הסבר על לוח הבקרה 'כללים'
כדי לפתוח את מרכז הבקרה של הכללים ב-Google Security Operations, בסרגל הניווט בוחרים באפשרות Detections (זיהויים) > Rules & Detections (כללים וזיהויים) ומוודאים שהכרטיסייה Rules Dashboard (מרכז הבקרה של הכללים) נבחרה.
בכרטיסייה Rules Dashboard (מרכז השליטה של כללים) מוצגים הכללים של Google SecOps. אם המערכת שלכם משתמשת בבקרת גישה שמבוססת על תפקידים (RBAC) לנתונים, אתם יכולים לראות ולנהל רק כללים שקשורים להיקפי נתונים נגישים. פרטים נוספים זמינים במאמר ההשפעה של RBAC על נתונים על כללים.
סקירה כללית של לוח הבקרה של הכללים
בחלק העליון של הכרטיסייה מרכז הבקרה של הכללים מופיעים:
| תכונה | תיאור |
|---|---|
| קיבולת הכללים | מראה את השימוש במכסת הכללים. כדי לראות פרטים על:
|
| הצגת מרכז השליטה של מצב הזיהויים | אפשר לפתוח את מרכז הבקרה 'תקינות הזיהויים' כדי לעקוב אחרי הביצועים של הכללים, סטטוס ההרצה וההשפעה של הפעלות חוזרות של כללים ונתונים שמגיעים באיחור. לוח הבקרה הזה עוזר לכם לפתור בעיות שקשורות לעיכובים בזיהוי ולבצע אופטימיזציה של יעילות הכללים. איך עוקבים אחרי הביצועים של כללים |
עמודות בטבלת הכללים
במרכז הבקרה מפורטים הכללים בעמודות הבאות:
| עמודה | תיאור |
|---|---|
| היום | מספר הזיהויים שנוצרו על ידי הכלל היום. |
| שם הכלל | השם המוצג של הכלל. לוחצים על השם כדי לפתוח את התצוגה של זיהויים לפי כלל. |
| הפעילות ב-4 השבועות האחרונים | תרשים קו בלי צירים שמציג את מגמות הזיהוי של הכלל הזה במהלך ארבעת השבועות האחרונים. כדי לראות את המספר המדויק של הזיהויים בתאריך מסוים, מעבירים את העכבר מעל העמודה הרלוונטית. |
| זיהוי אחרון | חותמת הזמן של הזיהוי האחרון שנוצר על ידי הכלל הזה. |
| מחבר | המשתמש או הישות שיצרו את הכלל או שביצעו בו את השינוי האחרון. |
| היקף | היקף הנתונים שמוגבל לכלל, שמגביל את הגישה לנתונים על סמך RBAC. |
| SEVERITY | רמת החומרה שהוקצתה לכלל (לדוגמה, גבוהה, בינונית או נמוכה), כפי שהוגדרה במטא-נתונים שלו. |
| התראות | מציין אם הכלל יוצר התראות ב-Google SecOps כשמתרחשים זיהויים. אפשר להפעיל או להשבית את האפשרות הזו. כשהיא מופעלת, המערכת מעלה את רמת החומרה של זיהויים להתראות ומפעילה התראות מוגדרות או מחזורי עבודה של SOAR. איך מנהלים כללים מאוחדים |
| RETROHUNT | להריץ את הכלל על נתוני יומן היסטוריים כדי למצוא מקרים קודמים של איום. לוחצים על הסטטוס כדי לראות משימות קודמות של חיפוש רטרואקטיבי או כדי להריץ משימה חדשה. איך מריצים כלל על נתונים היסטוריים |
| סוג הכלל | המבנה של הלוגיקה של הכלל:
|
| לוח זמנים של כלל | תזמון ההרצה של הכלל. בכללים פעילים, ההפעלה יכולה להיות כמעט בזמן אמת או במרווחי זמן מוגדרים (לדוגמה, שעתי או יומי). התזמון משפיע ישירות על זמן האחזור של הזיהוי. מידע נוסף זמין במאמרים תזמון הפעלות של כללים והגדרת תזמונים מותאמים אישית לכללים. |
| סטטוס השידור החי | מצוין אם הכלל עוקב באופן פעיל אחרי נתונים נכנסים. אפשר להפעיל (Enabled) או להשבית (Disabled) אותה. כללים מושבתים לא יוצרים גילויים חדשים. איך מחילים כלל על נתונים בזמן אמת |
חיפוש וסינון של כללים
כדי לסנן ולמצוא כללים ספציפיים, משתמשים בשדה חיפוש כללים בחלק העליון של הכרטיסייה כללים:
| סוג החיפוש | תיאור |
|---|---|
| חיפוש באמצעות מילות מפתח | מזינים מילות מפתח כדי לחפש בכל הטקסט של הכללים. |
| חיפוש מובנה | כדי ליצור שאילתות מדויקות, אפשר להשתמש במסננים ובאופרטורים של שדות. השדות הנתמכים כוללים את display_name, text, tags, rule_owner, live_mode_enabled ו-alerting_enabled. |
לדוגמה, אתם יכולים לחפש את המונחים:
display_name:"My Rule"text:"malware"rule_owner:"google" AND tags:"TA0001"live_mode_enabled=true AND alerting_enabled=true
הסבר מפורט על תחביר החיפוש, השדות והאופרטורים הנתמכים זמין במאמר חיפוש ברשימת הכללים.
