Ringkasan Dasbor Native
Dokumen ini menjelaskan cara menggunakan fitur Dasbor Native dari Google Security Operations untuk membuat visualisasi di berbagai sumber data. Laporan ini terdiri dari berbagai diagram, yang diisi menggunakan properti YARA-L 2.0.
Sebelum memulai
Pastikan instance Google SecOps Anda telah mengaktifkan hal berikut:
Sebelum menggunakan Dasbor Native, sebaiknya pastikan Anda memiliki peran dan konfigurasi Identity and Access Management (IAM) yang benar untuk melihat dan berinteraksi dengan data dasbor secara efektif.
Konfigurasi Google Cloud project atau migrasikan instance Google SecOps Anda ke project cloud yang ada.
Konfigurasikan penyedia Google Cloud Identity atau penyedia identitas pihak ketiga.
Diperlukan izin IAM
Izin berikut diperlukan untuk mengakses Dasbor Native:
| Izin IAM | Tujuan |
|---|---|
chronicle.nativeDashboards.list |
Melihat daftar semua Dasbor Native. |
chronicle.nativeDashboards.get |
Melihat Dasbor Native, menerapkan filter dasbor, dan menerapkan filter global. |
chronicle.nativeDashboards.create |
Buat Dasbor Native baru. |
chronicle.nativeDashboards.duplicate |
Buat salinan dasbor yang ada. |
chronicle.nativeDashboards.update |
Menambahkan dan mengedit diagram, menambahkan filter, mengubah akses dasbor, dan mengelola filter waktu global. |
chronicle.nativeDashboards.delete |
Menghapus Dasbor Native. |
Memahami Dasbor Native
Dasbor Native memberikan insight tentang peristiwa keamanan, deteksi, dan data terkait. Bagian ini menguraikan sumber data yang didukung dan menjelaskan pengaruh kontrol akses berbasis peran (RBAC) terhadap visibilitas dan akses data dalam dasbor.
Sumber data yang didukung
Dasbor Native menyertakan sumber data berikut, masing-masing dengan awalan YARA-L yang sesuai:
| Sumber data | Interval waktu kueri | Awalan YARA-L | Skema |
|---|---|---|---|
| Acara | 90 hari | no prefix |
Kolom |
| Grafik entity | 365 hari | graph |
Kolom |
| Metrik penyerapan | 365 hari | ingestion |
Kolom |
| Kumpulan aturan | 365 hari | ruleset |
Kolom |
| Deteksi | 365 hari | detection |
Kolom |
| IOC | 365 hari | ioc |
Kolom |
Dampak RBAC data
Kontrol akses berbasis peran (RBAC) data adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. RBAC data memungkinkan administrator menentukan cakupan dan menetapkannya kepada pengguna, sehingga memastikan akses hanya terbatas pada data yang diperlukan untuk fungsi pekerjaan mereka. Semua kueri di Dasbor Native mengikuti aturan RBAC data. Untuk mengetahui informasi selengkapnya tentang kontrol akses dan cakupan, lihat Kontrol akses dan cakupan di RBAC data.
Deteksi dan analisis
Deteksi ancaman yang efektif bergantung pada analisis peristiwa, hubungan entitas, dan kecocokan IOC. Bagian ini menjelaskan cara kerja deteksi, cara grafik entitas membantu investigasi, dan cara kumpulan aturan meningkatkan deteksi.
Kecocokan peristiwa, grafik entitas, dan IOC
Data yang ditampilkan dari sumber ini dibatasi pada cakupan akses yang ditetapkan pengguna, sehingga memastikan bahwa mereka hanya melihat hasil dari data yang diotorisasi. Jika pengguna memiliki beberapa cakupan, kueri akan menyertakan data dari semua cakupan yang ditetapkan. Data di luar cakupan yang dapat diakses pengguna tidak akan muncul di hasil penelusuran.
Deteksi dan kumpulan aturan dengan deteksi
Deteksi dihasilkan saat data keamanan masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan.
Fitur dan pemantauan lanjutan
Untuk menyesuaikan deteksi dan meningkatkan visibilitas, Anda dapat menggunakan konfigurasi lanjutan, seperti aturan YARA-L 2.0 dan metrik penyerapan. Bagian ini membahas insight fitur ini, yang membantu Anda mengoptimalkan efisiensi deteksi dan memantau pemrosesan data.
Properti YARA-L 2.0
YARA-L 2.0 memiliki properti unik berikut saat digunakan di Dasbor Native:
Sumber data tambahan, seperti grafik entitas, metrik penyerapan, kumpulan aturan, dan deteksi tersedia di dasbor. Beberapa sumber data ini belum tersedia dalam aturan YARA-L dan penelusuran Model Data Terpadu (UDM).
Lihat fungsi YARA-L 2.0 untuk Dasbor Native Google Security Operations dan fungsi agregat yang menyertakan pengukuran statistik.
Kueri di YARA-L 2.0 harus berisi bagian
matchatauoutcome, atau keduanya.Bagian
eventsdari aturan YARA-L bersifat implisit dan tidak perlu dideklarasikan dalam kueri.Bagian
conditiondari aturan YARA-L tidak tersedia untuk dasbor.
Metrik penyerapan
Komponen penyerapan adalah layanan atau pipeline yang memasukkan log ke dalam platform dari feed log sumber. Setiap komponen penyerapan mengumpulkan kumpulan kolom log tertentu dalam skema metrik penyerapannya sendiri. Metrik ini hanya dapat dilihat oleh pengguna global.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.