Présentation des tableaux de bord
Ce document explique comment utiliser la fonctionnalité "Tableaux de bord" de Google Security Operations pour créer des visualisations sur différentes sources de données. Il se compose de différents graphiques, qui sont remplis à l'aide des propriétés YARA-L 2.0.
Avant de commencer
Assurez-vous que les éléments suivants sont activés dans votre instance Google SecOps :
Configurez un Google Cloud projet ou migrez votre instance Google SecOps vers un projet cloud existant.
Configurez un fournisseur d'identité Google Cloud ou un fournisseur d'identité tiers.
Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM
Autorisations IAM requises
Les autorisations suivantes sont requises pour accéder aux tableaux de bord :
| Autorisation IAM | Objectif |
|---|---|
chronicle.nativeDashboards.list |
Affichez la liste de tous les tableaux de bord. |
chronicle.nativeDashboards.get |
Afficher un tableau de bord, appliquer un filtre de tableau de bord et appliquer le filtre global. |
chronicle.nativeDashboards.create |
Créez un tableau de bord. |
chronicle.nativeDashboards.duplicate |
Créez une copie d'un tableau de bord existant. |
chronicle.nativeDashboards.update |
Ajouter et modifier des graphiques, ajouter un filtre, modifier l'accès au tableau de bord et gérer le filtre temporel global. |
chronicle.nativeDashboards.delete |
Supprimer un tableau de bord |
Comprendre les tableaux de bord
Les tableaux de bord fournissent des informations sur les événements de sécurité, les détections et les données associées. Cette section décrit les sources de données compatibles et explique comment le contrôle des accès basé sur les rôles (RBAC) affecte la visibilité et l'accès aux données dans les tableaux de bord.
Sources de données compatibles
Les tableaux de bord incluent les sources de données suivantes, chacune avec son préfixe YARA-L correspondant :
| Source de données | Intervalle de temps de la requête | Préfixe YARA-L | Schéma |
|---|---|---|---|
| Événements | 90 jours | no prefix |
Fields |
| Graphique des entités | 365 jours | graph |
Fields |
| Métriques d'ingestion | 365 jours | ingestion |
Fields |
| Ensembles de règles | 365 jours | ruleset |
Fields |
| Détections | 365 jours | detection |
Fields |
| IOC | 365 jours | ioc |
Fields |
| Règles | Pas de limite de temps | rules |
Fields |
| Cas et alertes | 365 jours | case |
Fields |
| Playbook | 365 jours | playbook |
Fields |
| Historique de la demande | 365 jours | case_history |
Fields |
Impact du RBAC sur les données
Le contrôle des accès basé sur les rôles (RBAC) pour les données est un modèle de sécurité qui utilise les rôles des utilisateurs individuels pour restreindre leur accès aux données d'une organisation. Le RBAC des données permet aux administrateurs de définir des niveaux d'accès et de les attribuer aux utilisateurs, en s'assurant que l'accès est limité aux seules données nécessaires à leurs fonctions. Toutes les requêtes dans les tableaux de bord suivent les règles RBAC des données. Pour en savoir plus sur les contrôles d'accès et les niveaux d'accès, consultez Contrôles d'accès et niveaux d'accès dans le RBAC des données.
Événements, graphique des entités et correspondances IoC
Les données renvoyées par ces sources sont limitées aux niveaux d'accès attribués à l'utilisateur, ce qui garantit qu'il ne voit que les résultats provenant de données autorisées. Si un utilisateur dispose de plusieurs niveaux d'accès, les requêtes incluent les données de tous les niveaux d'accès attribués. Les données qui ne font pas partie des niveaux d'accès de l'utilisateur n'apparaissent pas dans les résultats de recherche du tableau de bord.
Règles
Les utilisateurs ne peuvent voir que les règles associées aux niveaux d'accès qui leur ont été attribués.
Détection et ensembles de règles avec détections
Les détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées à leurs niveaux d'accès. Les ensembles de règles avec détections ne sont visibles que par les utilisateurs mondiaux.
Sources de données SOAR
Les demandes et les alertes, les playbooks et l'historique des demandes ne sont visibles que par les utilisateurs globaux.
Métriques d'ingestion
Les composants d'ingestion sont des services ou des pipelines qui importent les journaux dans la plate-forme à partir des flux de journaux sources. Chaque composant d'ingestion collecte un ensemble spécifique de champs de journaux dans son propre schéma de métriques d'ingestion. Ces métriques ne sont visibles que par les utilisateurs mondiaux.
Fonctionnalités avancées et surveillance
Pour affiner les détections et améliorer la visibilité, vous pouvez utiliser des configurations avancées, telles que les règles YARA-L 2.0 et les métriques d'ingestion. Cette section explore ces insights sur les fonctionnalités, vous aidant ainsi à optimiser l'efficacité de la détection et à surveiller le traitement des données.
Propriétés YARA-L 2.0
YARA-L 2.0 présente les propriétés uniques suivantes lorsqu'il est utilisé dans les tableaux de bord :
Des sources de données supplémentaires, telles que le graphique des entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Certaines de ces sources de données ne sont pas encore disponibles dans les règles YARA-L ni dans la recherche UDM (Unified Data Model).
Consultez les fonctions YARA-L 2.0 pour les tableaux de bord Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques.
La requête dans YARA-L 2.0 doit contenir une section
matchououtcome, ou les deux.La section
eventsd'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.La section
conditiond'une règle YARA-L n'est pas disponible pour les tableaux de bord.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.