Panoramica di Anteprima dashboard

Supportato in:

Puoi utilizzare la funzionalità Anteprime dashboard di Google Security Operations per creare visualizzazioni su diverse origini dati. È composto da diversi grafici, che vengono compilati utilizzando YARA-L 2.0.

Prima di iniziare

Assicurati che nell'istanza Google SecOps siano abilitati i seguenti elementi:

Autorizzazioni IAM richieste per le dashboard di anteprima

Autorizzazioni IAM Finalità
chronicle.nativeDashboards.create Per creare una nuova dashboard di anteprima.
chronicle.nativeDashboards.delete Per eliminare una dashboard di anteprima.
chronicle.nativeDashboards.duplicate Per creare una copia di una dashboard di anteprima.
chronicle.nativeDashboards.get Per visualizzare una dashboard di anteprima.
chronicle.nativeDashboards.list Per visualizzare l'elenco di tutte le dashboard di anteprima.
chronicle.nativeDashboards.update Per aggiungere e modificare i grafici, aggiornare i filtri e modificare l'accesso alla dashboard.

YARA-L 2.0 presenta le seguenti proprietà uniche quando viene utilizzato nelle dashboard di anteprima

  • Nelle dashboard sono disponibili altre origini dati, come il grafo delle entità, le metriche di importazione, i set di regole e i rilevamenti. Alcune di queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca UDM.

  • Consulta le funzioni YARA-L 2.0 per le dashboard di anteprima di Google Security Operations e le funzioni di aggregazione che includono misure statistiche.

  • La query in YARA-L 2.0 deve contenere una sezione match o outcome o entrambe.

  • La sezione events di una regola YARA-L è implicita e non deve essere dichiarata nelle query.

  • La sezione condition di una regola YARA-L non è disponibile per le dashboard.

Origini dati supportate dalle dashboard di anteprima

Le seguenti origini dati sono disponibili nelle dashboard di anteprima con il seguente prefisso YARA-L.

Origine dati Intervallo di tempo della query Prefisso YARA-L Schema
Eventi 90 giorni nessun prefisso Campi
Grafico delle entità 365 giorni grafico Campi
Metriche di importazione 365 giorni ingestion Campi
Set di regole 365 giorni ruleset Campi
Rilevamenti 365 giorni Rilevamento Campi
IOC 365 giorni ioc Campi

Impatto del RBAC dei dati per le dashboard di anteprima

Controllo dell'accesso basato su ruoli per i dati (RBAC dei dati) è un modello di sicurezza che utilizza i ruoli individuali degli utenti per limitare l'accesso degli utenti ai dati all'interno di un'organizzazione. Con il modello RBAC dei dati, gli amministratori possono definire ambiti e assegnarli agli utenti per contribuire a garantire che possano accedere solo ai dati necessari per le loro funzioni lavorative. Tutte le query eseguite nelle dashboard di anteprima sono supportate dal RBAC dei dati. Per ulteriori informazioni su controlli di accesso e ambiti, consulta Controlli di accesso e ambiti in RBAC dei dati.

Eventi, grafo delle entità e corrispondenze IOC

I dati restituiti da queste origini sono in linea con gli ambiti di accesso ai dati dell'utente. Gli utenti vedono solo i risultati dei dati all'interno degli ambiti assegnati. Se un utente ha più ambiti, le query vengono eseguite sui dati combinati di tutti gli ambiti autorizzati. I dati al di fuori degli ambiti accessibili all'utente non vengono visualizzati nei risultati di ricerca.

Rilevamento e set di regole con rilevamenti

I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono vedere solo i rilevamenti che provengono dalle regole associate ai loro ambiti assegnati.

Metriche di importazione

I componenti di importazione sono servizi o pipeline che importano i log nella piattaforma dai feed di log di origine. Ogni componente di importazione raccoglie un insieme diverso di campi di log nel proprio schema delle metriche di importazione. Queste metriche sono visibili solo agli utenti a livello globale.