Ringkasan dasbor
Dokumen ini memberikan panduan teknis untuk menggunakan mesin Dasbor Google Security Operations guna membuat visualisasi data di berbagai aliran telemetri.
Framework Dasbor dibangun berdasarkan arsitektur modular tempat widget individual (diagram) berinteraksi dengan sumber data tertentu menggunakan sintaksis YARA-L 2.0. Dengan menggunakan properti skema YARA-L dan fungsi agregasi, Anda dapat membuat visualisasi untuk pemantauan real-time, analisis ancaman, dan audit operasional.
Untuk mempelajari infrastruktur dasbor yang mendasarinya secara mendalam, lihat Ringkasan dasbor.
Sebelum memulai
Pastikan instance Google SecOps Anda memenuhi persyaratan konfigurasi berikut:
Mengonfigurasi Google Cloud project atau memigrasikan instance Google SecOps Anda ke project cloud yang ada.
Mengonfigurasi penyedia identitas Google Cloud atau penyedia identitas (IdP) pihak ketiga.
Mengonfigurasi kontrol akses fitur menggunakan Identity and Access Management.
Diperlukan izin IAM
Izin berikut diperlukan untuk mengakses dasbor:
| Izin IAM | Tujuan |
|---|---|
chronicle.nativeDashboards.list |
Melihat daftar semua dasbor. |
chronicle.nativeDashboards.get |
Melihat dasbor, menerapkan filter dasbor, dan menerapkan filter global. |
chronicle.nativeDashboards.create |
Membuat dasbor baru. |
chronicle.nativeDashboards.duplicate |
Membuat salinan dasbor yang ada. |
chronicle.nativeDashboards.update |
Menambahkan dan mengedit diagram, menambahkan filter, mengubah akses dasbor, dan mengelola filter waktu global. |
chronicle.nativeDashboards.delete |
Menghapus dasbor. |
Memahami dasbor
Dasbor memberikan insight tentang peristiwa keamanan, deteksi, dan data terkait. Bagian ini menguraikan sumber data yang didukung dan menjelaskan pengaruh role-based access control (RBAC) terhadap visibilitas dan akses data dalam dasbor.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Sumber data yang didukung
Dasbor mencakup sumber data berikut, yang masing-masing memiliki awalan YARA-L yang sesuai:
| Sumber data | Interval waktu kueri | Awalan YARA-L | Skema | Contoh dasbor |
|---|---|---|---|---|
| Histori kasus | 365 hari | case_history |
Kolom (SOAR) | Template | Contoh |
| Kasus dan pemberitahuan | 365 hari | case |
Kolom (SOAR) | Template | Contoh |
| Deteksi | 365 hari | detection |
Kolom | Template | Contoh |
| Grafik Entity | 365 hari | graph |
Kolom | Template | Contoh |
| Peristiwa | 90 hari | no prefix |
Kolom (UDM) | Template | Contoh |
| Metrik penyerapan | 365 hari | ingestion |
Kolom | Template | Contoh |
| IoCs | 365 hari | ioc |
Kolom | Template | Contoh |
| Playbook | 365 hari | playbook |
Kolom (SOAR) | Template | Contoh |
| Kumpulan aturan | 365 hari | ruleset |
Kolom | Template | Contoh |
| Aturan | Tidak ada batas waktu | rules |
Kolom | Template | Contoh |
| Agent Penilai Tingkat Prioritas dan Penyelidikan | 366 hari | gemini_investigation, gemini_investigation_feedback |
Kolom | Template | Contoh |
Dampak RBAC data
Role-based access control (RBAC) data adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. RBAC data memungkinkan administrator menentukan cakupan dan menetapkannya kepada pengguna, sehingga akses hanya dibatasi untuk data yang diperlukan untuk fungsi tugas mereka. Semua kueri di dasbor mengikuti aturan RBAC data. Untuk mengetahui informasi selengkapnya tentang kontrol akses dan cakupan, lihat Kontrol akses dan cakupan di RBAC data. Untuk mengetahui informasi selengkapnya tentang RBAC data untuk dasbor, lihat Mengonfigurasi RBAC data untuk dasbor
Peristiwa, grafik entity, dan kecocokan IOC
Data yang ditampilkan dari sumber ini dibatasi untuk cakupan akses yang ditetapkan pengguna, sehingga mereka hanya melihat hasil dari data yang diotorisasi. Jika pengguna memiliki beberapa cakupan, kueri akan menyertakan data dari semua cakupan yang ditetapkan. Data di luar cakupan yang dapat diakses pengguna tidak akan muncul di hasil penelusuran dasbor.
Aturan
Pengguna hanya dapat melihat aturan yang terkait dengan cakupan yang ditetapkan untuk mereka.
Deteksi dan kumpulan aturan dengan deteksi
Deteksi dibuat saat data keamanan yang masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Kumpulan aturan dengan deteksi hanya dapat dilihat oleh pengguna global.
