資訊主頁總覽
本文說明如何使用 Google Security Operations 的資訊主頁功能,針對不同資料來源建立視覺化圖表。這項功能由不同圖表組成,並使用 YARA-L 2.0 屬性填入資料。
事前準備
請確認 Google SecOps 執行個體已啟用下列功能:
設定 Google Cloud 專案,或將 Google SecOps 執行個體遷移至現有雲端專案。
所需的身分與存取權管理權限
如要存取資訊主頁,必須具備下列權限:
| IAM 權限 | 目的 |
|---|---|
chronicle.nativeDashboards.list |
查看所有資訊主頁的清單。 |
chronicle.nativeDashboards.get |
查看資訊主頁、 套用資訊主頁篩選器,以及 套用全域篩選器。 |
chronicle.nativeDashboards.create |
建立新資訊主頁。 |
chronicle.nativeDashboards.duplicate |
複製現有資訊主頁。 |
chronicle.nativeDashboards.update |
新增及編輯圖表、 新增篩選器、 變更資訊主頁存取權,以及 管理全域時間篩選器。 |
chronicle.nativeDashboards.delete |
刪除資訊主頁。 |
瞭解資訊主頁
資訊主頁可深入瞭解安全性事件、偵測結果和相關資料。本節將說明支援的資料來源,並解釋角色型存取權控管 (RBAC) 如何影響資訊主頁中的資料存取權和顯示內容。
支援的資料來源
資訊主頁包含下列資料來源,每個資料來源都有對應的 YARA-L 前置字元:
| 資料來源 | 查詢時間間隔 | YARA-L 前置字元 | 結構定義 |
|---|---|---|---|
| 活動 | 90 天 | no prefix |
欄位 |
| 實體圖 | 365 天 | graph |
欄位 |
| 擷取指標 | 365 天 | ingestion |
欄位 |
| 規則集 | 365 天 | ruleset |
欄位 |
| 偵測項目 | 365 天 | detection |
欄位 |
| IOC | 365 天 | ioc |
欄位 |
| 規則 | 沒有時間限制 | rules |
欄位 |
| 案件和快訊 | 365 天 | case |
欄位 |
| 應對手冊 | 365 天 | playbook |
欄位 |
| 客服案件歷史記錄 | 365 天 | case_history |
欄位 |
資料 RBAC 的影響
資料角色式存取控管 (RBAC) 是一種安全模型,可根據個別使用者角色,限制使用者存取機構內的資料。管理員可透過資料 RBAC 定義範圍並指派給使用者,確保使用者只能存取職務所需的資料。資訊主頁中的所有查詢都會遵循資料 RBAC 規則。 如要進一步瞭解存取權控管和範圍,請參閱資料 RBAC 中的存取權控管和範圍。
事件、實體圖和 IOC 比對結果
從這些來源傳回的資料會限制在使用者獲派的存取範圍內,確保使用者只會看到授權資料的結果。 如果使用者有多個範圍,查詢會包含所有指派範圍的資料。 如果資料超出使用者可存取的範圍,就不會顯示在資訊主頁的搜尋結果中。
規則
使用者只能查看與指派範圍相關聯的規則。
偵測結果和偵測規則集
當傳入的安全資料符合規則中定義的條件時,系統就會產生偵測結果。使用者只能看到與指派範圍相關聯的規則所產生的偵測結果。只有全球使用者才能查看偵測到的規則集。
SOAR 資料來源
只有全球使用者才能查看案件和快訊、劇本和案件記錄。
擷取指標
擷取元件是服務或管道,可將來源記錄動態饋給中的記錄匯入平台。每個擷取元件都會在自己的擷取指標結構定義中,收集一組特定的記錄檔欄位。只有全球使用者才能查看這些指標。
進階功能和監控
如要微調偵測結果及提升可視性,可以使用進階設定,例如 YARA-L 2.0 規則和擷取指標。本節將探討這些功能洞察,協助您提升偵測效率及監控資料處理作業。
YARA-L 2.0 屬性
在資訊主頁中使用時,YARA-L 2.0 具有下列獨特屬性:
資訊主頁會顯示其他資料來源,例如實體圖表、擷取指標、規則集和偵測結果。部分資料來源尚未支援 YARA-L 規則和統合式資料模型 (UDM) 搜尋。
請參閱 Google Security Operations 資訊主頁的 YARA-L 2.0 函式,以及包含統計測量的匯總函式。
YARA-L 2.0 查詢必須包含
match或outcome區段,或同時包含兩者。YARA-L 規則的
events區段是隱含的,因此不必在查詢中聲明。資訊主頁不支援 YARA-L 規則的
condition區段。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。