Dashboards – Übersicht
Dieses Dokument enthält eine technische Anleitung zur Verwendung der Google Security Operations Dashboards-Engine zum Erstellen von Datenvisualisierungen für unterschiedliche Telemetriestreams.
Das Dashboards-Framework basiert auf einer modularen Architektur, in der einzelne Widgets (Diagramme) über die YARA-L 2.0-Syntax mit bestimmten Datenquellen interagieren. Mithilfe der YARA-L-Schemaeigenschaften und Aggregationsfunktionen können Sie Visualisierungen für Echtzeit-Monitoring, Bedrohungsanalyse und operative Audits erstellen.
Weitere Informationen zur zugrunde liegenden Dashboard-Infrastruktur finden Sie in der Dashboard-Übersicht.
Hinweis
Prüfen Sie, ob Ihre Google SecOps-Instanz die folgenden Konfigurationsanforderungen erfüllt:
Konfigurieren Sie ein Google Cloud Projekt oder migrieren Sie Ihre Google SecOps-Instanz zu einem vorhandenen Cloud-Projekt.
Konfigurieren Sie einen Google Cloud-Identitätsanbieter oder einen externen Identitätsanbieter.
Funktionszugriffssteuerung mit Identity and Access Management konfigurieren
Erforderliche IAM-Berechtigungen
Die folgenden Berechtigungen sind erforderlich, um auf Dashboards zuzugreifen:
| IAM-Berechtigung | Zweck |
|---|---|
chronicle.nativeDashboards.list |
Liste aller Dashboards ansehen |
chronicle.nativeDashboards.get |
Dashboard ansehen, Dashboardfilter anwenden und globalen Filter anwenden. |
chronicle.nativeDashboards.create |
Neues Dashboard erstellen |
chronicle.nativeDashboards.duplicate |
Kopie eines vorhandenen Dashboards erstellen |
chronicle.nativeDashboards.update |
Diagramme hinzufügen und bearbeiten, Filter hinzufügen, Dashboardzugriff ändern und globalen Zeitfilter verwalten. |
chronicle.nativeDashboards.delete |
Dashboard löschen |
Dashboards
Dashboards bieten Einblicke in Sicherheitsereignisse, Erkennungen und zugehörige Daten. In diesem Abschnitt werden die unterstützten Datenquellen beschrieben und es wird erläutert, wie sich die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) auf die Sichtbarkeit und den Datenzugriff in den Dashboards auswirkt.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Unterstützte Datenquellen
Dashboards enthalten die folgenden Datenquellen mit dem entsprechenden YARA-L-Präfix:
| Datenquelle | Zeitintervall für Abfragen | YARA-L-Präfix | Schema | Beispiele für Dashboards |
|---|---|---|---|---|
| Verlauf der Anfrage | 365 Tage | case_history |
Felder (SOAR) | Vorlage | Beispiele |
| Anfragen und Benachrichtigungen | 365 Tage | case |
Felder (SOAR) | Vorlage | Beispiele |
| Erkennungen | 365 Tage | detection |
Felder | Vorlage | Beispiele |
| Entitätsdiagramm | 365 Tage | graph |
Felder | Vorlage | Beispiele |
| Ereignisse | 90 Tage | no prefix |
Felder (UDM) | Vorlage | Beispiele |
| Messwerte zur Datenaufnahme | 365 Tage | ingestion |
Felder | Vorlage | Beispiele |
| IoCs | 365 Tage | ioc |
Felder | Vorlage | Beispiele |
| Playbooks | 365 Tage | playbook |
Felder (SOAR) | Vorlage | Beispiele |
| Regelsätze | 365 Tage | ruleset |
Felder | Vorlage | Beispiele |
| Regeln | Kein Zeitlimit | rules |
Felder | Vorlage | Beispiele |
| KI-Agent für Priorisierung und Untersuchung | 366 Tage | gemini_investigation, gemini_investigation_feedback |
Felder | Vorlage | Beispiele |
Auswirkungen der datenbezogenen rollenbasierten Zugriffssteuerung
Die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Daten ist ein Sicherheitsmodell, mit dem der Nutzerzugriff auf Daten innerhalb einer Organisation mithilfe individueller Nutzerrollen eingeschränkt wird. Mit der Daten-RBAC können Administratoren Bereiche definieren und Nutzern zuweisen. So wird der Zugriff auf die für ihre Aufgaben erforderlichen Daten beschränkt. Alle Abfragen in Dashboards folgen den Regeln der Daten-RBAC. Weitere Informationen zu Zugriffsberechtigungen und Bereichen finden Sie unter Zugriffsberechtigungen und Bereiche in der Daten-RBAC. Weitere Informationen zur Daten-RBAC für Dashboards finden Sie unter Daten-RBAC für Dashboards konfigurieren.
Ereignisse, Entity Graph und IOC-Übereinstimmungen
Die von diesen Quellen zurückgegebenen Daten sind auf die zugewiesenen Zugriffsbereiche des Nutzers beschränkt. So wird sichergestellt, dass er nur Ergebnisse aus autorisierten Daten sieht. Wenn ein Nutzer mehrere Bereiche hat, enthalten Abfragen Daten aus allen zugewiesenen Bereichen. Daten außerhalb der für den Nutzer zugänglichen Bereiche werden nicht in den Dashboard-Suchergebnissen angezeigt.
Regeln
Nutzer können nur Regeln sehen, die mit ihren zugewiesenen Bereichen verknüpft sind.
Erkennung und Regelsätze mit Erkennungen
Erkennungen werden generiert, wenn eingehende Sicherheitsdaten den in einer Regel definierten Kriterien entsprechen. Nutzer können nur Erkennungen sehen, die auf Regeln beruhen, die mit ihren zugewiesenen Bereichen verknüpft sind. Die Regelsätze mit erkannten Verstößen sind nur für globale Nutzer sichtbar.
