Dashboards – Übersicht
Dieses Dokument enthält eine technische Anleitung zur Verwendung der Google Security Operations Dashboards-Engine zum Erstellen von Datenvisualisierungen für unterschiedliche Telemetriestreams.
Das Dashboards-Framework basiert auf einer modularen Architektur, in der einzelne Widgets (Diagramme) über die YARA-L 2.0-Syntax mit bestimmten Datenquellen interagieren. Mithilfe der YARA-L-Schemaeigenschaften und Aggregationsfunktionen können Sie Visualisierungen für Echtzeit-Monitoring, Bedrohungsanalyse und operative Audits erstellen.
Weitere Informationen zur zugrunde liegenden Dashboard-Infrastruktur finden Sie in der Dashboard-Übersicht.
Hinweise
Prüfen Sie, ob Ihre Google SecOps-Instanz die folgenden Konfigurationsanforderungen erfüllt:
Konfigurieren Sie ein Google Cloud Projekt oder migrieren Sie Ihre Google SecOps-Instanz zu einem vorhandenen Cloud-Projekt.
Konfigurieren Sie einen Google Cloud-Identitätsanbieter oder einen Identitätsanbieter eines Drittanbieters.
Funktionszugriff mit Identity and Access Management konfigurieren
Erforderliche IAM-Berechtigungen
Die folgenden Berechtigungen sind für den Zugriff auf Dashboards erforderlich:
| IAM-Berechtigung | Zweck |
|---|---|
chronicle.nativeDashboards.list |
Liste aller Dashboards ansehen |
chronicle.nativeDashboards.get |
Dashboard ansehen, Dashboardfilter anwenden und globalen Filter anwenden. |
chronicle.nativeDashboards.create |
Neues Dashboard erstellen |
chronicle.nativeDashboards.duplicate |
Kopie eines vorhandenen Dashboards erstellen |
chronicle.nativeDashboards.update |
Diagramme hinzufügen und bearbeiten, Filter hinzufügen, Dashboardzugriff ändern und globalen Zeitfilter verwalten. |
chronicle.nativeDashboards.delete |
Dashboard löschen |
Dashboards
Dashboards bieten Einblicke in Sicherheitsereignisse, Erkennungen und zugehörige Daten. In diesem Abschnitt werden die unterstützten Datenquellen beschrieben und es wird erläutert, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die Sichtbarkeit und den Datenzugriff in den Dashboards auswirkt.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Unterstützte Datenquellen
Dashboards enthalten die folgenden Datenquellen mit dem entsprechenden YARA-L-Präfix:
| Datenquelle | Zeitintervall für Abfragen | YARA-L-Präfix | Schema | Beispiele für Dashboards |
|---|---|---|---|---|
| Ereignisse | 90 Tage | no prefix |
Felder (UDM) | Vorlage | Beispiele |
| Entitätsdiagramm | 365 Tage | graph |
Felder | Vorlage | Beispiele |
| Messwerte zur Datenaufnahme | 365 Tage | ingestion |
Felder | Vorlage | Beispiele |
| Anfragen und Benachrichtigungen | 365 Tage | case |
Felder (SOAR) | Vorlage | Beispiele |
| Verlauf der Anfrage | 365 Tage | case_history |
Felder (SOAR) | Vorlage | Beispiele |
| Playbooks | 365 Tage | playbook |
Felder (SOAR) | Vorlage | Beispiele |
| Erkennungen | 365 Tage | detection |
Felder | Vorlage | Beispiele |
| Regeln | Kein Zeitlimit | rules |
Felder | Vorlage | Beispiele |
| Regelsätze | 365 Tage | ruleset |
Felder | Vorlage | Beispiele |
| IoCs | 365 Tage | ioc |
Felder | Vorlage | Beispiele |
Auswirkungen von RBAC für Daten
Die datenbasierte rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) ist ein Sicherheitsmodell, bei dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe von individuellen Nutzerrollen eingeschränkt wird. Mit der rollenbasierten Zugriffssteuerung für Daten können Administratoren Bereiche definieren und Nutzern zuweisen. So wird der Zugriff auf die für ihre Aufgaben erforderlichen Daten beschränkt. Für alle Abfragen in Dashboards gelten die RBAC-Regeln für Daten. Weitere Informationen zu Zugriffssteuerungen und Bereichen finden Sie unter Zugriffssteuerungen und Bereiche in der rollenbasierten Zugriffssteuerung für Daten. Weitere Informationen zu datenbezogenem RBAC für Dashboards finden Sie unter Datenbezogenes RBAC für Dashboards konfigurieren.