פעולות של כלל
מעבירים את העכבר מעל שורה של כלל ולוחצים על פעולות כדי לגשת לאפשרויות הבאות:
| פעולה | תיאור |
|---|---|
| כלל פעיל | מעבירים את המתג מופעל כדי להעריך באופן רציף את נתוני היומן הנכנסים וליצור זיהויים בזמן אמת, או מעבירים את המתג מושבת כדי להפסיק את הפעלת הכלל. יכול להיות שהסטטוס של הכלל ישתנה אוטומטית ל'מוגבל' או ל'בהשהיה', בהתאם לביצועים. איך מחילים כלל על נתונים בזמן אמת |
| שליחת התראות | מפעילים את המתג כדי לסמן את הזיהויים כהתראות של Google SecOps ולהפעיל התראות מוגדרות או מחזורי עבודה של SOAR. משביתים את המתג כדי לתעד את הגילויים בלי ליצור התראות. איך מנהלים כללים מאוחדים |
| תזמון הכלל | מגדירים את תדירות ההפעלה של כללים מרובי-אירועים. התזמון משפיע ישירות על זמן האחזור של הזיהוי, וקובע איך נתונים שמגיעים באיחור יעברו עיבוד. מידע נוסף זמין במאמרים תזמון הפעלות של כללים והגדרת תזמונים מותאמים אישית לכללים. |
| YARA-L Retrohunt | מריצים את הכלל על נתוני יומן היסטוריים בטווח זמן מוגדר כדי לחשוף איומים פוטנציאליים שהתרחשו לפני שהכלל הופעל. איך מריצים כלל על נתונים היסטוריים |
| עריכת כלל | כדי לבצע שינויים, פותחים את הטקסט וההגדרות של הכלל בעורך הכללים. |
| צפייה בזיהויים של כלל | פותחים את תצוגת הזיהויים של הכלל כדי לבדוק את הזיהויים שנוצרו על ידי הכלל הזה, את הגרפים של המגמות ואת פרטי האירועים הבסיסיים. |
| העברה לארכיון | הסתרת הכלל והזיהויים שמשויכים אליו מתצוגת ברירת המחדל של לוח הבקרה. הארכיון שומר את נתוני הכלל בלי למחוק אותם, ואפשר לחלץ את הכלל בכל שלב. איך מנהלים כללים מאוחדים |
אפשרויות רענון של מרכז השליטה
כדי לשלוט בתדירות שבה נתוני לוח הבקרה מתעדכנים, לוחצים על האינדיקטור הזמן האחרון שבו בוצע רענון מעל הטבלה:
| אפשרות | תיאור |
|---|---|
| רענון | אחזור מיידי של הנתונים העדכניים ביותר עבור לוח הבקרה. |
| רענון אוטומטי | הגדרת מרווח זמן לרענון אוטומטי של לוח הבקרה:
|
כדי לראות את סטטוסי הכללים ואת מדדי הזיהוי העדכניים ביותר בלי התערבות ידנית, אפשר להגדיר מרווח זמן לרענון אוטומטי.
התאמה אישית של עמודות בטבלה
כדי להתאים אישית את התצוגה של טבלת הכללים, לוחצים על כותרת של עמודה כלשהי כדי לגשת לאפשרויות האלה:
| אפשרות | תיאור |
|---|---|
| שינוי הסדר של העמודות | גוררים את כותרות העמודות כדי לשנות את סדר התצוגה שלהן. |
| שינוי הגודל של העמודות | כדי לשנות את רוחב העמודות, גוררים את הקו שמפריד בין כותרות העמודות. |
| מיון עמודות | כדי למיין את השורות בטבלה בסדר עולה או יורד לפי עמודה מסוימת, לוחצים על כותרת העמודה. |
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.