Descripción general de los paneles
En este documento, se proporciona una guía técnica para usar el motor de paneles de Google Security Operations y crear visualizaciones de datos en transmisiones de telemetría dispares.
El framework de paneles se basa en una arquitectura modular en la que los widgets individuales (gráficos) interactúan con fuentes de datos específicas mediante la sintaxis de YARA-L 2.0. Con las propiedades del esquema de YARA-L y las funciones de agregación, puedes crear visualizaciones para la supervisión en tiempo real, el análisis de amenazas y la auditoría operativa.
Para obtener más información sobre la infraestructura subyacente del panel, consulta la descripción general de los paneles.
Antes de comenzar
Confirma que tu instancia de Google SecOps cumpla con los siguientes requisitos de configuración:
Configura un Google Cloud proyecto o migra tu instancia de Google SecOps a un proyecto de Cloud existente.
Configura un proveedor de identidad de Google Cloud Identity o un proveedor de identidad (IdP) de terceros.
Configura el control de acceso a las funciones con Identity and Access Management.
Permisos de IAM obligatorios
Se requieren los siguientes permisos para acceder a los paneles:
| Permisos de IAM | Objetivo |
|---|---|
chronicle.nativeDashboards.list |
Ver la lista de todos los paneles. |
chronicle.nativeDashboards.get |
Ver un panel, aplicar un filtro de panel, y aplicar el filtro global. |
chronicle.nativeDashboards.create |
Crear un panel nuevo |
chronicle.nativeDashboards.duplicate |
Realizar una copia de un panel existente |
chronicle.nativeDashboards.update |
Agregar y editar gráficos, agregar un filtro, cambiar el acceso al panel, y administrar el filtro de tiempo global. |
chronicle.nativeDashboards.delete |
Borrar un panel. |
Información sobre los paneles
Los paneles proporcionan estadísticas sobre eventos de seguridad, detecciones y datos relacionados. En esta sección, se describen las fuentes de datos compatibles y se explica cómo el control de acceso basado en roles (RBAC) afecta la visibilidad y el acceso a los datos dentro de los paneles.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Fuentes de datos compatibles
Los paneles incluyen las siguientes fuentes de datos, cada una con su prefijo YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de consulta | Prefijo YARA-L | Esquema | Ejemplos de paneles |
|---|---|---|---|---|
| Historial de casos | 365 días | case_history |
Campos (SOAR) | Plantilla | Ejemplos |
| Casos y alertas | 365 días | case |
Campos (SOAR) | Plantilla | Ejemplos |
| Detecciones | 365 días | detection |
Campos | Plantilla | Ejemplos |
| Gráfico de entidad | 365 días | graph |
Campos | Plantilla | Ejemplos |
| Eventos | 90 días | no prefix |
Campos (UDM) | Plantilla | Ejemplos |
| Métricas de transferencia | 365 días | ingestion |
Campos | Plantilla | Ejemplos |
| IoCs | 365 días | ioc |
Campos | Plantilla | Ejemplos |
| Guías | 365 días | playbook |
Campos (SOAR) | Plantilla | Ejemplos |
| Conjuntos de reglas | 365 días | ruleset |
Campos | Plantilla | Ejemplos |
| Reglas | Sin límite de tiempo | rules |
Campos | Plantilla | Ejemplos |
| Agente de clasificación e investigación | 366 días | gemini_investigation, gemini_investigation_feedback |
Campos | Plantilla | Ejemplos |
Impacto del RBAC de datos
El control de acceso basado en roles (RBAC) de datos es un modelo de seguridad que usa roles de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. El RBAC de datos permite que los administradores definan alcances y los asignen a los usuarios, lo que garantiza que el acceso se limite solo a los datos necesarios para sus funciones laborales. Todas las consultas de los paneles siguen las reglas de RBAC de datos. Para obtener más información sobre los controles de acceso y los alcances, consulta Controles de acceso y alcances en el RBAC de datos. Para obtener más información sobre el RBAC de datos para paneles, consulta Configura el RBAC de datos para paneles
Eventos, gráfico de entidad y coincidencias de IOC
Los datos que se muestran de estas fuentes se restringen a los alcances de acceso asignados al usuario, lo que garantiza que solo vea los resultados de los datos autorizados. Si un usuario tiene varios alcances, las consultas incluyen datos de todos los alcances asignados. Los datos fuera de los alcances accesibles del usuario no aparecen en los resultados de la búsqueda del panel.