SOAR-Datenquellen
Fälle und der Fallverlauf unterstützen die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC). Visualisierungsdaten werden automatisch gefiltert, um den zugewiesenen Datenzugriffsbereichen eines Nutzers zu entsprechen. Playbooks und Benachrichtigungen sind nur für globale Nutzer sichtbar. Hinweis: Die RBAC-Filterung gilt nur für neue Fälle, die Bereichsdaten enthalten. Sie wird nicht rückwirkend auf ältere Fälle angewendet, die keine Bereichsdaten enthalten.
Messwerte zur Datenaufnahme
Aufnahmekomponenten sind Dienste oder Pipelines, die Logs aus Quell-Logfeeds in die Plattform übertragen. Jede Komponente erfasst eine bestimmte Gruppe von Logfeldern in ihrem eigenen Schema für Erfassungs-Messwerte.
Administratoren können die rollenbasierte Zugriffssteuerung für Messwerte zur Aufnahme verwenden, um die Sichtbarkeit von Systemzustandsdaten wie Aufnahmevolumen, Fehler und Durchsatz basierend auf dem Geschäftsbereich eines Nutzers einzuschränken.
Im Dashboard „Data Ingestion and Health“ werden Data Access-Bereiche verwendet. Wenn ein Nutzer mit Bereich das Dashboard lädt, werden die Messwerte automatisch gefiltert, sodass nur Daten angezeigt werden, die mit den zugewiesenen Labels übereinstimmen.
Sie können nach den folgenden Labels filtern:
- Namespace: Die primäre Methode zur Trennung (z. B.
Eu-Prod,Alpha-Corp). - Protokolltyp: Rollenbasierte Trennung (z. B.
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Aufnahmequelle: Granulare Quellennachverfolgung (z. B. bestimmte Spediteur-ID).
Unerwartete Logtypen in Erfassungsmesswerten
In einigen Dashboards werden möglicherweise Einträge für Protokolltypen wie UNSPECIFIED_LOG_TYPE oder interne Kennungen, einschließlich LT_X (wobei X eine Zahl ist), angezeigt. Diese LT_X-Kennungen werden im Google SecOps-System verwendet, um von einem Kunden erstellte benutzerdefinierte Logtypen eindeutig zu identifizieren.
Diese Einträge können auch dann angezeigt werden, wenn die vollständige Datenaufnahme oder das Parsing für diese spezifischen Logtypen noch nicht abgeschlossen ist. Das liegt daran, dass bestimmte Systemmesswerte unabhängig vom endgültigen Aufnahmestatus aufgezeichnet werden.
Wenn Sie sich auf erfolgreich aufgenommene und geparste Daten konzentrieren möchten, können Sie die Filterfunktionen in der Dashboard-Oberfläche verwenden, um UNSPECIFIED_LOG_TYPE und andere unerwartete interne Logtyp-IDs aus Ihren Ansichten auszuschließen oder herauszufiltern.
Beschränkungen
Benutzerdefiniertes Label: Wenn einem Nutzerbereich, der ein benutzerdefiniertes Label enthält, ein Nutzer zugewiesen wird, z. B. ein Label, das mit einem regulären Ausdruck oder Datentabellen für UDM erstellt wurde, wird die rollenbasierte Zugriffssteuerung für Erfassungsstatistiken für diesen Nutzer automatisch deaktiviert. Daher sehen Nutzer keine Daten in ihren Dashboards. Für Bereiche zur Überwachung der Aufnahme dürfen Sie nur Standardlabels wie „Log Type“, „Namespace“ und „Ingestion Source“ verwenden.
Einschränkung der Erfassungsquelle: Das Filtern nach Erfassungsquelle gilt nur für den Messwert „Anzahl der Logs“. In Diagrammen mit Messwerten für Bandbreite (Bytes) oder Fehlerraten werden möglicherweise keine Daten angezeigt, wenn sie ausschließlich nach Erfassungsquelle gefiltert werden. Google empfiehlt, zur umfassenderen Überwachung des Systemzustands nach Namespace zu filtern.
Erweiterte Funktionen und Monitoring
Mit erweiterten Konfigurationen wie YARA-L 2.0-Regeln und Ingestion-Messwerten können Sie die Erkennung optimieren und die Sichtbarkeit verbessern. In diesem Abschnitt werden diese Funktionen näher erläutert, damit Sie die Effizienz der Erkennung optimieren und die Datenverarbeitung überwachen können.
YARA-L 2.0-Eigenschaften
YARA-L 2.0 hat die folgenden einzigartigen Eigenschaften, wenn es in Dashboards verwendet wird:
Zusätzliche Datenquellen wie Entity-Diagramme, Ingestion-Messwerte, Regelsätze und Erkennungen sind in Dashboards verfügbar. Einige dieser Datenquellen sind noch nicht in YARA-L-Regeln und UDM-Suchvorgängen (Unified Data Model) verfügbar.
YARA-L 2.0-Funktionen für Google Security Operations-Dashboards und Aggregatfunktionen mit statistischen Messwerten
Die Abfrage in YARA-L 2.0 muss einen
match- oder einenoutcome-Abschnitt oder beides enthalten.Der
events-Abschnitt einer YARA-L-Regel ist impliziert und muss nicht in Abfragen deklariert werden.Der
condition-Abschnitt einer YARA-L-Regel ist für Dashboards nicht verfügbar.Dashboards unterstützen keine Regeln aus der Kategorie „Risk Analytics for UEBA“.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten