信息中心概览
本文档介绍了如何使用 Google Security Operations 的“信息中心”功能基于不同的数据源构建可视化图表。它由不同的图表组成,这些图表使用 YARA-L 2.0 属性填充。
准备工作
确保您的 Google SecOps 实例已启用以下功能:
配置 Google Cloud 项目或将 Google SecOps 实例迁移到现有云项目。
需要的 IAM 权限
如需访问信息中心,您需要具备以下权限:
| IAM 权限 | 用途 |
|---|---|
chronicle.nativeDashboards.list |
查看所有信息中心的列表。 |
chronicle.nativeDashboards.get |
查看信息中心、 应用信息中心过滤条件和 应用全局过滤条件。 |
chronicle.nativeDashboards.create |
创建新信息中心。 |
chronicle.nativeDashboards.duplicate |
复制现有信息中心。 |
chronicle.nativeDashboards.update |
添加和修改图表、 添加过滤条件、 更改信息中心访问权限,以及 管理全局时间过滤条件。 |
chronicle.nativeDashboards.delete |
删除信息中心。 |
了解信息中心
信息中心可提供有关安全事件、检测结果和相关数据的深入分析。 本部分概述了支持的数据源,并说明了基于角色的访问权限控制 (RBAC) 如何影响信息中心内的可见性和数据访问权限。
支持的数据源
信息中心包含以下数据源,每个数据源都有相应的 YARA-L 前缀:
| 数据源 | 查询时间间隔 | YARA-L 前缀 | 架构 |
|---|---|---|---|
| 事件 | 90 天 | no prefix |
字段 |
| 实体图 | 365 天 | graph |
字段 |
| 提取指标 | 365 天 | ingestion |
字段 |
| 规则集 | 365 天 | ruleset |
字段 |
| 检测 | 365 天 | detection |
字段 |
| IOC | 365 天 | ioc |
字段 |
| 规则 | 没有时间限制 | rules |
字段 |
| 支持请求和提醒 | 365 天 | case |
字段 |
| Playbook | 365 天 | playbook |
字段 |
| 支持请求历史记录 | 365 天 | case_history |
字段 |
数据 RBAC 的影响
基于角色的数据访问权限控制 (RBAC) 是一种安全模型,它使用个人用户角色来限制用户对组织内数据的访问权限。借助数据 RBAC,管理员可以定义范围并将其分配给用户,确保用户只能访问其工作职能所需的数据。信息中心内的所有查询都遵循数据 RBAC 规则。如需详细了解访问权限控制和范围,请参阅数据 RBAC 中的访问权限控制和范围。
事件、实体图表和 IOC 匹配项
从这些来源返回的数据仅限于用户分配的访问范围,确保用户只能看到授权数据的结果。 如果用户拥有多个范围,查询将包含所有已分配范围的数据。 用户可访问范围之外的数据不会显示在信息中心搜索结果中。
规则
用户只能看到与其分配的范围相关联的规则。
检测和包含检测结果的规则集
当传入的安全数据符合规则中定义的条件时,系统会生成检测结果。用户只能看到由与其分配的范围相关联的规则生成的检测。包含检测结果的规则集仅对全球用户可见。
SOAR 数据源
只有全球用户才能看到支持请求和提醒、剧本以及支持请求历史记录。
提取指标
提取组件是指将日志从源日志 Feed 引入平台的服务或流水线。每个提取组件都会在其自己的提取指标架构中收集一组特定的日志字段。这些指标仅对全球用户可见。
高级功能和监控
为了微调检测并提高可见性,您可以使用高级配置,例如 YARA-L 2.0 规则和提取指标。本部分将探讨这些功能数据分析,帮助您优化检测效率并监控数据处理。
YARA-L 2.0 属性
在信息中心内使用时,YARA-L 2.0 具有以下独特属性:
信息中心还提供其他数据源,例如实体图、提取指标、规则集和检测结果。其中一些数据源尚未在 YARA-L 规则和统一数据模型 (UDM) 搜索中提供。
请参阅 Google Security Operations 信息中心使用的 YARA-L 2.0 函数和包含统计度量的聚合函数。
YARA-L 2.0 中的查询必须包含
match部分和/或outcome部分。YARA-L 规则的
events部分是隐含的,无需在查询中声明。YARA-L 规则的
condition部分不适用于信息中心。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。