Vista geral dos painéis de controlo
Este documento explica como usar a funcionalidade de painéis de controlo do Google Security Operations para criar visualizações em diferentes origens de dados. É composto por diferentes gráficos, que são preenchidos com propriedades do YARA-L 2.0.
Antes de começar
Certifique-se de que a sua instância do Google SecOps tem o seguinte ativado:
Configure um Google Cloud projeto ou migre a sua instância do Google SecOps para um projeto do Google Cloud existente.
Configure um Fornecedor de identidade do Google Cloud ou um Fornecedor de identidade de terceiros.
Configure o controlo de acesso a funcionalidades através do IAM.
Autorizações de IAM necessárias
São necessárias as seguintes autorizações para aceder aos painéis de controlo:
| Autorização de IAM | Finalidade |
|---|---|
chronicle.nativeDashboards.list |
Veja a lista de todos os painéis de controlo. |
chronicle.nativeDashboards.get |
Ver um painel de controlo, aplicar um filtro de painel de controlo e aplicar o filtro global. |
chronicle.nativeDashboards.create |
Crie um novo painel de controlo. |
chronicle.nativeDashboards.duplicate |
Crie uma cópia de um painel de controlo existente. |
chronicle.nativeDashboards.update |
Adicionar e editar gráficos, adicionar um filtro, alterar o acesso ao painel de controlo e gerir o filtro de tempo global. |
chronicle.nativeDashboards.delete |
Elimine um painel de controlo. |
Compreenda os painéis de controlo
Os painéis de controlo fornecem estatísticas sobre eventos de segurança, deteções e dados relacionados. Esta secção descreve as origens de dados suportadas e explica como o controlo de acesso baseado em funções (RBAC) afeta a visibilidade e o acesso aos dados nos painéis de controlo.
Origens de dados suportadas
Os painéis de controlo incluem as seguintes origens de dados, cada uma com o respetivo prefixo YARA-L:
| Origem de dados | Intervalo de tempo da consulta | Prefixo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 dias | no prefix |
Campos |
| Gráfico de entidades | 365 dias | graph |
Campos |
| Métricas de carregamento | 365 dias | ingestion |
Campos |
| Regras definidas | 365 dias | ruleset |
Campos |
| Deteções | 365 dias | detection |
Campos |
| IOCs | 365 dias | ioc |
Campos |
| Regras | Sem limite de tempo | rules |
Campos |
| Caixas e alertas | 365 dias | case |
Campos |
| Guia interativo | 365 dias | playbook |
Campos |
| Histórico de registos | 365 dias | case_history |
Campos |
Impacto do RBAC de dados
O controlo de acesso baseado em funções (RBAC) de dados é um modelo de segurança que usa funções de utilizador individuais para restringir o acesso dos utilizadores aos dados numa organização. O RBAC de dados permite que os administradores definam âmbitos e os atribuam a utilizadores, garantindo que o acesso está limitado apenas aos dados necessários para as respetivas funções de trabalho. Todas as consultas nos painéis de controlo seguem as regras de RBAC de dados. Para mais informações acerca dos controlos de acesso e dos âmbitos, consulte o artigo Controlos de acesso e âmbitos no RBAC de dados.
Eventos, gráfico de entidades e correspondências de IOCs
Os dados devolvidos por estas origens estão restritos aos âmbitos de acesso atribuídos ao utilizador, o que garante que apenas vê resultados de dados autorizados. Se um utilizador tiver vários âmbitos, as consultas incluem dados de todos os âmbitos atribuídos. Os dados fora dos âmbitos acessíveis do utilizador não aparecem nos resultados da pesquisa do painel de controlo.
Regras
Os utilizadores só podem ver regras associadas aos âmbitos atribuídos.
Deteção e conjuntos de regras com deteções
As deteções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos numa regra. Os utilizadores só podem ver deteções originárias de regras associadas aos respetivos âmbitos atribuídos. Os conjuntos de regras com deteções só são visíveis para utilizadores globais.
Origens de dados SOAR
Os registos e os alertas, os manuais de procedimentos e o histórico de registos só estão visíveis para utilizadores globais.
Métricas de carregamento
Os componentes de carregamento são serviços ou pipelines que introduzem registos na plataforma a partir de feeds de registos de origem. Cada componente de carregamento recolhe um conjunto específico de campos de registo no seu próprio esquema de métricas de carregamento. Estas métricas só estão visíveis para utilizadores globais.
Funcionalidades avançadas e monitorização
Para otimizar as deteções e melhorar a visibilidade, pode usar configurações avançadas, como regras YARA-L 2.0 e métricas de carregamento. Esta secção explora estas estatísticas de funcionalidades, ajudando a otimizar a eficiência da deteção e a monitorizar o processamento de dados.
Propriedades do YARA-L 2.0
O YARA-L 2.0 tem as seguintes propriedades únicas quando usado em painéis de controlo:
As origens de dados adicionais, como o gráfico de entidades, as métricas de carregamento, os conjuntos de regras e as deteções, estão disponíveis nos painéis de controlo. Algumas destas origens de dados ainda não estão disponíveis nas regras YARA-L e na pesquisa do modelo de dados unificado (UDM).
Consulte as funções YARA-L 2.0 para painéis de controlo do Google Security Operations e funções de agregação que incluem medidas estatísticas.
A consulta em YARA-L 2.0 tem de conter uma secção
matchououtcome, ou ambas.A secção
eventsde uma regra YARA-L está implícita e não precisa de ser declarada nas consultas.A secção
conditionde uma regra YARA-L não está disponível para painéis de controlo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.