Visão geral dos painéis de visualização
Você pode usar o recurso de painéis de visualização do Google Security Operations para criar visualizações em diferentes fontes de dados. Ele é composto por diferentes gráficos, que são preenchidos usando o YARA-L 2.0.
Antes de começar
Verifique se a sua instância do Google SecOps tem os seguintes recursos ativados:
Configure um projeto ou migre sua instância do Google SecOps para um projeto de nuvem existente.
Configure um provedor de identidade do Google Cloud ou um provedor de identidade de terceiros.
Permissões do IAM necessárias para painéis de visualização
| Permissão do IAM | Motivo |
|---|---|
chronicle.nativeDashboards.create |
Para criar um novo painel de pré-lançamento. |
chronicle.nativeDashboards.delete |
Para excluir um painel de visualização. |
chronicle.nativeDashboards.duplicate |
Para fazer uma cópia de um painel de prévia. |
chronicle.nativeDashboards.get |
Para acessar um painel de visualização. |
chronicle.nativeDashboards.list |
Para conferir a lista de todos os painéis de pré-visualização. |
chronicle.nativeDashboards.update |
Para adicionar e modificar gráficos, atualizar filtros e mudar o acesso ao painel. |
O YARA-L 2.0 tem as seguintes propriedades exclusivas quando usado em painéis de pré-lançamento
Outras fontes de dados, como gráfico de entidade, métricas de ingestão, conjuntos de regras e detecções, estão disponíveis nos painéis. Algumas dessas fontes de dados ainda não estão disponíveis nas regras da YARA-L e na pesquisa da UDM.
Consulte Funções YARA-L 2.0 para painéis de pré-visualização das Operações de segurança do Google e funções de agregação que incluem medidas estatísticas.
A consulta no YARA-L 2.0 precisa conter uma seção
matchououtcome, ou ambas.A seção de eventos de uma regra YARA-L é implícita e não precisa ser declarada em consultas.
A seção
conditionde uma regra YARA-L não está disponível para painéis.
Fontes de dados compatíveis com os painéis de visualização
As seguintes fontes de dados estão disponíveis nos painéis de visualização com o seguinte prefixo YARA-L.
| Fonte de dados | Intervalo de tempo da consulta | Prefixo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 dias | sem prefixo | Campos |
| Gráfico de entidade | 365 dias | gráfico | Campos |
| Métricas de ingestão | 365 dias | ingestion | Campos |
| Conjuntos de regras | 365 dias | conjunto de regras | Campos |
| Detecções | 365 dias | por IA | Campos |
| IOCs | 365 dias | ioc | Campos |
Impacto do RBAC de dados para painéis de visualização
O controle de acesso baseado em função de dados (RBAC de dados) é um modelo de segurança que usa funções de usuário individuais para restringir o acesso do usuário aos dados em uma organização. Com o RBAC de dados, os administradores podem definir e atribuir escopos aos usuários para garantir que eles acessem apenas os dados necessários para suas funções. Todas as consultas executadas nos painéis de pré-visualização têm suporte à RBAC de dados. Para mais informações sobre controles e escopos de acesso, consulte Controles e escopos de acesso no RBAC de dados.
Eventos, gráfico de entidade e correspondências de IOC
Os dados retornados dessas fontes estão alinhados aos escopos de acesso a dados do usuário. Os usuários só veem resultados de dados dentro dos escopos atribuídos. Se um usuário tiver vários escopos, as consultas serão executadas nos dados combinados de todos os escopos autorizados. Os dados fora dos escopos acessíveis do usuário não aparecem nos resultados da pesquisa.
Regras de detecção e conjuntos de regras com detecções
As detecções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos em uma regra. Os usuários só podem ver as detecções que se originam de regras associadas aos escopos atribuídos.
Métricas de transferência
Os componentes de transferência são serviços ou pipelines que transferem registros para a plataforma a partir de feeds de registro de origem. Cada componente de transferência coleta um conjunto diferente de campos de registro no próprio esquema de métricas de transferência. Essas métricas só ficam visíveis para usuários globais.