Panoramica delle dashboard
Questo documento spiega come utilizzare la funzionalità Dashboard di Google Security Operations per creare visualizzazioni su diverse origini dati. È composto da diversi grafici, che vengono compilati utilizzando le proprietà YARA-L 2.0.
Prima di iniziare
Assicurati che nella tua istanza di Google SecOps siano attivati i seguenti elementi:
Configura un Google Cloud progetto o esegui la migrazione dell'istanza di Google SecOps a un progetto cloud esistente.
Configura un provider di identità Google Cloud o un provider di identità di terze parti.
Configura il controllo dell'accesso alle funzionalità utilizzando IAM.
Autorizzazioni IAM richieste
Per accedere alle dashboard sono necessarie le seguenti autorizzazioni:
| Autorizzazioni IAM | Finalità |
|---|---|
chronicle.nativeDashboards.list |
Visualizza l'elenco di tutte le dashboard. |
chronicle.nativeDashboards.get |
Visualizza una dashboard, applica un filtro dashboard e applica il filtro globale. |
chronicle.nativeDashboards.create |
Crea una nuova dashboard. |
chronicle.nativeDashboards.duplicate |
Crea una copia di una dashboard esistente. |
chronicle.nativeDashboards.update |
Aggiungere e modificare grafici, aggiungere un filtro, modificare l'accesso alla dashboard e gestire il filtro temporale globale. |
chronicle.nativeDashboards.delete |
Elimina una dashboard. |
Informazioni sulle dashboard
Le dashboard forniscono approfondimenti su eventi di sicurezza, rilevamenti e dati correlati. Questa sezione descrive le origini dati supportate e spiega in che modo il controllo dell'accesso basato sui ruoli (RBAC) influisce sulla visibilità e sull'accesso ai dati all'interno dei dashboard.
Origini dati supportate
Le dashboard includono le seguenti origini dati, ognuna con il prefisso YARA-L corrispondente:
| Origine dati | Intervallo di tempo della query | Prefisso YARA-L | Schema |
|---|---|---|---|
| Eventi | 90 giorni | no prefix |
Campi |
| Grafico delle entità | 365 giorni | graph |
Campi |
| Metriche di importazione | 365 giorni | ingestion |
Campi |
| Set di regole | 365 giorni | ruleset |
Campi |
| Rilevamenti | 365 giorni | detection |
Campi |
| IOC | 365 giorni | ioc |
Campi |
| Regole | Nessun limite di tempo | rules |
Campi |
| Richieste e avvisi | 365 giorni | case |
Campi |
| Playbook | 365 giorni | playbook |
Campi |
| Cronologia della richiesta | 365 giorni | case_history |
Campi |
Impatto di RBAC sui dati
Controllo dell'accesso basato su ruoli (RBAC) dei dati è un modello di sicurezza che utilizza ruoli utente individuali per limitare l'accesso degli utenti ai dati all'interno di un'organizzazione. Il controllo dell'accesso basato sui ruoli per i dati consente agli amministratori di definire gli ambiti e assegnarli agli utenti, garantendo che l'accesso sia limitato solo ai dati necessari per le loro funzioni lavorative. Tutte le query nelle dashboard seguono le regole RBAC dei dati. Per saperne di più sui controlli dell'accesso e sugli ambiti, consulta Controlli dell'accesso e ambiti in RBAC dei dati.
Eventi, grafico entità e corrispondenze IOC
I dati restituiti da queste origini sono limitati agli ambiti di accesso assegnati all'utente, garantendo che vengano visualizzati solo i risultati provenienti da dati autorizzati. Se un utente ha più ambiti, le query includono i dati di tutti gli ambiti assegnati. I dati al di fuori degli ambiti accessibili all'utente non vengono visualizzati nei risultati di ricerca della dashboard.
Regole
Gli utenti possono visualizzare solo le regole associate agli ambiti assegnati.
Rilevamento e set di regole con rilevamenti
I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono visualizzare solo i rilevamenti che hanno origine da regole associate agli ambiti assegnati. I set di regole con rilevamenti sono visibili solo agli utenti globali.
Origini dati SOAR
Le richieste e gli avvisi, i playbook e la cronologia delle richieste sono visibili solo agli utenti globali.
Metriche di importazione
I componenti di importazione sono servizi o pipeline che portano i log nella piattaforma dai feed di log di origine. Ogni componente di importazione raccoglie un insieme specifico di campi di log all'interno del proprio schema delle metriche di importazione. Queste metriche sono visibili solo agli utenti globali.
Funzionalità avanzate e monitoraggio
Per perfezionare i rilevamenti e migliorare la visibilità, puoi utilizzare configurazioni avanzate, come le regole YARA-L 2.0 e le metriche di importazione. Questa sezione esplora queste informazioni sulle funzionalità, aiutandoti a ottimizzare l'efficienza del rilevamento e a monitorare l'elaborazione dei dati.
Proprietà YARA-L 2.0
YARA-L 2.0 ha le seguenti proprietà uniche quando viene utilizzato nelle dashboard:
Nelle dashboard sono disponibili ulteriori origini dati, come il grafico delle entità, le metriche di importazione, i set di regole e i rilevamenti. Alcune di queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca Unified Data Model (UDM).
Consulta le funzioni YARA-L 2.0 per i dashboard di Google Security Operations e le funzioni di aggregazione che includono misure statistiche.
La query in YARA-L 2.0 deve contenere una sezione
matchooutcomeoppure entrambe.La sezione
eventsdi una regola YARA-L è implicita e non deve essere dichiarata nelle query.La sezione
conditiondi una regola YARA-L non è disponibile per le dashboard.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.