Ereignisse, Entity Graph und IOC-Übereinstimmungen
Die von diesen Quellen zurückgegebenen Daten sind auf die dem Nutzer zugewiesenen Zugriffsbereiche beschränkt. So werden nur Ergebnisse aus autorisierten Daten angezeigt. Wenn ein Nutzer mehrere Bereiche hat, enthalten Abfragen Daten aus allen zugewiesenen Bereichen. Daten, die außerhalb der für den Nutzer zugänglichen Bereiche liegen, werden nicht in den Suchergebnissen des Dashboards angezeigt.
Regeln
Nutzer können nur Regeln sehen, die mit ihren zugewiesenen Bereichen verknüpft sind.
Erkennung und Regelsätze mit Erkennungen
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die auf Regeln basieren, die mit ihren zugewiesenen Bereichen verknüpft sind. Die Regelsätze mit erkannten Verstößen sind nur für globale Nutzer sichtbar.
SOAR-Datenquellen
Fälle und Benachrichtigungen, Playbooks und der Fallverlauf sind nur für globale Nutzer sichtbar.
Messwerte zur Datenaufnahme
Aufnahmekomponenten sind Dienste oder Pipelines, die Logs aus Quell-Logfeeds in die Plattform übertragen. Jede Komponente erfasst eine bestimmte Gruppe von Logfeldern in ihrem eigenen Schema für Ingestionsmesswerte.
Administratoren können die rollenbasierte Zugriffssteuerung für Messwerte zur Aufnahme verwenden, um die Sichtbarkeit von Daten zum Systemzustand wie Aufnahmevolumen, Fehler und Durchsatz basierend auf dem Geschäftsbereich eines Nutzers einzuschränken.
Für das Dashboard „Data Ingestion and Health“ werden Data Access-Bereiche verwendet. Wenn ein Nutzer mit eingeschränktem Zugriff das Dashboard lädt, werden die Messwerte automatisch gefiltert, sodass nur Daten angezeigt werden, die den zugewiesenen Labels entsprechen.
Sie können nach den folgenden Labels filtern:
- Namespace: Die primäre Methode zur Trennung (z. B.
Eu-Prod,Alpha-Corp). - Protokolltyp: Rollenbasierte Trennung (z. B.
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Aufnahmequelle: Granulare Quellenverfolgung (z. B. bestimmte Spediteur-ID).
Beschränkungen
Benutzerdefiniertes Label: Wenn einem Nutzerbereich, der ein benutzerdefiniertes Label enthält, ein Nutzer zugewiesen wird, z. B. ein Label, das mit einem UDM-regulären Ausdruck oder Datentabellen erstellt wurde, wird die rollenbasierte Zugriffssteuerung für Erfassungs-Messwerte für diesen Nutzer automatisch deaktiviert. Daher sehen Nutzer keine Daten in ihren Dashboards. Für Bereiche zur Überwachung der Aufnahme dürfen Sie nur Standardlabels wie „Log Type“, „Namespace“ und „Ingestion Source“ verwenden.
Einschränkung bei der Aufnahmequelle: Das Filtern nach Aufnahmequelle gilt nur für den Messwert „Anzahl der Logs“. In Diagrammen mit Messwerten für Bandbreite (Bytes) oder Fehlerraten werden möglicherweise keine Daten angezeigt, wenn sie streng nach der Quelle der Datenaufnahme gefiltert werden. Google empfiehlt, für eine umfassendere Systemdiagnose nach Namespace zu filtern.
Erweiterte Funktionen und Monitoring
Mit erweiterten Konfigurationen wie YARA-L 2.0-Regeln und Aufnahmemesswerten können Sie die Erkennung optimieren und die Sichtbarkeit verbessern. In diesem Abschnitt werden diese Statistiken zu Funktionen erläutert, damit Sie die Effizienz der Erkennung optimieren und die Datenverarbeitung überwachen können.
YARA-L 2.0-Eigenschaften
YARA-L 2.0 hat die folgenden einzigartigen Eigenschaften, wenn es in Dashboards verwendet wird:
Zusätzliche Datenquellen wie Entity-Diagramme, Ingestion-Messwerte, Regelsätze und Erkennungen sind in Dashboards verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und UDM-Suchen (Unified Data Model) verfügbar.
Weitere Informationen finden Sie unter YARA-L 2.0-Funktionen für Google Security Operations-Dashboards und Aggregatfunktionen, die statistische Messwerte enthalten.
Die Abfrage in YARA-L 2.0 muss einen
match- oder einenoutcome-Abschnitt oder beides enthalten.Der
events-Abschnitt einer YARA-L-Regel ist impliziert und muss nicht in Abfragen deklariert werden.Der
condition-Abschnitt einer YARA-L-Regel ist für Dashboards nicht verfügbar.Dashboards unterstützen keine Regeln aus der Kategorie „Risk Analytics for UEBA“.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten