no aparecerán en los resultados de búsqueda del panel de control.
Reglas
Los usuarios solo pueden ver las reglas asociadas a los ámbitos que tienen asignados.
Detecciones y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que proceden de reglas asociadas a los ámbitos que se les han asignado. Los conjuntos de reglas con detecciones solo pueden verlos los usuarios globales.
Fuentes de datos de SOAR
Los casos y las alertas, los manuales de procedimientos y el historial de casos solo están visibles para los usuarios globales.
Métricas de ingestión
Los componentes de ingesta son servicios o pipelines que incorporan registros a la plataforma desde fuentes de registros. Cada componente de ingesta recoge un conjunto específico de campos de registro en su propio esquema de métricas de ingesta. Estas métricas solo las pueden ver los usuarios globales.
Funciones y monitorización avanzadas
Para optimizar las detecciones y mejorar la visibilidad, puedes usar configuraciones avanzadas, como reglas de YARA-L 2.0 y métricas de ingesta. En esta sección se analizan estas estadísticas de las funciones para ayudarte a optimizar la eficiencia de la detección y monitorizar el tratamiento de los datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en los paneles de control:
En los paneles de control se pueden consultar otras fuentes de datos, como el gráfico de entidades, las métricas de ingesta, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas YARA-L y en la búsqueda del modelo de datos unificado (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles de control de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla de YARA-L está implícita y no es necesario declararla en las consultas.La sección
conditionde una regla de YARA-L no está disponible en los paneles de control.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.