Présentation des tableaux de bord

Compatible avec :

Ce document fournit un guide technique pour utiliser le moteur Google Security Operations Dashboards afin de créer des visualisations de données à partir de flux de télémétrie disparates.

Le framework des tableaux de bord repose sur une architecture modulaire dans laquelle chaque widget (graphique) interagit avec des sources de données spécifiques à l'aide de la syntaxe YARA-L 2.0. En utilisant les propriétés du schéma YARA-L et les fonctions d'agrégation, vous pouvez créer des visualisations pour la surveillance en temps réel, l'analyse des menaces et l'audit opérationnel.

Pour en savoir plus sur l'infrastructure sous-jacente des tableaux de bord, consultez Présentation des tableaux de bord.

Avant de commencer

Vérifiez que votre instance Google SecOps répond aux exigences de configuration suivantes :

Autorisations IAM requises

Les autorisations suivantes sont requises pour accéder aux tableaux de bord :

Autorisation IAM Objectif
chronicle.nativeDashboards.list Afficher la liste de tous les tableaux de bord
chronicle.nativeDashboards.get Afficher un tableau de bord, appliquer un filtre de tableau de bord et appliquer le filtre global.
chronicle.nativeDashboards.create Créez un tableau de bord.
chronicle.nativeDashboards.duplicate Créez une copie d'un tableau de bord existant.
chronicle.nativeDashboards.update Ajouter et modifier des graphiques, ajouter un filtre, modifier l'accès au tableau de bord et gérer le filtre temporel global.
chronicle.nativeDashboards.delete Supprimer un tableau de bord

Comprendre les tableaux de bord

Les tableaux de bord fournissent des insights sur les événements de sécurité, les détections et les données associées. Cette section décrit les sources de données compatibles et explique comment le contrôle des accès basé sur les rôles (RBAC) affecte la visibilité et l'accès aux données dans les tableaux de bord.

  • investigation
  • response_platform_info
  • case_name
  • feedback_summary
  • feedback_history
  • soar_alert
  • soar_alert_metadata

Sources de données acceptées

Les tableaux de bord incluent les sources de données suivantes, chacune avec son préfixe YARA-L correspondant :

Source de données Intervalle de temps de la requête Préfixe YARA-L Schéma Exemples de tableaux de bord
Historique de la demande 365 jours case_history Champs (SOAR) | Modèle Exemples
Cas et alertes 365 jours case Champs (SOAR) | Modèle Exemples
Détections 365 jours detection Champs | Modèle Exemples
Graphique des entités 365 jours graph Champs | Modèle Exemples
Événements 90 jours no prefix Champs (UDM) | Modèle Exemples
Métriques d'ingestion 365 jours ingestion Champs | Modèle Exemples
IoCs 365 jours ioc Champs | Modèle Exemples
Guides 365 jours playbook Champs (SOAR) | Modèle Exemples
Ensembles de règles 365 jours ruleset Champs | Modèle Exemples
Règles Pas de limite de temps rules Champs | Modèle Exemples
Agent de tri et d'investigation 366 jours gemini_investigation, gemini_investigation_feedback Champs | Modèle Exemples

Impact du contrôle RBAC des données

Le contrôle des accès basé sur les rôles (RBAC) pour les données est un modèle de sécurité qui utilise les rôles des utilisateurs individuels pour restreindre leur accès aux données d'une organisation. Le RBAC des données permet aux administrateurs de définir des niveaux d'accès et de les attribuer aux utilisateurs, ce qui garantit que l'accès est limité aux seules données nécessaires à leurs fonctions. Toutes les requêtes dans les tableaux de bord suivent les règles RBAC des données. Pour en savoir plus sur les contrôles d'accès et les niveaux d'accès, consultez Contrôles d'accès et niveaux d'accès dans le RBAC des données. Pour en savoir plus sur le contrôle des accès basé sur les rôles pour les données des tableaux de bord, consultez Configurer le contrôle des accès basé sur les rôles pour les données des tableaux de bord.

Événements, graphique des entités et correspondances IoC

Les données renvoyées par ces sources sont limitées aux niveaux d'accès attribués à l'utilisateur. Il ne voit donc que les résultats provenant des données autorisées. Si un utilisateur dispose de plusieurs niveaux d'accès, les requêtes incluent les données de tous les niveaux d'accès attribués. Les données en dehors des niveaux d'accès de l'utilisateur n'apparaissent pas dans les résultats de recherche du tableau de bord.

Règles

Les utilisateurs ne peuvent voir que les règles associées aux niveaux d'accès qui leur ont été attribués.

Détections et ensembles de règles avec détections

Les détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées à leurs niveaux d'accès. Les ensembles de règles avec détections ne sont visibles que par les utilisateurs mondiaux.

