Panoramica delle dashboard native
Questo documento spiega come utilizzare la funzionalità Dashboard native di Google Security Operations per creare visualizzazioni su diverse origini dati. È composto da diversi grafici, che vengono compilati utilizzando le proprietà YARA-L 2.0.
Prima di iniziare
Assicurati che nell'istanza Google SecOps siano abilitati i seguenti elementi:
Prima di utilizzare le dashboard native, ti consigliamo di assicurarti di aver configurato i ruoli e le configurazioni di Identity and Access Management (IAM) corretti per visualizzare e interagire efficacemente con i dati della dashboard.
Configura un Google Cloud progetto o esegui la migrazione dell'istanza Google SecOps a un progetto cloud esistente.
Configura un provider di identità Google Cloud o un provider di identità di terze parti.
Configura il controllo dell'accesso alle funzionalità utilizzando IAM.
Autorizzazioni IAM richieste
Per accedere alle dashboard native sono necessarie le seguenti autorizzazioni:
| Autorizzazioni IAM | Finalità |
|---|---|
chronicle.nativeDashboards.list |
Visualizza l'elenco di tutte le dashboard native. |
chronicle.nativeDashboards.get |
Visualizza una dashboard nativa, applica un filtro della dashboard e applica il filtro globale. |
chronicle.nativeDashboards.create |
Crea una nuova dashboard nativa. |
chronicle.nativeDashboards.duplicate |
Crea una copia di una dashboard esistente. |
chronicle.nativeDashboards.update |
Aggiungere e modificare i grafici, aggiungere un filtro, modificare l'accesso alla dashboard e gestire il filtro temporale globale. |
chronicle.nativeDashboards.delete |
Elimina una dashboard nativa. |
Informazioni sulle dashboard native
Le dashboard native forniscono informazioni su eventi di sicurezza, rilevamenti e dati correlati. Questa sezione illustra le origini dati supportate e spiega in che modo il controllo dell'accesso basato sui ruoli (RBAC) influisce sulla visibilità e sull'accesso ai dati all'interno delle dashboard.
Origini dati supportate
Le dashboard native includono le seguenti origini dati, ciascuna con il relativo prefisso YARA-L:
| Origine dati | Intervallo di tempo della query | Prefisso YARA-L | Schema |
|---|---|---|---|
| Eventi | 90 giorni | no prefix |
Campi |
| Grafico delle entità | 365 giorni | graph |
Campi |
| Metriche di importazione | 365 giorni | ingestion |
Campi |
| Set di regole | 365 giorni | ruleset |
Campi |
| Rilevamenti | 365 giorni | detection |
Campi |
| IOC | 365 giorni | ioc |
Campi |
Impatto del RBAC dei dati
Il controllo degli accessi basato su ruoli (RBAC) dei dati è un modello di sicurezza che utilizza i ruoli individuali degli utenti per limitare l'accesso degli utenti ai dati all'interno di un'organizzazione. Il RBAC dei dati consente agli amministratori di definire gli ambiti e assegnarli agli utenti, garantendo che l'accesso sia limitato solo ai dati necessari per le loro funzioni lavorative. Tutte le query nelle dashboard native rispettano le regole RBAC dei dati. Per ulteriori informazioni su controlli di accesso e ambiti, consulta Controlli di accesso e ambiti in RBAC dei dati.
Rilevamenti e analisi
Il rilevamento efficace delle minacce dipende dall'analisi di eventi, relazioni tra entità e corrispondenze di indicatori di compromissione. Questa sezione descrive il funzionamento dei rilevamenti, il modo in cui i grafici delle entità aiutano le indagini e come i set di regole migliorano il rilevamento.
Eventi, grafo delle entità e corrispondenze IOC
I dati restituiti da queste origini sono limitati agli ambiti di accesso assegnati all'utente, in modo che visualizzi solo i risultati dei dati autorizzati. Se un utente dispone di più ambiti, le query includono i dati di tutti gli ambiti assegnati. I dati al di fuori degli ambiti accessibili all'utente non vengono visualizzati nei risultati di ricerca.
Rilevamenti e set di regole con rilevamenti
I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono vedere solo i rilevamenti che provengono dalle regole associate ai loro ambiti assegnati.
Funzionalità avanzate e monitoraggio
Per perfezionare i rilevamenti e migliorare la visibilità, puoi utilizzare configurazioni avanzate, come le regole YARA-L 2.0 e le metriche di importazione. Questa sezione illustra queste informazioni sulle funzionalità, aiutandoti a ottimizzare l'efficienza del rilevamento e a monitorare l'elaborazione dei dati.
Proprietà YARA-L 2.0
YARA-L 2.0 presenta le seguenti proprietà uniche se utilizzato nelle dashboard native:
Nelle dashboard sono disponibili altre origini dati, come il grafo delle entità, le metriche di importazione, i set di regole e i rilevamenti. Alcune di queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca Unified Data Model (UDM).
Consulta le funzioni YARA-L 2.0 per le dashboard native di Google Security Operations e le funzioni di aggregazione che includono misure statistiche.
La query in YARA-L 2.0 deve contenere una sezione
matchooutcomeo entrambe.La sezione
eventsdi una regola YARA-L è implicita e non deve essere dichiarata nelle query.La sezione
conditiondi una regola YARA-L non è disponibile per le dashboard.
Metriche di importazione
I componenti di importazione sono servizi o pipeline che importano i log nella piattaforma dai feed di log di origine. Ogni componente di importazione raccoglie un insieme specifico di campi del log all'interno del proprio schema delle metriche di importazione. Queste metriche sono visibili solo agli utenti a livello globale.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.