Preview Dashboards の概要
Google Security Operations のプレビュー ダッシュボード機能を使用すると、さまざまなデータソースにわたる可視化を構築できます。これは、YARA-L 2.0 を使用して入力されるさまざまなグラフで構成されています。
始める前に
Google SecOps インスタンスで次の機能が有効になっていることを確認します。
Google Cloud プロジェクトを構成するか、Google SecOps インスタンスを既存のクラウド プロジェクトに移行します。
Preview Dashboards に必要な IAM 権限
| IAM 権限 | 目的 |
|---|---|
chronicle.nativeDashboards.create |
新しいプレビュー ダッシュボードを作成する。 |
chronicle.nativeDashboards.delete |
プレビュー ダッシュボードを削除する。 |
chronicle.nativeDashboards.duplicate |
プレビュー ダッシュボードのコピーを作成する。 |
chronicle.nativeDashboards.get |
プレビュー ダッシュボードを表示する。 |
chronicle.nativeDashboards.list |
すべてのプレビュー ダッシュボードのリストを表示する。 |
chronicle.nativeDashboards.update |
グラフの追加と変更、フィルタの更新、ダッシュボードへのアクセス権の変更を行う。 |
YARA-L 2.0 を Preview Dashboards で使用する際の独自プロパティ
エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと UDM 検索ではまだ使用できません。
Google Security Operations Preview Dashboards の YARA-L 2.0 関数と、統計指標を含む集計関数をご確認ください。
YARA-L 2.0 のクエリには、
matchセクションまたはoutcomeセクションのいずれか、またはその両方を含める必要があります。YARA-L ルールのイベント セクションは暗黙的に存在するため、クエリで宣言する必要はありません。
YARA-L ルールの
conditionセクションはダッシュボードでは使用できません。
Preview Dashboards でサポートされているデータソース
次のデータソースを次の YARA-L 接頭辞とともに Preview Dashboards で使用できます。
| データソース | クエリの時間間隔 | YARA-L 接頭辞 | スキーマ |
|---|---|---|---|
| Events | 90 日 | 接頭辞なし | フィールド |
| Entity graph | 365 日 | グラフ | フィールド |
| Ingestion metrics | 365 日 | ingestion | フィールド |
| Rule sets | 365 日 | ruleset | フィールド |
| 検出 | 365 日 | 検出 | フィールド |
| IOC | 365 日 | ioc | フィールド |
Preview Dashboards におけるデータ RBAC の影響
データのロールベース アクセス制御(データ RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。管理者は、データ RBAC を使ってスコープを定義しユーザーに割り当てることで、ユーザーのアクセス範囲を各自のジョブ機能に必要なデータのみに制限できます。Preview Dashboardsで実行されるクエリはすべて、データ RBAC でサポートされています。アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。
Events、Entity graph、IOCs の一致
これらのソースから返されるデータは、ユーザーのデータアクセス スコープと一致しています。ユーザーには、割り当てられたスコープ内のデータの結果のみが表示されます。ユーザーに複数のスコープがある場合、クエリは承認されているすべてのスコープの結合データを対象に実行されます。ユーザーのアクセス スコープ外のデータは検索結果に表示されません。
Detection と detection を含むルールセット
検出は、受信したセキュリティ データがルールで定義された条件と一致すると生成されます。ユーザーに表示されるのは、自身に割り当てられたスコープに関連付けられたルールから発生した検出結果のみです。
Ingestion metrics
Ingestion のコンポーネントは、ソースログ フィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各 Ingestion コンポーネントは、それぞれ異なるログフィールドのセットを収集し、自身の Ingestion 指標スキーマに格納します。これらの指標は、グローバル ユーザーにのみ表示されます。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。