Descripción general de los paneles nativos
En este documento, se explica cómo usar la función de paneles nativos de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Se compone de diferentes gráficos, que se completan con propiedades YARA-L 2.0.
Antes de comenzar
Asegúrate de que tu instancia de Google SecOps tenga habilitado lo siguiente:
Antes de usar los paneles nativos, te recomendamos que te asegures de tener los roles y la configuración de Identity and Access Management (IAM) correctos para ver y también interactuar con los datos del panel de manera eficaz.
Configura un Google Cloud proyecto o migra tu instancia de Google SecOps a un proyecto de nube existente.
Configura un proveedor de identidad de Google Cloud o un proveedor de identidad de terceros.
Permisos de IAM obligatorios
Se requieren los siguientes permisos para acceder a los paneles nativos:
| Permisos de IAM | Objetivo |
|---|---|
chronicle.nativeDashboards.list |
Consulta la lista de todos los paneles nativos. |
chronicle.nativeDashboards.get |
Visualiza un panel nativo, aplica un filtro de panel y aplica el filtro global. |
chronicle.nativeDashboards.create |
Crea un nuevo panel nativo. |
chronicle.nativeDashboards.duplicate |
Crea una copia de un panel existente. |
chronicle.nativeDashboards.update |
Agrega y edita gráficos, agrega un filtro, cambia el acceso al panel y administra el filtro de hora global. |
chronicle.nativeDashboards.delete |
Borra un panel nativo. |
Información sobre los paneles nativos
Los paneles nativos proporcionan estadísticas sobre los eventos de seguridad, las detecciones y los datos relacionados. En esta sección, se describen las fuentes de datos compatibles y se explica cómo el control de acceso basado en roles (RBAC) afecta la visibilidad y el acceso a los datos dentro de los paneles.
Fuentes de datos compatibles
Los paneles nativos incluyen las siguientes fuentes de datos, cada una con su prefijo YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de consulta | Prefijo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | no prefix |
Campos |
| Gráfico de entidades | 365 días | graph |
Campos |
| Métricas de transferencia | 365 días | ingestion |
Campos |
| Conjuntos de reglas | 365 días | ruleset |
Campos |
| Detecciones | 365 días | detection |
Campos |
| IOC | 365 días | ioc |
Campos |
Impacto del RBAC de datos
El control de acceso basado en roles de datos (RBAC) es un modelo de seguridad que usa roles de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. El RBAC de datos permite a los administradores definir alcances y asignarlos a los usuarios, lo que garantiza que el acceso se limite solo a los datos necesarios para sus funciones laborales. Todas las consultas de los paneles nativos siguen las reglas de RBAC de datos. Para obtener más información sobre los controles de acceso y los permisos, consulta Controles de acceso y permisos en el RBAC de datos.
Detecciones y análisis
La detección de amenazas eficaz depende del análisis de eventos, relaciones de entidades y coincidencias de IOC. En esta sección, se describe cómo funcionan las detecciones, cómo los gráficos de entidades ayudan a las investigaciones y cómo los conjuntos de reglas mejoran la detección.
Coincidencias de eventos, gráfico de entidades y IOC
Los datos que se muestran desde estas fuentes se restringen a los permisos de acceso asignados al usuario, lo que garantiza que solo vea resultados de datos autorizados. Si un usuario tiene varios permisos de acceso, las consultas incluyen datos de todos los permisos asignados. Los datos fuera de los alcances accesibles del usuario no aparecen en los resultados de la búsqueda.
Detección y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con sus permisos asignados.
Funciones avanzadas y supervisión
Para ajustar las detecciones y mejorar la visibilidad, puedes usar parámetros de configuración avanzados, como las reglas de YARA-L 2.0 y las métricas de transferencia. En esta sección, se exploran estas estadísticas de funciones, lo que te ayudará a optimizar la eficiencia de la detección y a supervisar el procesamiento de datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en paneles nativos:
En los paneles, están disponibles fuentes de datos adicionales, como el grafo de entidades, las métricas de transferencia, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda del modelo de datos unificados (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles nativos de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla YARA-L se da por implícita y no es necesario declararla en las consultas.La sección
conditionde una regla YARA-L no está disponible para los paneles.
Métricas de transferencia
Los componentes de transferencia son servicios o canalizaciones que llevan registros a la plataforma desde los feeds de registros de origen. Cada componente de transferencia recopila un conjunto específico de campos de registro dentro de su propio esquema de métricas de transferencia. Estas métricas solo son visibles para los usuarios globales.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.