Visão geral dos painéis
Neste documento, explicamos como usar o recurso "Painéis" do Google Security Operations para criar visualizações em diferentes fontes de dados. Ele é composto de diferentes gráficos, que são preenchidos usando propriedades da YARA-L 2.0.
Antes de começar
Verifique se a instância do Google SecOps tem o seguinte ativado:
Configure um Google Cloud projeto ou migre sua instância do Google SecOps para um projeto de nuvem atual.
Configure um provedor de identidade do Google Cloud ou um provedor de identidade terceirizado.
Permissões necessárias do IAM
As seguintes permissões são necessárias para acessar painéis:
| Permissão do IAM | Finalidade |
|---|---|
chronicle.nativeDashboards.list |
Confira a lista de todos os painéis. |
chronicle.nativeDashboards.get |
Acesse um painel, aplique um filtro de painel e aplique o filtro global. |
chronicle.nativeDashboards.create |
Crie um painel. |
chronicle.nativeDashboards.duplicate |
Faça uma cópia de um painel atual. |
chronicle.nativeDashboards.update |
Adicionar e editar gráficos, adicionar um filtro, mudar o acesso ao painel e gerenciar o filtro de período global. |
chronicle.nativeDashboards.delete |
Excluir um painel. |
Entender os painéis
Os painéis oferecem insights sobre eventos de segurança, detecções e dados relacionados. Esta seção descreve as fontes de dados compatíveis e explica como o controle de acesso baseado em função (RBAC) afeta a visibilidade e o acesso aos dados nos painéis.
Fontes de dados compatíveis
Os painéis incluem as seguintes fontes de dados, cada uma com o prefixo YARA-L correspondente:
| Fonte de dados | Intervalo de tempo da consulta | Prefixo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 dias | no prefix |
Campos |
| Gráfico de entidade | 365 dias | graph |
Campos |
| Métricas de ingestão | 365 dias | ingestion |
Campos |
| Conjuntos de regras | 365 dias | ruleset |
Campos |
| Detecções | 365 dias | detection |
Campos |
| IOCs | 365 dias | ioc |
Campos |
| Regras | Sem limite de tempo | rules |
Campos |
| Casos e alertas | 365 dias | case |
Campos |
| Manual | 365 dias | playbook |
Campos |
| Histórico do caso | 365 dias | case_history |
Campos |
Impacto do RBAC de dados
O controle de acesso baseado em função (RBAC) de dados é um modelo de segurança que usa funções de usuário individuais para restringir o acesso aos dados em uma organização. Com o RBAC de dados, os administradores podem definir escopos e atribuí-los aos usuários, garantindo que o acesso seja limitado apenas aos dados necessários para as funções de trabalho. Todas as consultas nos painéis seguem as regras de RBAC de dados. Para mais informações sobre controles e escopos de acesso, consulte Controles e escopos de acesso no RBAC de dados.
Eventos, gráfico de entidade e correspondências de IOC
Os dados retornados dessas fontes são restritos aos escopos de acesso atribuídos ao usuário, garantindo que ele veja apenas resultados de dados autorizados. Se um usuário tiver vários escopos, as consultas vão incluir dados de todos os escopos atribuídos. Os dados fora dos escopos acessíveis ao usuário não aparecem nos resultados da pesquisa do painel.
Regras
Os usuários só podem ver as regras associadas aos escopos atribuídos a eles.
Detecção e conjuntos de regras com detecções
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver detecções originadas de regras associadas aos escopos atribuídos a eles. Os conjuntos de regras com detecções só ficam visíveis para usuários globais.
Fontes de dados do SOAR
Casos e alertas, manuais e histórico de casos só ficam visíveis para usuários globais.
Métricas de ingestão
Os componentes de ingestão são serviços ou pipelines que trazem registros para a plataforma de feeds de registros de origem. Cada componente de ingestão coleta um conjunto específico de campos de registro no próprio esquema de métricas de ingestão. Essas métricas só ficam visíveis para usuários globais.
Recursos avançados e monitoramento
Para ajustar as detecções e melhorar a visibilidade, use configurações avançadas, como regras do YARA-L 2.0 e métricas de ingestão. Esta seção explora esses insights de recursos, ajudando você a otimizar a eficiência da detecção e monitorar o processamento de dados.
Propriedades da YARA-L 2.0
A YARA-L 2.0 tem as seguintes propriedades exclusivas quando usada em painéis:
Outras fontes de dados, como gráfico de entidades, métricas de ingestão, conjuntos de regras e detecções, estão disponíveis nos painéis. Algumas dessas fontes de dados ainda não estão disponíveis nas regras da YARA-L e na pesquisa do Modelo de dados unificado (UDM).
Consulte Funções YARA-L 2.0 para painéis das Operações de segurança do Google e funções de agregação que incluem medidas estatísticas.
A consulta em YARA-L 2.0 precisa conter uma seção
matchououtcome, ou ambas.A seção
eventsde uma regra da YARA-L é implícita e não precisa ser declarada em consultas.A seção
conditionde uma regra da YARA-L não está disponível para dashboards.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.