プレビュー ダッシュボードの概要

以下でサポートされています。

Google Security Operations のプレビュー ダッシュボード機能を使用すると、さまざまなデータソースにわたる可視化を構築できます。これは、YARA-L 2.0 を使用して入力されるさまざまなグラフで構成されています。

始める前に

Google SecOps インスタンスで次のものが有効になっていることを確認します。

プレビュー ダッシュボードに必要な IAM 権限

IAM 権限 目的
chronicle.nativeDashboards.create 新しいプレビュー ダッシュボードを作成するには:
chronicle.nativeDashboards.delete プレビュー ダッシュボードを削除する。
chronicle.nativeDashboards.duplicate プレビュー ダッシュボードのコピーを作成するには:
chronicle.nativeDashboards.get プレビュー ダッシュボードを表示する。
chronicle.nativeDashboards.list すべてのプレビュー ダッシュボードのリストを表示するには、
chronicle.nativeDashboards.update グラフの追加と変更、フィルタの更新、ダッシュボードへのアクセス権の変更を行う。

YARA-L 2.0 には、プレビュー ダッシュボードで使用する場合の次のような独自のプロパティがあります。

  • エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと UDM 検索ではまだ使用できません。

  • Google Security Operations プレビュー ダッシュボードの YARA-L 2.0 関数と、統計指標を含む集計関数をご覧ください。

  • YARA-L 2.0 のクエリには、match セクションまたは outcome セクションのいずれか、またはその両方を含める必要があります。

  • YARA-L ルールのイベント セクションは暗黙的に存在するため、クエリで宣言する必要はありません。

  • YARA-L ルールの condition セクションはダッシュボードでは使用できません。

プレビュー ダッシュボードでサポートされるデータソース

プレビュー ダッシュボードでは、次の YARA-L 接頭辞を使用して次のデータソースを使用できます。

データソース クエリの時間間隔 YARA-L 接頭辞 スキーマ
イベント 90 日 接頭辞なし フィールド
エンティティ グラフ 365 日 グラフ フィールド
取り込み指標 365 日 取り込み フィールド
ルールセット 365 日 ruleset フィールド
検出 365 日 検出 フィールド
IOC 365 日 ioc フィールド

プレビュー ダッシュボードのデータ RBAC の影響

データのロールベース アクセス制御(データ RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。データ RBAC を使用すると、管理者がスコープを定義してユーザーに割り当て、ユーザーが自分のジョブ機能に必要なデータにのみアクセスできるようにします。プレビュー版ダッシュボードで実行されるすべてのクエリは、データ RBAC でサポートされています。アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。

イベント、エンティティ グラフ、IOC の一致

これらのソースから返されるデータは、ユーザーのデータアクセス スコープと一致しています。ユーザーには、割り当てられたスコープ内のデータの結果のみが表示されます。ユーザーに複数のスコープがある場合、クエリは、承認されたすべてのスコープの結合データに対して実行されます。ユーザーがアクセスできるスコープ外のデータを検索結果に表示することはできません。

検出と検出を含むルールセット

検出は、受信したセキュリティ データがルールで定義された条件と一致すると生成されます。ユーザーは、割り当てられたスコープに関連付けられたルールから発生した検出結果のみを表示できます。

取り込み指標

取り込みコンポーネントは、ソースログフィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各取り込みコンポーネントは、独自の取り込み指標スキーマに異なるログフィールドのセットを収集します。これらの指標は、グローバル ユーザーのみに表示されます。