Reglas
Los usuarios solo pueden ver las reglas asociadas con sus alcances asignados.
Detección y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan en reglas asociadas con sus alcances asignados. Los conjuntos de reglas con detecciones solo son visibles para los usuarios globales.
Fuentes de datos de SOAR
Los casos y el historial de casos admiten el control de acceso basado en roles (RBAC) que filtra automáticamente los datos de visualización para que coincidan con los alcances de acceso a los datos asignados a un usuario. Las guías y las alertas solo siguen siendo visibles para los usuarios globales. Nota: El filtrado de RBAC se aplica estrictamente a los casos nuevos que contienen datos de alcance. No se aplica de forma retroactiva a los casos históricos que carecen de datos de alcance.
Métricas de transferencia
Los componentes de transferencia son servicios o canalizaciones que incorporan registros a la plataforma desde feeds de registros de origen. Cada componente recopila un conjunto específico de campos de registro dentro de su propio esquema de métricas de transferencia.
Los administradores pueden usar RBAC para las métricas de transferencia para restringir la visibilidad de los datos de estado del sistema, como el volumen de transferencia, los errores y el rendimiento, según el alcance comercial de un usuario.
El panel de transferencia y estado de datos usa alcances de acceso a los datos. Cuando un usuario con alcance carga el panel, el sistema filtra automáticamente las métricas para mostrar solo los datos que coinciden con las etiquetas asignadas.
Puedes filtrar con las siguientes etiquetas:
- Espacio de nombres: Es el método principal de segregación (por ejemplo,
Eu-Prod,Alpha-Corp). - Tipo de registro: Es la segregación basada en roles (por ejemplo,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Fuente de transferencia: Es el seguimiento detallado de la fuente (por ejemplo, el ID de reenvío específico).
Tipos de registros inesperados en las métricas de transferencia
Es posible que algunos paneles muestren entradas para tipos de registros como UNSPECIFIED_LOG_TYPE o identificadores internos, incluido LT_X (donde X es un número). Estos identificadores LT_X se usan dentro del sistema de Google SecOps para identificar de forma única los tipos de registros personalizados creados por un cliente.
Estas entradas pueden aparecer incluso si no se completó correctamente la transferencia de datos o el análisis para estos tipos de registros específicos. Esto sucede porque se registran ciertas métricas del sistema, independientemente del estado final de la transferencia.
Para enfocarte en los datos transferidos y analizados correctamente, puedes usar las capacidades de filtrado dentro de la interfaz del panel para excluir o filtrar específicamente UNSPECIFIED_LOG_TYPE y otros identificadores de tipo de registro interno inesperados de tus vistas.
Limitaciones
Etiqueta personalizada: Si se asigna un alcance de usuario que contiene una etiqueta personalizada, como una etiqueta creada con una expresión regular de UDM o tablas de datos, se inhabilita automáticamente el RBAC para las métricas de transferencia de ese usuario. Como resultado, el usuario no verá ningún dato en sus paneles. Para los alcances de supervisión de transferencia, debes usar solo etiquetas estándar, como Tipo de registro, Espacio de nombres y Fuente de transferencia.
Limitación de la fuente de transferencia: El filtrado por fuente de transferencia solo se aplica a la métrica de recuento de registros. Es posible que los gráficos que muestran el ancho de banda (bytes) o las métricas de tasas de error no muestren datos si se filtran estrictamente por fuente de transferencia. Google recomienda filtrar por espacio de nombres para una supervisión de estado más amplia.
Funciones y supervisión avanzadas
Para ajustar las detecciones y mejorar la visibilidad, puedes usar configuraciones avanzadas, como las reglas de YARA-L 2.0 y las métricas de transferencia. En esta sección, se exploran estas estadísticas de funciones, lo que te ayuda a optimizar la eficiencia de la detección y supervisar el procesamiento de datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en los paneles:
En los paneles, están disponibles fuentes de datos adicionales, como el gráfico de entidad, las métricas de transferencia, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda del modelo de datos unificado (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla de YARA-L es implícita y no es necesario declararla en las consultas.La sección
conditionde una regla de YARA-L no está disponible para los paneles.Los paneles no admiten reglas de la categoría Risk Analytics for UEBA.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.