Sumber data SOAR
Kasus dan histori kasus mendukung Role-Based Access Control (RBAC) yang secara otomatis memfilter data visualisasi agar sesuai dengan cakupan akses data yang ditetapkan untuk pengguna. Playbook dan pemberitahuan hanya dapat dilihat oleh pengguna global. Catatan: Pemfilteran RBAC hanya berlaku untuk kasus baru yang berisi data cakupan. Pemfilteran ini tidak berlaku secara retroaktif untuk kasus historis yang tidak memiliki data cakupan.
Metrik penyerapan
Komponen penyerapan adalah layanan atau pipeline yang memasukkan log ke platform dari feed log sumber. Setiap komponen mengumpulkan kumpulan kolom log tertentu dalam skema metrik penyerapan miliknya sendiri.
Administrator dapat menggunakan RBAC untuk metrik penyerapan guna membatasi visibilitas data kesehatan sistem, seperti volume penyerapan, error, dan throughput, berdasarkan cakupan bisnis pengguna.
Dasbor Penyerapan Data dan Kesehatan menggunakan cakupan Akses Data. Saat pengguna dengan cakupan memuat dasbor, sistem akan otomatis memfilter metrik untuk hanya menampilkan data yang cocok dengan label yang ditetapkan untuknya.
Anda dapat memfilter menggunakan label berikut:
- Namespace: Metode utama untuk pemisahan (misalnya,
Eu-Prod,Alpha-Corp). - Jenis Log: Pemisahan berbasis peran (misalnya,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Sumber Penyerapan: Pelacakan sumber terperinci (misalnya, ID penerus tertentu).
Jenis log yang tidak terduga dalam metrik penyerapan
Beberapa dasbor mungkin menampilkan entri untuk jenis log seperti UNSPECIFIED_LOG_TYPE atau ID internal, termasuk LT_X (dengan X adalah angka). ID LT_X ini digunakan dalam sistem Google SecOps untuk mengidentifikasi jenis log kustom yang dibuat oleh pelanggan secara unik.
Entri ini dapat muncul meskipun penyerapan atau penguraian data lengkap untuk jenis log tertentu ini belum berhasil diselesaikan. Hal ini terjadi karena metrik sistem tertentu dicatat terlepas dari status penyerapan akhir.
Untuk berfokus pada data yang berhasil diserap dan diuraikan, Anda dapat menggunakan kemampuan pemfilteran dalam antarmuka dasbor untuk mengecualikan atau memfilter secara khusus UNSPECIFIED_LOG_TYPE dan ID jenis log internal lainnya yang tidak terduga dari tampilan Anda.
Batasan
Label kustom: Menetapkan cakupan pengguna yang berisi label kustom—seperti label yang dibuat menggunakan ekspresi reguler UDM atau tabel data—akan otomatis menonaktifkan RBAC untuk metrik penyerapan bagi pengguna tersebut. Akibatnya, pengguna tidak akan melihat data apa pun di dasbornya. Untuk cakupan pemantauan penyerapan, Anda hanya boleh menggunakan label standar seperti Jenis Log, Namespace, dan Sumber Penyerapan.
Batasan sumber penyerapan: Pemfilteran menurut sumber penyerapan hanya berlaku untuk metrik Jumlah Log. Diagram yang menampilkan metrik bandwidth (byte) atau rasio error mungkin tidak menampilkan data jika difilter secara ketat menurut sumber penyerapan. Google merekomendasikan pemfilteran menurut Namespace untuk pemantauan kesehatan yang lebih luas.
Fitur dan pemantauan lanjutan
Untuk menyempurnakan deteksi dan meningkatkan visibilitas, Anda dapat menggunakan konfigurasi lanjutan, seperti aturan YARA-L 2.0 dan metrik penyerapan. Bagian ini membahas insight fitur ini, yang membantu Anda mengoptimalkan efisiensi deteksi dan memantau pemrosesan data.
Properti YARA-L 2.0
YARA-L 2.0 memiliki properti unik berikut saat digunakan di dasbor:
Sumber data tambahan, seperti grafik entity, metrik penyerapan, kumpulan aturan, dan deteksi tersedia di dasbor. Beberapa sumber data ini belum tersedia di aturan YARA-L dan penelusuran Model Data Terpadu (UDM).
Lihat fungsi YARA-L 2.0 untuk dasbor Google Security Operations dan fungsi agregat yang menyertakan ukuran statistik.
Kueri di YARA-L 2.0 harus berisi bagian
matchatauoutcome, atau keduanya.Bagian
eventsdari aturan YARA-L tersirat dan tidak perlu dideklarasikan dalam kueri.Bagian
conditiondari aturan YARA-L tidak tersedia untuk dasbor.Dasbor tidak mendukung aturan dari kategori Analisis Risiko untuk UEBA.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.