대시보드 미리보기 개요

다음에서 지원:

Google Security Operations의 대시보드 미리보기 기능을 사용하여 다양한 데이터 소스에 대한 시각화를 빌드할 수 있습니다. YARA-L 2.0을 사용하여 채워지는 다양한 차트로 구성됩니다.

시작하기 전에

Google SecOps 인스턴스에 다음이 사용 설정되어 있는지 확인합니다.

미리보기 대시보드에 필요한 IAM 권한

IAM 권한 목적
chronicle.nativeDashboards.create 새 미리보기 대시보드를 만듭니다.
chronicle.nativeDashboards.delete 미리보기 대시보드를 삭제하려면 다음 단계를 따르세요.
chronicle.nativeDashboards.duplicate 미리보기 대시보드의 사본을 만들려면 다음 단계를 따르세요.
chronicle.nativeDashboards.get 미리보기 대시보드를 보려면 다음 단계를 따르세요.
chronicle.nativeDashboards.list 모든 미리보기 대시보드 목록을 보려면 다음 단계를 따르세요.
chronicle.nativeDashboards.update 차트를 추가 및 수정하고, 필터를 업데이트하고, 대시보드 액세스 권한을 변경합니다.

YARA-L 2.0은 미리보기 대시보드에서 사용할 때 다음과 같은 고유한 속성을 갖습니다.

  • 대시보드에서는 항목 그래프, 처리 측정항목, 규칙 세트, 감지 등 추가 데이터 소스를 사용할 수 있습니다. 이러한 데이터 소스 중 일부는 아직 YARA-L 규칙 및 UDM 검색에서 사용할 수 없습니다.

  • Google Security Operations 미리보기 대시보드용 YARA-L 2.0 함수 및 통계 측정항목을 포함하는 집계 함수를 참고하세요.

  • YARA-L 2.0의 쿼리에는 match 또는 outcome 섹션 또는 둘 다 포함되어야 합니다.

  • YARA-L 규칙의 이벤트 섹션은 암시되며 쿼리에서 선언할 필요가 없습니다.

  • 대시보드에서는 YARA-L 규칙의 condition 섹션을 사용할 수 없습니다.

미리보기 대시보드에서 지원되는 데이터 소스

다음 데이터 소스는 다음과 같은 YARA-L 접두사로 미리보기 대시보드에서 사용할 수 있습니다.

데이터 소스 쿼리 시간 간격 YARA-L 접두사 스키마
이벤트 90일 프리픽스 없음 필드
항목 그래프 365일 그래프 필드
처리 측정항목 365일 처리 필드
규칙 세트 365일 규칙 세트 필드
감지 365일 감지 필드
IOC 365일 ioc 필드

미리보기 대시보드의 데이터 RBAC 영향

데이터 역할 기반 액세스 제어 (데이터 RBAC)는 개별 사용자 역할을 사용하여 조직 내 데이터에 대한 사용자 액세스를 제한하는 보안 모델입니다. 데이터 RBAC를 사용하면 관리자가 범위를 정의하고 사용자에게 할당하여 사용자가 작업 기능에 필요한 데이터에만 액세스하도록 할 수 있습니다. 미리보기 대시보드에서 실행되는 모든 쿼리는 데이터 RBAC에서 지원합니다. 액세스 제어 및 범위에 관한 자세한 내용은 데이터 RBAC의 액세스 제어 및 범위를 참고하세요.

이벤트, 항목 그래프, IOC 일치

이러한 소스에서 반환된 데이터는 사용자의 데이터 액세스 범위에 맞게 조정됩니다. 사용자는 할당된 범위 내의 데이터에서 나온 결과만 볼 수 있습니다. 사용자에게 여러 범위가 있는 경우 승인된 모든 범위의 결합된 데이터에서 쿼리가 실행됩니다. 사용자가 액세스할 수 있는 범위 외부의 데이터는 검색 결과에 표시되지 않습니다.

감지 및 감지가 포함된 규칙 세트

수신되는 보안 데이터가 규칙에 정의된 기준과 일치하면 감지가 생성됩니다. 사용자는 할당된 범위와 연결된 규칙에서 발생한 감지만 볼 수 있습니다.

처리 측정항목

처리 구성요소는 소스 로그 피드에서 플랫폼으로 로그를 처리하는 서비스 또는 파이프라인입니다. 각 처리 구성요소는 자체 처리 측정항목 스키마에 서로 다른 로그 필드 집합을 수집합니다. 이 측정항목은 전 세계 사용자에게만 표시됩니다.