Sources de données SOAR

Les demandes et leur historique sont compatibles avec le contrôle des accès basé sur les rôles (RBAC). Les données de visualisation sont automatiquement filtrées pour correspondre aux niveaux d'accès aux données attribués à un utilisateur. Les playbooks et les alertes ne restent visibles que pour les utilisateurs généraux. Remarque : Le filtrage RBAC s'applique strictement aux nouvelles demandes contenant des données sur le champ d'application. Elle ne s'applique pas rétroactivement aux cas historiques pour lesquels les données sur le champ d'application sont manquantes.

Métriques d'ingestion

Les composants d'ingestion sont des services ou des pipelines qui importent les journaux dans la plate-forme à partir des flux de journaux sources. Chaque composant collecte un ensemble spécifique de champs de journaux dans son propre schéma de métriques d'ingestion.

Les administrateurs peuvent utiliser le RBAC pour les métriques d'ingestion afin de limiter la visibilité des données sur l'état du système, telles que le volume d'ingestion, les erreurs et le débit, en fonction du champ d'activité d'un utilisateur.

Le tableau de bord "Ingestion et état des données" utilise des niveaux d'accès aux données. Lorsqu'un utilisateur avec un accès limité charge le tableau de bord, le système filtre automatiquement les métriques pour n'afficher que les données correspondant aux libellés qui lui sont attribués.

Vous pouvez filtrer les résultats à l'aide des libellés suivants :

  • Espace de noms : méthode principale de ségrégation (par exemple, Eu-Prod, Alpha-Corp).
  • Type de journal : ségrégation basée sur les rôles (par exemple, GCP_VPC_FLOW, CROWDSTRIKE_EDR).
  • Source d'ingestion : suivi précis des sources (par exemple, ID de l'expéditeur spécifique).

Types de journaux inattendus dans les métriques d'ingestion

Certains tableaux de bord peuvent afficher des entrées pour des types de journaux tels que UNSPECIFIED_LOG_TYPE ou des identifiants internes, y compris LT_X (où X est un nombre). Ces identifiants LT_X sont utilisés dans le système Google SecOps pour identifier de manière unique les types de journaux personnalisés créés par un client.

Ces entrées peuvent s'afficher même si l'ingestion ou l'analyse complètes des données pour ces types de journaux spécifiques n'ont pas été effectuées. Cela se produit, car certaines métriques système sont enregistrées, quel que soit l'état d'ingestion final.

Pour vous concentrer sur les données ingérées et analysées avec succès, vous pouvez utiliser les fonctionnalités de filtrage de l'interface du tableau de bord pour exclure ou filtrer spécifiquement UNSPECIFIED_LOG_TYPE et d'autres identifiants de type de journal interne inattendus de vos vues.

Limites

  • Libellé personnalisé : si vous attribuez un champ d'application utilisateur contenant un libellé personnalisé (par exemple, un libellé créé à l'aide d'une expression régulière UDM ou de tables de données), le RBAC est automatiquement désactivé pour les métriques d'ingestion de cet utilisateur. Par conséquent, l'utilisateur ne verra aucune donnée dans ses tableaux de bord. Pour les champs d'application de surveillance de l'ingestion, vous ne devez utiliser que des libellés standards tels que "Type de journal", "Espace de noms" et "Source d'ingestion".

  • Limitation de la source d'ingestion : le filtrage par source d'ingestion ne s'applique qu'à la métrique "Nombre de journaux". Les graphiques affichant des métriques sur la bande passante (en octets) ou les taux d'erreur peuvent ne montrer aucune donnée s'ils sont filtrés strictement par source d'ingestion. Google recommande de filtrer par espace de noms pour une surveillance de l'état plus large.

Fonctionnalités avancées et surveillance

Pour affiner les détections et améliorer la visibilité, vous pouvez utiliser des configurations avancées, telles que les règles YARA-L 2.0 et les métriques d'ingestion. Cette section explore ces insights sur les fonctionnalités, ce qui vous aide à optimiser l'efficacité de la détection et à surveiller le traitement des données.

Propriétés YARA-L 2.0

YARA-L 2.0 présente les propriétés uniques suivantes lorsqu'il est utilisé dans les tableaux de bord :

  • Des sources de données supplémentaires, telles que le graphique d'entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Certaines de ces sources de données ne sont pas encore disponibles dans les règles YARA-L ni dans la recherche UDM (Unified Data Model).

  • Consultez les fonctions YARA-L 2.0 pour les tableaux de bord Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques.

  • La requête dans YARA-L 2.0 doit contenir une section match ou outcome, ou les deux.

  • La section events d'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.

  • La section condition d'une règle YARA-L n'est pas disponible pour les tableaux de bord.

  • Les tableaux de bord ne sont pas compatibles avec les règles de la catégorie "Analyse des risques pour UEBA".

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.