Descripción general de los paneles
En este documento, se explica cómo usar la función Paneles de Google Security Operations para crear visualizaciones en diferentes fuentes de datos. Se compone de diferentes gráficos que se completan con propiedades de YARA-L 2.0.
Antes de comenzar
Asegúrate de que tu instancia de Google SecOps tenga habilitadas las siguientes opciones:
Configura un Google Cloud proyectoo migra tu instancia de Google SecOps a un proyecto de Cloud existente.
Configura un proveedor de identidad de Google Cloud o un proveedor de identidad externo.
Permisos de IAM obligatorios
Se requieren los siguientes permisos para acceder a los paneles:
| Permisos de IAM | Objetivo |
|---|---|
chronicle.nativeDashboards.list |
Consulta la lista de todos los paneles. |
chronicle.nativeDashboards.get |
Ver un panel, aplicar un filtro del panel y aplicar el filtro global |
chronicle.nativeDashboards.create |
Crea un panel nuevo. |
chronicle.nativeDashboards.duplicate |
Crea una copia de un panel existente. |
chronicle.nativeDashboards.update |
Agregar y editar gráficos, agregar un filtro, cambiar el acceso al panel y administrar el filtro de tiempo global |
chronicle.nativeDashboards.delete |
Borra un panel. |
Información sobre los paneles
Los paneles proporcionan estadísticas sobre los eventos de seguridad, las detecciones y los datos relacionados. En esta sección, se describen las fuentes de datos admitidas y se explica cómo el control de acceso basado en roles (RBAC) afecta la visibilidad y el acceso a los datos dentro de los paneles.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Fuentes de datos compatibles
Los paneles incluyen las siguientes fuentes de datos, cada una con su prefijo de YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de la consulta | Prefijo de YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | no prefix |
Campos |
| Gráfico de entidades | 365 días | graph |
Campos |
| Métricas de transferencia | 365 días | ingestion |
Campos |
| Conjuntos de reglas | 365 días | ruleset |
Campos |
| Detecciones | 365 días | detection |
Campos |
| IOC | 365 días | ioc |
Campos |
| Reglas | Sin límite de tiempo | rules |
Campos |
| Casos y alertas | 365 días | case |
Campos |
| Guía | 365 días | playbook |
Campos |
| Historial de casos | 365 días | case_history |
Campos |
Impacto del RBAC de datos
El control de acceso basado en roles (RBAC) de datos es un modelo de seguridad que utiliza roles de usuario individuales para restringir el acceso de los usuarios a los datos dentro de una organización. El RBAC de datos permite que los administradores definan alcances y los asignen a los usuarios, lo que garantiza que el acceso se limite solo a los datos necesarios para sus funciones laborales. Todas las consultas en los paneles siguen las reglas del RBAC de datos. Para obtener más información sobre los controles y los permisos de acceso, consulta Controles y permisos de acceso en el RBAC de datos. Para obtener más información sobre el RBAC de datos para los paneles, consulta Cómo configurar el RBAC de datos para los paneles.
Eventos, gráfico de entidades y coincidencias de IOC
Los datos que se muestran de estas fuentes se restringen a los permisos de acceso asignados al usuario, lo que garantiza que solo vea resultados de datos autorizados. Si un usuario tiene varios permisos, las consultas incluyen datos de todos los permisos asignados. Los datos fuera de los alcances accesibles para el usuario no aparecen en los resultados de la búsqueda del panel.
Reglas
Los usuarios solo pueden ver las reglas asociadas con los permisos asignados.
Detección y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que se originan a partir de reglas asociadas con los permisos que se les asignaron. Los conjuntos de reglas con detecciones solo son visibles para los usuarios globales.
Fuentes de datos de SOAR
Los casos y las alertas, las guías y el historial de casos solo son visibles para los usuarios globales.
Métricas de transferencia
Los componentes de transferencia son servicios o canalizaciones que incorporan registros a la plataforma desde feeds de registros fuente. Cada componente recopila un conjunto específico de campos de registro dentro de su propio esquema de métricas de transferencia.
Los administradores pueden usar el RBAC para las métricas de transferencia para restringir la visibilidad de los datos de estado del sistema, como el volumen de transferencia, los errores y el rendimiento, según el alcance comercial de un usuario.
El panel de Data Ingestion and Health usa los permisos de acceso a los datos. Cuando un usuario con alcance carga el panel, el sistema filtra automáticamente las métricas para mostrar solo los datos que coinciden con las etiquetas asignadas.
Puedes filtrar con las siguientes etiquetas:
- Espacio de nombres: Es el método principal de segregación (por ejemplo,
Eu-Prod,Alpha-Corp). - Tipo de registro: Segregación basada en roles (por ejemplo,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Fuente de la transferencia: Es el seguimiento detallado de la fuente (por ejemplo, el ID específico del reenvío).
Limitaciones
Etiqueta personalizada: Asignar un alcance del usuario que contenga una etiqueta personalizada, como una etiqueta creada con una expresión regular de UDM o tablas de datos, inhabilita automáticamente el RBAC para las métricas de transferencia de datos de ese usuario. Como resultado, el usuario no verá ningún dato en sus paneles. Para los alcances de supervisión de la transferencia, solo debes usar etiquetas estándar, como Log Type, Namespace y Ingestion Source.
Limitación de la fuente de transferencia: El filtrado por fuente de transferencia solo se aplica a la métrica de recuento de registros. Es posible que los gráficos que muestran métricas de ancho de banda (bytes) o tasas de error no muestren datos si se filtran estrictamente por la fuente de transferencia. Google recomienda filtrar por espacio de nombres para una supervisión del estado más amplia.
Funciones avanzadas y supervisión
Para ajustar las detecciones y mejorar la visibilidad, puedes usar configuraciones avanzadas, como las reglas de YARA-L 2.0 y las métricas de transferencia. En esta sección, se exploran estas estadísticas de funciones, lo que te ayuda a optimizar la eficiencia de la detección y supervisar el procesamiento de datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en los paneles:
En los paneles, hay disponibles fuentes de datos adicionales, como gráficos de entidad, métricas de transferencia, conjuntos de reglas y detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas de YARA-L ni en la búsqueda del modelo de datos unificado (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla de YARA-L es implícita y no es necesario declararla en las búsquedas.La sección
conditionde una regla de YARA-L no está disponible para los paneles.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.