ダッシュボードの概要
このドキュメントでは、Google Security Operations のダッシュボード機能を使用して、さまざまなデータソースの可視化を構築する方法について説明します。これは、YARA-L 2.0 プロパティを使用して入力されるさまざまなグラフで構成されています。
始める前に
Google SecOps インスタンスで次の機能が有効になっていることを確認します。
Google Cloud プロジェクトを構成するか、Google SecOps インスタンスを既存のクラウド プロジェクトに移行します。
Google Cloud ID プロバイダまたはサードパーティ ID プロバイダを構成します。
必要な IAM 権限
ダッシュボードにアクセスするには、次の権限が必要です。
| IAM 権限 | 目的 |
|---|---|
chronicle.nativeDashboards.list |
すべてのダッシュボードのリストを表示します。 |
chronicle.nativeDashboards.get |
ダッシュボードを表示する、 ダッシュボード フィルタを適用する、 グローバル フィルタを適用する。 |
chronicle.nativeDashboards.create |
新しいダッシュボードを作成します。 |
chronicle.nativeDashboards.duplicate |
既存のダッシュボードのコピーを作成します。 |
chronicle.nativeDashboards.update |
グラフの追加と編集、 フィルタの追加、 ダッシュボードのアクセス権の変更、 グローバル タイム フィルタの管理。 |
chronicle.nativeDashboards.delete |
ダッシュボードを削除する。 |
ダッシュボードについて
ダッシュボードには、セキュリティ イベント、検出、関連データに関する分析情報が表示されます。このセクションでは、サポートされているデータソースの概要と、ロールベースのアクセス制御(RBAC)がダッシュボード内の可視性とデータアクセスにどのように影響するかについて説明します。
サポートされているデータソース
ダッシュボードには、次のデータソースがそれぞれ対応する YARA-L 接頭辞とともに含まれています。
| データソース | クエリの時間間隔 | YARA-L 接頭辞 | スキーマ |
|---|---|---|---|
| Events | 90 日 | no prefix |
フィールド |
| Entity graph | 365 日 | graph |
フィールド |
| Ingestion metrics | 365 日 | ingestion |
フィールド |
| Rule sets | 365 日 | ruleset |
フィールド |
| 検出 | 365 日 | detection |
フィールド |
| IOC | 365 日 | ioc |
フィールド |
| ルール | 時間制限なし | rules |
フィールド |
| ケースとアラート | 365 日 | case |
フィールド |
| ハンドブック | 365 日 | playbook |
フィールド |
| ケース履歴 | 365 日 | case_history |
フィールド |
データ RBAC の影響
データのロールベース アクセス制御(RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。データ RBAC を使用すると、管理者はスコープを定義してユーザーに割り当て、アクセスを各自のジョブ機能に必要なデータのみに制限できます。ダッシュボードのすべてのクエリは、データ RBAC ルールに従います。アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。
イベント、エンティティ グラフ、IOC の一致
これらのソースから返されるデータは、ユーザーに割り当てられたアクセス スコープに制限されるため、承認されたデータの結果のみが表示されます。ユーザーに複数のスコープがある場合、クエリには割り当てられたすべてのスコープのデータが含まれます。ユーザーのアクセス スコープ外のデータは、ダッシュボードの検索結果に表示されません。
ルール
ユーザーに表示されるのは、割り当てられたスコープに関連付けられたルールのみです。
検出と検出を含むルールセット
検出は、受信したセキュリティ データがルールで定義された条件と一致した場合に生成されます。ユーザーに表示されるのは、自身に割り当てられたスコープに関連付けられたルールから発生した検出結果のみです。検出を含むルールセットは、グローバル ユーザーにのみ表示されます。
SOAR データソース
ケースとアラート、プレイブック、ケース履歴は、グローバル ユーザーにのみ表示されます。
Ingestion metrics
取り込みコンポーネントは、ソースログ フィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各取り込みコンポーネントは、独自の取り込み指標スキーマ内の特定のログフィールドのセットを収集します。これらの指標は、グローバル ユーザーにのみ表示されます。
高度な機能とモニタリング
検出を微調整して可視性を高めるには、YARA-L 2.0 ルールや取り込み指標などの高度な構成を使用できます。このセクションでは、これらの機能の分析情報について説明し、検出効率の最適化とデータ処理のモニタリングに役立てます。
YARA-L 2.0 のプロパティ
YARA-L 2.0 をダッシュボードで使用する際の独自プロパティは次のとおりです。
エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと統合データモデル(UDM)検索ではまだ使用できません。
Google Security Operations ダッシュボードの YARA-L 2.0 関数と、統計指標を含む集計関数をご覧ください。
YARA-L 2.0 のクエリには、
matchセクションまたはoutcomeセクション、あるいはその両方を含める必要があります。YARA-L ルールの
eventsセクションは暗黙的に指定されるため、クエリで宣言する必要はありません。YARA-L ルールの
conditionセクションは、ダッシュボードでは使用できません。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。