Ringkasan dasbor

Dokumen ini menjelaskan cara menggunakan fitur Dasbor Google Security Operations untuk membuat visualisasi di berbagai sumber data. Dasbor ini terdiri dari berbagai diagram, yang diisi menggunakan properti YARA-L 2.0.

Sebelum memulai

Pastikan instance Google SecOps Anda telah mengaktifkan hal berikut:

• Konfigurasi Google Cloud project atau migrasikan instance Google SecOps Anda ke project cloud yang ada.

• Konfigurasi penyedia identitas Google Cloud Identity atau penyedia identitas pihak ketiga.

• Konfigurasi kontrol akses fitur menggunakan IAM.

Diperlukan izin IAM

Izin berikut diperlukan untuk mengakses dasbor:

Izin IAM	Tujuan
chronicle.nativeDashboards.list	Melihat daftar semua dasbor.
chronicle.nativeDashboards.get	Melihat dasbor, menerapkan filter dasbor, dan menerapkan filter global.
chronicle.nativeDashboards.create	Buat dasbor baru.
chronicle.nativeDashboards.duplicate	Buat salinan dasbor yang ada.
chronicle.nativeDashboards.update	Menambahkan dan mengedit diagram, menambahkan filter, mengubah akses dasbor, dan mengelola filter waktu global.
chronicle.nativeDashboards.delete	Menghapus dasbor.

Memahami dasbor

Dasbor memberikan insight tentang peristiwa keamanan, deteksi, dan data terkait. Bagian ini menguraikan sumber data yang didukung dan menjelaskan cara kontrol akses berbasis peran (RBAC) memengaruhi visibilitas dan akses data dalam dasbor.

Sumber data yang didukung

Dasbor mencakup sumber data berikut, masing-masing dengan awalan YARA-L yang sesuai:

Sumber data	Interval waktu kueri	Awalan YARA-L	Skema
Acara	90 hari	no prefix	Kolom
Grafik entitas	365 hari	graph	Kolom
Metrik penyerapan	365 hari	ingestion	Kolom
Kumpulan aturan	365 hari	ruleset	Kolom
Deteksi	365 hari	detection	Kolom
IOC	365 hari	ioc	Kolom
Aturan	Tidak ada Batas waktu	rules	Kolom
Kasus dan pemberitahuan	365 hari	case	Kolom
Playbook	365 hari	playbook	Kolom
Histori kasus	365 hari	case_history	Kolom

Dampak RBAC data

Kontrol akses berbasis peran (RBAC) data adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. RBAC data memungkinkan administrator menentukan cakupan dan menetapkannya kepada pengguna, sehingga memastikan akses hanya terbatas pada data yang diperlukan untuk fungsi pekerjaan mereka. Semua kueri di dasbor mengikuti aturan RBAC data. Untuk mengetahui informasi selengkapnya tentang kontrol akses dan cakupan, lihat Kontrol akses dan cakupan dalam RBAC data.

Peristiwa, grafik entitas, dan kecocokan IOC

Data yang ditampilkan dari sumber ini dibatasi untuk cakupan akses yang ditetapkan pengguna, sehingga memastikan bahwa pengguna hanya melihat hasil dari data yang sah. Jika pengguna memiliki beberapa cakupan, kueri akan menyertakan data dari semua cakupan yang ditetapkan. Data di luar cakupan yang dapat diakses pengguna tidak akan muncul di hasil penelusuran dasbor.

Aturan

Pengguna hanya dapat melihat aturan yang terkait dengan cakupan yang ditetapkan untuk mereka.

Deteksi dan sekumpulan aturan dengan deteksi

Deteksi dibuat saat data keamanan masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Kumpulan aturan dengan deteksi hanya terlihat oleh pengguna global.

Sumber data SOAR

Kasus dan pemberitahuan, playbook, serta histori kasus hanya dapat dilihat oleh pengguna global.

Metrik penyerapan

Komponen penyerapan adalah layanan atau pipeline yang membawa log ke dalam platform dari feed log sumber. Setiap komponen penyerapan mengumpulkan serangkaian kolom log tertentu dalam skema metrik penyerapan miliknya sendiri. Metrik ini hanya dapat dilihat oleh pengguna global.

Fitur dan pemantauan lanjutan

Untuk menyesuaikan deteksi dan meningkatkan visibilitas, Anda dapat menggunakan konfigurasi lanjutan, seperti aturan YARA-L 2.0 dan metrik penyerapan. Bagian ini membahas insight fitur ini, yang membantu Anda mengoptimalkan efisiensi deteksi dan memantau pemrosesan data.

Properti YARA-L 2.0

YARA-L 2.0 memiliki properti unik berikut saat digunakan di dasbor:

• Sumber data tambahan, seperti grafik entitas, metrik penyerapan, set aturan, dan deteksi tersedia di dasbor. Beberapa sumber data ini belum tersedia dalam aturan YARA-L dan penelusuran Model Data Terpadu (UDM).

• Lihat fungsi YARA-L 2.0 untuk dasbor Google Security Operations dan fungsi agregat yang mencakup ukuran statistik.

• Kueri di YARA-L 2.0 harus berisi bagian match atau outcome, atau keduanya.

• Bagian events dari aturan YARA-L tersirat dan tidak perlu dideklarasikan dalam kueri.

• Bagian condition dari aturan YARA-L tidak tersedia untuk dasbor.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.