Visão geral dos painéis nativos
Neste documento, explicamos como usar o recurso de painéis nativos do Google Security Operations para criar visualizações em diferentes fontes de dados. Ele é composto por diferentes gráficos, que são preenchidos usando propriedades YARA-L 2.0.
Antes de começar
Verifique se a sua instância do Google SecOps tem os seguintes recursos ativados:
Antes de usar os painéis nativos, recomendamos que você verifique se tem as funções e configurações corretas de gerenciamento de identidade e acesso (IAM) para acessar e interagir com os dados do painel de maneira eficaz.
Configure um Google Cloud projeto ou migre sua instância do Google SecOps para um projeto de nuvem existente.
Configure um provedor de identidade do Google Cloud ou um provedor de identidade de terceiros.
Permissões necessárias do IAM
As seguintes permissões são necessárias para acessar os Painéis nativos:
| Permissão do IAM | Finalidade |
|---|---|
chronicle.nativeDashboards.list |
Acesse a lista de todos os painéis nativos. |
chronicle.nativeDashboards.get |
Confira um painel nativo, aplique um filtro de painel e aplique o filtro global. |
chronicle.nativeDashboards.create |
Crie um painel nativo. |
chronicle.nativeDashboards.duplicate |
Faça uma cópia de um painel existente. |
chronicle.nativeDashboards.update |
Adicionar e editar gráficos, adicionar um filtro, mudar o acesso ao painel e gerenciar o filtro de tempo global. |
chronicle.nativeDashboards.delete |
Excluir um painel nativo. |
Entender os painéis nativos
Os painéis nativos fornecem insights sobre eventos de segurança, detecções e dados relacionados. Esta seção descreve as origens de dados compatíveis e explica como o controle de acesso baseado em função (RBAC) afeta a visibilidade e o acesso aos dados nos painéis.
Fontes de dados compatíveis
Os painéis nativos incluem as seguintes fontes de dados, cada uma com o prefixo YARA-L correspondente:
| Fonte de dados | Intervalo de tempo da consulta | Prefixo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 dias | no prefix |
Campos |
| Gráfico de entidade | 365 dias | graph |
Campos |
| Métricas de ingestão | 365 dias | ingestion |
Campos |
| Conjuntos de regras | 365 dias | ruleset |
Campos |
| Detecções | 365 dias | detection |
Campos |
| IOCs | 365 dias | ioc |
Campos |
Impacto do RBAC de dados
O controle de acesso baseado em função (RBAC) de dados é um modelo de segurança que usa funções individuais para restringir o acesso dos usuários aos dados em uma organização. O RBAC de dados permite que os administradores definam e atribuam escopos aos usuários, garantindo que o acesso seja limitado apenas aos dados necessários para as funções. Todas as consultas nos Painéis nativos seguem as regras de RBAC de dados. Para mais informações sobre controles e escopos de acesso, consulte Controles e escopos de acesso no RBAC de dados.
Detecções e análise
A detecção eficaz de ameaças depende da análise de eventos, relações de entidades e correspondências de IOC. Esta seção descreve como as detecções funcionam, como os gráficos de entidades ajudam nas investigações e como as regras de conjunto melhoram a detecção.
Eventos, gráfico de entidades e correspondências de IOC
Os dados retornados dessas fontes são restritos aos escopos de acesso atribuídos ao usuário, garantindo que ele só acesse resultados de dados autorizados. Se um usuário tiver vários escopos, as consultas vão incluir dados de todos os escopos atribuídos. Os dados fora dos escopos acessíveis do usuário não aparecem nos resultados da pesquisa.
Conjuntos de regras e de detecção com detecções
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver as detecções que se originam de regras associadas aos escopos atribuídos.
Recursos avançados e monitoramento
Para ajustar as detecções e melhorar a visibilidade, use configurações avançadas, como regras YARA-L 2.0 e métricas de ingestão. Esta seção aborda esses insights de recursos para ajudar você a otimizar a eficiência da detecção e monitorar o processamento de dados.
Propriedades do YARA-L 2.0
O YARA-L 2.0 tem as seguintes propriedades exclusivas quando usado em painéis nativos:
Outras fontes de dados, como gráfico de entidade, métricas de ingestão, conjuntos de regras e detecções, estão disponíveis nos painéis. Algumas dessas fontes de dados ainda não estão disponíveis nas regras da YARA-L e na pesquisa do Modelo de dados unificado (UDM).
Consulte Funções YARA-L 2.0 para painéis nativos do Google Security Operations e funções de agregação que incluem medidas estatísticas.
A consulta no YARA-L 2.0 precisa conter uma seção
matchououtcome, ou ambas.A seção
eventsde uma regra YARA-L é implícita e não precisa ser declarada em consultas.A seção
conditionde uma regra YARA-L não está disponível para painéis.
Métricas de ingestão
Os componentes de transferência são serviços ou pipelines que trazem registros para a plataforma a partir de feeds de registro de origem. Cada componente de ingestão coleta um conjunto específico de campos de registro no próprio esquema de métricas de ingestão. Essas métricas só ficam visíveis para usuários globais.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.