预览信息中心概览
您可以使用 Google Security Operations 的“预览信息中心”功能,基于不同的数据源构建可视化图表。它由不同的图表组成,这些图表使用 YARA-L 2.0 进行填充。
准备工作
确保您的 Google SecOps 实例已启用以下功能:
配置 Google Cloud 项目或将 Google SecOps 实例迁移到现有云项目。
预览信息中心所需的 IAM 权限
| IAM 权限 | 用途 |
|---|---|
chronicle.nativeDashboards.create |
创建新的预览信息中心。 |
chronicle.nativeDashboards.delete |
如需删除预览版信息中心,请执行以下操作: |
chronicle.nativeDashboards.duplicate |
如需复制预览信息中心,请执行以下操作: |
chronicle.nativeDashboards.get |
如需查看预览信息中心,请执行以下操作: |
chronicle.nativeDashboards.list |
如需查看所有预览信息中心的列表,请执行以下操作: |
chronicle.nativeDashboards.update |
添加和修改图表、更新过滤条件以及更改信息中心访问权限。 |
在预览版信息中心中使用时,YARA-L 2.0 具有以下独特属性
信息中心中提供了实体图、提取指标、规则集和检测等其他数据源。其中一些数据源尚未在 YARA-L 规则和 UDM 搜索中提供。
请参阅 适用于 Google Security Operations 预览版信息中心的 YARA-L 2.0 函数以及包含统计测量的汇总函数。
YARA-L 2.0 中的查询必须包含
match或outcome部分,或同时包含这两个部分。YARA-L 规则的“事件”部分是隐含的,无需在查询中声明。
YARA-L 规则的
condition部分不适用于信息中心。
预览信息中心支持的数据源
预览版信息中心提供以下数据源,其 YARA-L 前缀如下所示。
| 数据源 | 查询时间间隔 | YARA-L 前缀 | 架构 |
|---|---|---|---|
| 事件 | 90 天 | 无前缀 | 字段 |
| 实体图 | 365 天 | 图表 | 字段 |
| 提取指标 | 365 天 | 提取 | 字段 |
| 规则集 | 365 天 | 规则集 | 字段 |
| 检测 | 365 天 | 检测 | 字段 |
| IOC | 365 天 | ioc | 字段 |
数据 RBAC 对预览信息中心的影响
数据基于角色的访问控制 (data RBAC) 是一种安全模型,它使用各个用户角色来限制用户对组织内数据的访问权限。借助数据 RBAC,管理员可以定义镜重范围并将其分配给用户,以帮助确保用户只能访问其工作职能所需的数据。数据 RBAC 支持在预览信息中心中执行的所有查询。如需详细了解访问控制和作用域,请参阅数据 RBAC 中的访问控制和作用域。
事件、实体图和 IOC 匹配
从这些来源返回的数据与用户的数据访问范围一致。用户只能看到其所分配范围内的数据的结果。如果用户具有多个镜重范围,则查询会针对所有已获授权镜重范围的组合数据运行。用户无法访问的范围之外的数据不会显示在搜索结果中。
检测和包含检测的规则集
当传入的安全数据与规则中定义的条件匹配时,系统会生成检测。用户只能看到与其分配的镜重范围相关联的规则生成的检测结果。
提取指标
提取组件是指从来源日志 Feed 将日志提取到平台中的服务或流水线。每个提取组件都会将一组不同的日志字段收集到自己的提取指标架构中。只有全球用户才能看到这些指标。