Présentation des tableaux de bord Preview
Vous pouvez utiliser la fonctionnalité d'aperçu des tableaux de bord de Google Security Operations pour créer des visualisations sur différentes sources de données. Il est composé de différents graphiques, qui sont renseignés à l'aide de YARA-L 2.0.
Avant de commencer
Assurez-vous que les éléments suivants sont activés dans votre instance Google SecOps:
Configurez un projet Google Cloud ou migrez votre instance Google SecOps vers un projet cloud existant.
Configurez un fournisseur d'identité Google Cloud ou un fournisseur d'identité tiers.
Configurez le contrôle des accès aux fonctionnalités à l'aide d'IAM.
Autorisations IAM requises pour les tableaux de bord en version Preview
| Autorisation IAM | Objectif |
|---|---|
chronicle.nativeDashboards.create |
Pour créer un tableau de bord d'aperçu : |
chronicle.nativeDashboards.delete |
Pour supprimer un tableau de bord d'aperçu : |
chronicle.nativeDashboards.duplicate |
Pour créer une copie d'un tableau de bord en preview : |
chronicle.nativeDashboards.get |
Pour afficher un tableau de bord Preview : |
chronicle.nativeDashboards.list |
Pour afficher la liste de tous les tableaux de bord en version Preview. |
chronicle.nativeDashboards.update |
Pour ajouter et modifier des graphiques, mettre à jour des filtres et modifier l'accès au tableau de bord. |
YARA-L 2.0 possède les propriétés uniques suivantes lorsqu'il est utilisé dans les tableaux de bord Preview :
Des sources de données supplémentaires, telles que le graphique des entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Certaines de ces sources de données ne sont pas encore disponibles dans les règles YARA-L et la recherche UDM.
Consultez les fonctions YARA-L 2.0 pour les tableaux de bord Preview de Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques.
La requête dans YARA-L 2.0 doit contenir une section
matchououtcome, ou les deux.La section "events" d'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.
La section
conditiond'une règle YARA-L n'est pas disponible pour les tableaux de bord.
Sources de données compatibles avec les tableaux de bord Preview
Les sources de données suivantes sont disponibles dans les tableaux de bord Preview avec le préfixe YARA-L suivant.
| Source de données | Intervalle de temps de la requête | Préfixe YARA-L | Schéma |
|---|---|---|---|
| Événements | 90 jours | aucun préfixe | Fields |
| Graphique des entités | 365 jours | graphique | Fields |
| Métriques d'ingestion | 365 jours | Intégration | Fields |
| Ensembles de règles | 365 jours | ensemble de règles | Fields |
| Détections | 365 jours | détection | Fields |
| IOC | 365 jours | ioc | Fields |
Impact de l'RBAC des données sur les tableaux de bord Preview
Le contrôle des accès basé sur les rôles (RBAC) des données est un modèle de sécurité qui utilise des rôles utilisateur individuels pour limiter l'accès des utilisateurs aux données au sein d'une organisation. Avec le RBAC des données, les administrateurs peuvent définir des champs d'application et les attribuer aux utilisateurs pour s'assurer qu'ils ne peuvent accéder qu'aux données nécessaires à leurs fonctions. Toutes les requêtes exécutées dans les tableaux de bord Preview sont compatibles avec le RBAC de données. Pour en savoir plus sur les contrôles d'accès et les portées, consultez Contrôles d'accès et portées dans le RBAC des données.
Événements, graphique des entités et correspondances avec les IOC
Les données renvoyées par ces sources correspondent aux champs d'application de l'accès aux données de l'utilisateur. Les utilisateurs ne voient que les résultats des données de leur champ d'application. Si un utilisateur dispose de plusieurs champs d'application, les requêtes sont exécutées sur les données combinées de tous les champs d'application autorisés. Les données en dehors des portées accessibles par l'utilisateur n'apparaissent pas dans les résultats de recherche.
Détection et règles avec détections
Des détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux champs d'application qui leur sont attribués.
Métriques d'ingestion
Les composants d'ingestion sont des services ou des pipelines qui ingurgitent des journaux dans la plate-forme à partir de flux de journaux sources. Chaque composant d'ingestion collecte un ensemble différent de champs de journal dans son propre schéma de métriques d'ingestion. Ces métriques ne sont visibles que par les utilisateurs du monde entier.