ネイティブ ダッシュボードの概要
このドキュメントでは、Google Security Operations のネイティブ ダッシュボード機能を使用して、さまざまなデータソースにわたる可視化を作成する方法について説明します。さまざまなグラフで構成され、YARA-L 2.0 プロパティを使用して入力されます。
始める前に
Google SecOps インスタンスで次の機能が有効になっていることを確認します。
ネイティブ ダッシュボードを使用する前に、ダッシュボード データを効果的に表示して操作するための適切な Identity and Access Management(IAM)ロールと構成が設定されていることを確認することをおすすめします。
Google Cloud プロジェクトを構成するか、Google SecOps インスタンスを既存のクラウド プロジェクトに移行します。
Google Cloud ID プロバイダまたはサードパーティ ID プロバイダを構成します。
必要な IAM 権限
ネイティブ ダッシュボードにアクセスするには、次の権限が必要です。
| IAM 権限 | 目的 |
|---|---|
chronicle.nativeDashboards.list |
すべてのネイティブ ダッシュボードのリストを表示する。 |
chronicle.nativeDashboards.get |
ネイティブ ダッシュボードを表示し、 ダッシュボード フィルタを適用して、 グローバル フィルタを適用します。 |
chronicle.nativeDashboards.create |
新しいネイティブ ダッシュボードを作成します。 |
chronicle.nativeDashboards.duplicate |
既存のダッシュボードのコピーを作成します。 |
chronicle.nativeDashboards.update |
グラフを追加、編集する、フィルタを追加する、 ダッシュボードへのアクセス権を変更する、 グローバル タイム フィルタを管理する。 |
chronicle.nativeDashboards.delete |
ネイティブ ダッシュボードを削除する。 |
ネイティブ ダッシュボードについて
ネイティブ ダッシュボードは、セキュリティ イベント、検出、関連データに関する分析情報を提供します。このセクションでは、サポートされているデータソースの概要と、ロールベースのアクセス制御(RBAC)がダッシュボード内の可視性とデータアクセスにどのように影響するかについて説明します。
サポートされているデータソース
ネイティブ ダッシュボードには、それぞれ対応する YARA-L 接頭辞を持つ次のデータソースが含まれています。
| データソース | クエリの時間間隔 | YARA-L 接頭辞 | スキーマ |
|---|---|---|---|
| Events | 90 日 | no prefix |
フィールド |
| Entity graph | 365 日 | graph |
フィールド |
| Ingestion metrics | 365 日 | ingestion |
フィールド |
| Rule sets | 365 日 | ruleset |
フィールド |
| 検出 | 365 日 | detection |
フィールド |
| IOC | 365 日 | ioc |
フィールド |
データ RBAC の影響
データのロールベース アクセス制御(RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。データ RBAC を使用すると、管理者はスコープを定義してユーザーに割り当て、アクセスをジョブ機能に必要なデータのみに制限できます。ネイティブ ダッシュボードのクエリはすべて、データ RBAC ルールに従います。アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。
検出と分析
効果的な脅威検出は、イベント、エンティティの関係、IOC の一致を分析することにかかっています。このセクションでは、検出の仕組み、エンティティグラフによる調査の支援、ルールセットによる検出の改善について説明します。
イベント、エンティティ グラフ、IOC の一致
これらのソースから返されるデータは、ユーザーに割り当てられたアクセス スコープに制限されるため、承認されたデータの結果のみが表示されます。ユーザーに複数のスコープがある場合、クエリには割り当てられたすべてのスコープのデータが含まれます。ユーザーのアクセス スコープ外のデータは検索結果に表示されません。
Detection と detection を含むルールセット
検出は、受信したセキュリティ データがルールで定義された条件と一致すると生成されます。ユーザーに表示されるのは、自身に割り当てられたスコープに関連付けられたルールから発生した検出結果のみです。
高度な機能とモニタリング
検出を微調整して可視性を向上させるには、YARA-L 2.0 ルールや取り込み指標などの高度な構成を使用できます。このセクションでは、検出の効率を最適化し、データ処理をモニタリングするために役立つこれらの特徴分析情報について説明します。
YARA-L 2.0 のプロパティ
YARA-L 2.0 をネイティブ ダッシュボードで使用する際の独自プロパティ
エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと統合データモデル(UDM)検索ではまだ使用できません。
Google Security Operations ネイティブ ダッシュボードの YARA-L 2.0 関数と、統計指標を含む集計関数をご確認ください。
YARA-L 2.0 のクエリには、
matchセクションまたはoutcomeセクション、またはその両方を含める必要があります。YARA-L ルールの
eventsセクションは暗黙的に指定されるため、クエリで宣言する必要はありません。YARA-L ルールの
conditionセクションはダッシュボードでは使用できません。
Ingestion metrics
Ingestion のコンポーネントは、ソースログ フィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各取り込みコンポーネントは、独自の取り込み指標スキーマ内に特定のログフィールドのセットを収集します。これらの指標は、グローバル ユーザーにのみ表示されます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。