Ringkasan dasbor
Dokumen ini menjelaskan cara menggunakan fitur Dasbor Google Security Operations untuk membuat visualisasi di berbagai sumber data. Dasbor ini terdiri dari berbagai diagram, yang diisi menggunakan properti YARA-L 2.0.
Sebelum memulai
Pastikan instance Google SecOps Anda telah mengaktifkan hal berikut:
Konfigurasi Google Cloud project atau migrasikan instance Google SecOps Anda ke project cloud yang ada.
Konfigurasi penyedia identitas Google Cloud Identity atau penyedia identitas pihak ketiga.
Diperlukan izin IAM
Izin berikut diperlukan untuk mengakses dasbor:
| Izin IAM | Tujuan |
|---|---|
chronicle.nativeDashboards.list |
Melihat daftar semua dasbor. |
chronicle.nativeDashboards.get |
Melihat dasbor, menerapkan filter dasbor, dan menerapkan filter global. |
chronicle.nativeDashboards.create |
Buat dasbor baru. |
chronicle.nativeDashboards.duplicate |
Buat salinan dasbor yang ada. |
chronicle.nativeDashboards.update |
Menambahkan dan mengedit diagram, menambahkan filter, mengubah akses dasbor, dan mengelola filter waktu global. |
chronicle.nativeDashboards.delete |
Menghapus dasbor. |
Memahami dasbor
Dasbor memberikan insight tentang peristiwa keamanan, deteksi, dan data terkait. Bagian ini menguraikan sumber data yang didukung dan menjelaskan cara kontrol akses berbasis peran (RBAC) memengaruhi visibilitas dan akses data dalam dasbor.
Sumber data yang didukung
Dasbor mencakup sumber data berikut, masing-masing dengan awalan YARA-L yang sesuai:
| Sumber data | Interval waktu kueri | Awalan YARA-L | Skema |
|---|---|---|---|
| Acara | 90 hari | no prefix |
Kolom |
| Grafik entitas | 365 hari | graph |
Kolom |
| Metrik penyerapan | 365 hari | ingestion |
Kolom |
| Kumpulan aturan | 365 hari | ruleset |
Kolom |
| Deteksi | 365 hari | detection |
Kolom |
| IOC | 365 hari | ioc |
Kolom |
| Aturan | Tidak ada Batas waktu | rules |
Kolom |
| Kasus dan pemberitahuan | 365 hari | case |
Kolom |
| Playbook | 365 hari | playbook |
Kolom |
| Histori kasus | 365 hari | case_history |
Kolom |
Dampak RBAC data
Kontrol akses berbasis peran (RBAC) data adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. RBAC data memungkinkan administrator menentukan cakupan dan menetapkannya kepada pengguna, sehingga memastikan akses hanya terbatas pada data yang diperlukan untuk fungsi pekerjaan mereka. Semua kueri di dasbor mengikuti aturan RBAC data. Untuk mengetahui informasi selengkapnya tentang kontrol akses dan cakupan, lihat Kontrol akses dan cakupan dalam RBAC data.
Peristiwa, grafik entitas, dan kecocokan IOC
Data yang ditampilkan dari sumber ini dibatasi untuk cakupan akses yang ditetapkan pengguna, sehingga memastikan bahwa pengguna hanya melihat hasil dari data yang sah. Jika pengguna memiliki beberapa cakupan, kueri akan menyertakan data dari semua cakupan yang ditetapkan. Data di luar cakupan yang dapat diakses pengguna tidak akan muncul di hasil penelusuran dasbor.
Aturan
Pengguna hanya dapat melihat aturan yang terkait dengan cakupan yang ditetapkan untuk mereka.
Deteksi dan sekumpulan aturan dengan deteksi
Deteksi dibuat saat data keamanan masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Kumpulan aturan dengan deteksi hanya terlihat oleh pengguna global.
Sumber data SOAR
Kasus dan pemberitahuan, playbook, serta histori kasus hanya dapat dilihat oleh pengguna global.
Metrik penyerapan
Komponen penyerapan adalah layanan atau pipeline yang membawa log ke dalam platform dari feed log sumber. Setiap komponen penyerapan mengumpulkan serangkaian kolom log tertentu dalam skema metrik penyerapan miliknya sendiri. Metrik ini hanya dapat dilihat oleh pengguna global.
Fitur dan pemantauan lanjutan
Untuk menyesuaikan deteksi dan meningkatkan visibilitas, Anda dapat menggunakan konfigurasi lanjutan, seperti aturan YARA-L 2.0 dan metrik penyerapan. Bagian ini membahas insight fitur ini, yang membantu Anda mengoptimalkan efisiensi deteksi dan memantau pemrosesan data.
Properti YARA-L 2.0
YARA-L 2.0 memiliki properti unik berikut saat digunakan di dasbor:
Sumber data tambahan, seperti grafik entitas, metrik penyerapan, set aturan, dan deteksi tersedia di dasbor. Beberapa sumber data ini belum tersedia dalam aturan YARA-L dan penelusuran Model Data Terpadu (UDM).
Lihat fungsi YARA-L 2.0 untuk dasbor Google Security Operations dan fungsi agregat yang mencakup ukuran statistik.
Kueri di YARA-L 2.0 harus berisi bagian
matchatauoutcome, atau keduanya.Bagian
eventsdari aturan YARA-L tersirat dan tidak perlu dideklarasikan dalam kueri.Bagian
conditiondari aturan YARA-L tidak tersedia untuk dasbor.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.