Native Dashboards – Übersicht
In diesem Dokument wird beschrieben, wie Sie mit der Funktion „Native Dashboards“ von Google Security Operations Visualisierungen für verschiedene Datenquellen erstellen. Es besteht aus verschiedenen Diagrammen, die mit YARA-L 2.0-Properties ausgefüllt werden.
Hinweise
Prüfen Sie, ob für Ihre Google SecOps-Instanz Folgendes aktiviert ist:
Bevor Sie native Dashboards verwenden, sollten Sie die richtigen IAM-Rollen (Identity and Access Management) und Konfigurationen einrichten, damit Sie Dashboard-Daten effektiv aufrufen und damit interagieren können.
Konfigurieren Sie ein Google Cloud Projekt oder migrieren Sie Ihre Google SecOps-Instanz zu einem vorhandenen Cloud-Projekt.
Konfigurieren Sie einen Google Cloud Identity-Anbieter oder einen externen Identitätsanbieter.
Erforderliche IAM-Berechtigungen
Für den Zugriff auf native Dashboards sind die folgenden Berechtigungen erforderlich:
| IAM-Berechtigung | Zweck |
|---|---|
chronicle.nativeDashboards.list |
Liste aller nativen Dashboards ansehen |
chronicle.nativeDashboards.get |
Ein natives Dashboard aufrufen, einen Dashboard-Filter anwenden und den globalen Filter anwenden. |
chronicle.nativeDashboards.create |
Neues natives Dashboard erstellen |
chronicle.nativeDashboards.duplicate |
Eine Kopie eines vorhandenen Dashboards erstellen. |
chronicle.nativeDashboards.update |
Sie können Diagramme hinzufügen und bearbeiten, einen Filter hinzufügen, den Dashboardzugriff ändern und den globalen Zeitfilter verwalten. |
chronicle.nativeDashboards.delete |
Ein natives Dashboard löschen |
Native Dashboards
Native Dashboards bieten Einblicke in Sicherheitsereignisse, Erkennungen und zugehörige Daten. In diesem Abschnitt werden die unterstützten Datenquellen beschrieben und erläutert, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die Sichtbarkeit und den Datenzugriff in den Dashboards auswirkt.
Unterstützte Datenquellen
Native Dashboards enthalten die folgenden Datenquellen, jeweils mit dem entsprechenden YARA-L-Präfix:
| Datenquelle | Abfragezeitintervall | YARA-L-Präfix | Schema |
|---|---|---|---|
| Ereignisse | 90 Tage | no prefix |
Fields |
| Entitätsgraph | 365 Tage | graph |
Fields |
| Messwerte für die Datenaufnahme | 365 Tage | ingestion |
Fields |
| Regelsätze | 365 Tage | ruleset |
Fields |
| Erkennungen | 365 Tage | detection |
Fields |
| IOCs | 365 Tage | ioc |
Fields |
Auswirkungen der RBAC für Daten
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist ein Sicherheitsmodell, bei dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe individueller Nutzerrollen eingeschränkt wird. Mit der datenbasierten RBAC können Administratoren Bereiche definieren und Nutzern zuweisen, damit der Zugriff auf die Daten beschränkt wird, die für ihre berufliche Tätigkeit erforderlich sind. Alle Abfragen in nativen Dashboards unterliegen den RBAC-Regeln für Daten. Weitere Informationen zu Zugriffssteuerungen und Bereichen finden Sie unter Zugriffssteuerungen und Bereiche in der datenbasierten RBAC.
Erkennung und Analyse
Eine effektive Bedrohungserkennung hängt von der Analyse von Ereignissen, Entitätsbeziehungen und IOC-Übereinstimmungen ab. In diesem Abschnitt wird beschrieben, wie Erkennungen funktionieren, wie Entitätsgraphen bei Untersuchungen helfen und wie Regelsätze die Erkennung verbessern.
Übereinstimmungen von Ereignissen, Entitätsgraphen und IOCs
Die von diesen Quellen zurückgegebenen Daten sind auf die zugewiesenen Zugriffsbereiche des Nutzers beschränkt. So sehen Nutzer nur Ergebnisse aus autorisierten Daten. Wenn ein Nutzer mehrere Bereiche hat, enthalten Abfragen Daten aus allen zugewiesenen Bereichen. Daten, die nicht zu den zugänglichen Bereichen des Nutzers gehören, werden nicht in den Suchergebnissen angezeigt.
Erkennungen und Regelsätze mit Erkennungen
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer sehen nur Erkennungen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind.
Erweiterte Funktionen und Monitoring
Sie können erweiterte Konfigurationen wie YARA-L 2.0-Regeln und Datenaufnahmemesswerte verwenden, um die Erkennung zu optimieren und die Sichtbarkeit zu verbessern. In diesem Abschnitt werden diese Funktionen näher erläutert, damit Sie die Effizienz der Erkennung optimieren und die Datenverarbeitung im Blick behalten können.
YARA-L 2.0-Eigenschaften
YARA-L 2.0 hat bei Verwendung in nativen Dashboards die folgenden einzigartigen Eigenschaften:
In Dashboards sind zusätzliche Datenquellen wie Entitätsgraphen, Datenaufnahmemesswerte, Regelsätze und Erkennungen verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und der UDM-Suche (Unified Data Model) verfügbar.
Weitere Informationen finden Sie unter YARA-L 2.0-Funktionen für native Dashboards von Google Security Operations und Aggregatfunktionen mit statistischen Maßen.
Die Abfrage in YARA-L 2.0 muss einen Abschnitt
matchoderoutcomeoder beide enthalten.Der Abschnitt
eventseiner YARA-L-Regel ist implizit und muss in Abfragen nicht deklariert werden.Der Abschnitt
conditioneiner YARA-L-Regel ist für Dashboards nicht verfügbar.
Messwerte für die Datenaufnahme
Datenaufnahmekomponenten sind Dienste oder Pipelines, die Protokolle aus Quellprotokollfeeds in die Plattform aufnehmen. Jede Datenaufnahmekomponente erfasst eine bestimmte Reihe von Protokollfeldern in ihrem eigenen Schema für Datenaufnahmemesswerte. Diese Messwerte sind nur für globale Nutzer sichtbar.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten