Vorschau der Dashboards – Übersicht

Unterstützt in:

Mit der Funktion „Dashboard-Vorschau“ von Google Security Operations können Sie Visualisierungen aus verschiedenen Datenquellen erstellen. Es besteht aus verschiedenen Diagrammen, die mit YARA-L 2.0 ausgefüllt werden.

Hinweise

Prüfen Sie, ob für Ihre Google SecOps-Instanz Folgendes aktiviert ist:

Erforderliche IAM-Berechtigungen für Vorschau-Dashboards

IAM-Berechtigung Zweck
chronicle.nativeDashboards.create So erstellen Sie ein neues Vorschau-Dashboard:
chronicle.nativeDashboards.delete So löschen Sie ein Vorschau-Dashboard:
chronicle.nativeDashboards.duplicate So erstellen Sie eine Kopie eines Vorschau-Dashboards:
chronicle.nativeDashboards.get So rufen Sie eine Vorschau des Dashboards auf:
chronicle.nativeDashboards.list Liste aller Vorschau-Dashboards aufrufen
chronicle.nativeDashboards.update Sie können Diagramme hinzufügen und ändern, Filter aktualisieren und den Dashboardzugriff ändern.

YARA-L 2.0 hat in Vorschau-Dashboards die folgenden einzigartigen Eigenschaften:

  • In Dashboards sind zusätzliche Datenquellen wie Entitätsgraphen, Datenaufnahmemesswerte, Regelsätze und Erkennungen verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und der UDM-Suche verfügbar.

  • Weitere Informationen finden Sie unter YARA-L 2.0-Funktionen für Google Security Operations-Vorschau-Dashboards und Aggregatfunktionen mit statistischen Maßen.

  • Die Abfrage in YARA-L 2.0 muss einen Abschnitt match oder outcome oder beide enthalten.

  • Der Abschnitt „events“ einer YARA-L-Regel ist implizit und muss nicht in Abfragen deklariert werden.

  • Der Abschnitt condition einer YARA-L-Regel ist für Dashboards nicht verfügbar.

Von Vorschau-Dashboards unterstützte Datenquellen

Die folgenden Datenquellen sind in Vorschau-Dashboards mit dem folgenden YARA-L-Präfix verfügbar.

Datenquelle Abfragezeitintervall YARA-L-Präfix Schema
Veranstaltungen 90 Tage Kein Präfix Fields
Entitätsgraph 365 Tage Graph Fields
Messwerte für die Datenaufnahme 365 Tage ingestion Fields
Regelsätze 365 Tage ruleset Fields
Erkennungen 365 Tage Erkennung Fields
IOCs 365 Tage ioc Fields

Auswirkungen der RBAC für Daten auf Vorschau-Dashboards

Die rollenbasierte Zugriffssteuerung für Daten (Data RBAC) ist ein Sicherheitsmodell, bei dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe individueller Nutzerrollen eingeschränkt wird. Mit der datenbasierten RBAC können Administratoren Bereiche definieren und Nutzern zuweisen, damit Nutzer nur auf die für ihre Aufgaben erforderlichen Daten zugreifen können. Alle Abfragen, die in Vorab-Dashboards ausgeführt werden, werden durch die RBAC für Daten unterstützt. Weitere Informationen zu Zugriffssteuerungen und Bereichen finden Sie unter Zugriffssteuerungen und Bereiche in der datenbasierten RBAC.

Übereinstimmungen von Ereignissen, Entitätsgraphen und IOCs

Die von diesen Quellen zurückgegebenen Daten stimmen mit den Zugriffsbereichen des Nutzers überein. Nutzer sehen nur Ergebnisse aus Daten innerhalb ihrer zugewiesenen Bereiche. Wenn ein Nutzer mehrere Bereiche hat, werden Abfragen auf die kombinierten Daten aller autorisierten Bereiche ausgeführt. Daten, die nicht zu den zugänglichen Bereichen des Nutzers gehören, werden nicht in den Suchergebnissen angezeigt.

Erkennungen und Regelsätze mit Erkennungen

Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer sehen nur Erkennungen, die von Regeln stammen, die mit ihren zugewiesenen Bereichen verknüpft sind.

Messwerte für die Datenaufnahme

Datenaufnahmekomponenten sind Dienste oder Pipelines, die Protokolle aus Quellprotokollfeeds in die Plattform aufnehmen. Jede Datenaufnahmekomponente erfasst eine andere Gruppe von Protokollfeldern in ihrem eigenen Schema für Datenaufnahmemesswerte. Diese Messwerte sind nur für globale Nutzer sichtbar.