Présentation des tableaux de bord natifs
Ce document explique comment utiliser la fonctionnalité de tableaux de bord natifs de Google Security Operations pour créer des visualisations sur différentes sources de données. Il est composé de différents graphiques, qui sont renseignés à l'aide de propriétés YARA-L 2.0.
Avant de commencer
Assurez-vous que les éléments suivants sont activés dans votre instance Google SecOps:
Avant d'utiliser les tableaux de bord natifs, nous vous recommandons de vous assurer que vous disposez des rôles et des configurations IAM appropriés pour afficher et interagir efficacement avec les données du tableau de bord.
Configurez un Google Cloud projet ou migrez votre instance Google SecOps vers un projet cloud existant.
Configurez un fournisseur d'identité Google Cloud ou un fournisseur d'identité tiers.
Configurez le contrôle des accès aux fonctionnalités à l'aide d'IAM.
Autorisations IAM requises
Vous devez disposer des autorisations suivantes pour accéder aux tableaux de bord natifs:
| Autorisation IAM | Objectif |
|---|---|
chronicle.nativeDashboards.list |
Affichez la liste de tous les tableaux de bord natifs. |
chronicle.nativeDashboards.get |
Affichez un tableau de bord natif, appliquez un filtre de tableau de bord et appliquez le filtre global. |
chronicle.nativeDashboards.create |
Créez un tableau de bord natif. |
chronicle.nativeDashboards.duplicate |
Créez une copie d'un tableau de bord existant. |
chronicle.nativeDashboards.update |
Ajouter et modifier des graphiques, ajouter un filtre, modifier l'accès au tableau de bord et gérer le filtre temporel global. |
chronicle.nativeDashboards.delete |
Supprimer un tableau de bord natif |
Comprendre les tableaux de bord natifs
Les tableaux de bord natifs fournissent des insights sur les événements de sécurité, les détections et les données associées. Cette section décrit les sources de données compatibles et explique comment le contrôle des accès basé sur les rôles (RBAC) affecte la visibilité et l'accès aux données dans les tableaux de bord.
Sources de données compatibles
Les tableaux de bord natifs incluent les sources de données suivantes, chacune avec son préfixe YARA-L correspondant:
| Source de données | Intervalle de temps de la requête | Préfixe YARA-L | Schéma |
|---|---|---|---|
| Événements | 90 jours | no prefix |
Fields |
| Graphique des entités | 365 jours | graph |
Fields |
| Métriques d'ingestion | 365 jours | ingestion |
Fields |
| Ensembles de règles | 365 jours | ruleset |
Fields |
| Détections | 365 jours | detection |
Fields |
| IOC | 365 jours | ioc |
Fields |
Impact du contrôle RBAC des données
Le contrôle des accès basé sur les rôles (RBAC) des données est un modèle de sécurité qui utilise des rôles utilisateur individuels pour limiter l'accès des utilisateurs aux données au sein d'une organisation. Le RBAC des données permet aux administrateurs de définir des champs d'application et de les attribuer aux utilisateurs, ce qui garantit que l'accès est limité aux seules données nécessaires à leurs fonctions. Toutes les requêtes des tableaux de bord natifs respectent les règles RBAC des données. Pour en savoir plus sur les contrôles d'accès et les portées, consultez Contrôles d'accès et portées dans le RBAC des données.
Détections et analyse
Une détection efficace des menaces repose sur l'analyse des événements, des relations entre les entités et des correspondances avec les IOC. Cette section explique comment fonctionnent les détections, comment les graphiques d'entités facilitent les investigations et comment les règles de détection améliorent la détection.
Événements, graphique des entités et correspondances avec les IOC
Les données renvoyées par ces sources sont limitées aux niveaux d'accès attribués à l'utilisateur, ce qui garantit qu'il ne voit que les résultats des données autorisées. Si un utilisateur dispose de plusieurs portées, les requêtes incluent les données de toutes les portées attribuées. Les données en dehors des portées accessibles par l'utilisateur n'apparaissent pas dans les résultats de recherche.
Détection et ensembles de règles avec détections
Des détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux champs d'application qui leur sont attribués.
Fonctionnalités et surveillance avancées
Pour affiner les détections et améliorer la visibilité, vous pouvez utiliser des configurations avancées, telles que les règles YARA-L 2.0 et les métriques d'ingestion. Cette section explore ces insights sur les fonctionnalités, qui vous aident à optimiser l'efficacité de la détection et à surveiller le traitement des données.
Propriétés YARA-L 2.0
YARA-L 2.0 présente les propriétés uniques suivantes lorsqu'il est utilisé dans les tableaux de bord natifs:
Des sources de données supplémentaires, telles que le graphique des entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Certaines de ces sources de données ne sont pas encore disponibles dans les règles YARA-L et la recherche UDM (Unified Data Model).
Consultez les fonctions YARA-L 2.0 pour les tableaux de bord natifs Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques.
La requête dans YARA-L 2.0 doit contenir une section
matchououtcome, ou les deux.La section
eventsd'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.La section
conditiond'une règle YARA-L n'est pas disponible pour les tableaux de bord.
Métriques d'ingestion
Les composants d'ingestion sont des services ou des pipelines qui importent des journaux dans la plate-forme à partir de flux de journaux sources. Chaque composant d'ingestion collecte un ensemble spécifique de champs de journal dans son propre schéma de métriques d'ingestion. Ces métriques ne sont visibles que par les utilisateurs du monde entier.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.