Información general sobre los paneles de control
En este documento se explica cómo usar la función Paneles de Google Security Operations para crear visualizaciones a partir de diferentes fuentes de datos. Se compone de diferentes gráficos que se rellenan con propiedades de YARA-L 2.0.
Antes de empezar
Asegúrate de que tu instancia de Google SecOps tenga lo siguiente habilitado:
Configura un Google Cloud proyecto o migra tu instancia de Google SecOps a un proyecto de Cloud.
Configura un proveedor de identidades de Google Cloud o un proveedor de identidades externo.
Configurar el control de acceso a funciones con la gestión de identidades y accesos
Permisos de gestión de identidades y accesos necesarios
Para acceder a los paneles de control, se necesitan los siguientes permisos:
| Permiso de gestión de identidades y accesos | Finalidad |
|---|---|
chronicle.nativeDashboards.list |
Consulta la lista de todos los paneles de control. |
chronicle.nativeDashboards.get |
Ver un panel de control, aplicar un filtro del panel de control y aplicar el filtro global. |
chronicle.nativeDashboards.create |
Crea un panel de control. |
chronicle.nativeDashboards.duplicate |
Haz una copia de un panel de control. |
chronicle.nativeDashboards.update |
Añadir y editar gráficos, añadir un filtro, cambiar el acceso al panel de control y gestionar el filtro de tiempo global. |
chronicle.nativeDashboards.delete |
Eliminar un panel de control. |
Información sobre los paneles
Los paneles de control proporcionan información valiosa sobre los eventos de seguridad, las detecciones y los datos relacionados. En esta sección se describen las fuentes de datos admitidas y se explica cómo afecta el control de acceso basado en roles (RBAC) a la visibilidad y al acceso a los datos en los paneles de control.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Fuentes de datos admitidas
Los paneles de control incluyen las siguientes fuentes de datos, cada una con su prefijo YARA-L correspondiente:
| Fuente de datos | Intervalo de tiempo de las consultas | Prefijo de YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 días | no prefix |
Campos |
| Gráfico de entidades | 365 días | graph |
Campos |
| Métricas de ingestión | 365 días | ingestion |
Campos |
| Conjuntos de reglas | 365 días | ruleset |
Campos |
| Detecciones | 365 días | detection |
Campos |
| IOCs | 365 días | ioc |
Campos |
| Reglas | Sin límite de tiempo | rules |
Campos |
| Incidencias y alertas | 365 días | case |
Campos |
| Guía | 365 días | playbook |
Campos |
| Historial de casos | 365 días | case_history |
Campos |
Impacto del control de acceso basado en roles de datos
El control de acceso basado en roles (RBAC) de datos es un modelo de seguridad que usa roles de usuario individuales para restringir el acceso de los usuarios a los datos de una organización. El control de acceso basado en roles de datos permite a los administradores definir ámbitos y asignarlos a los usuarios, lo que garantiza que el acceso se limite únicamente a los datos necesarios para sus funciones laborales. Todas las consultas de los paneles de control siguen las reglas de control de acceso basado en roles de datos. Para obtener más información sobre los controles de acceso y los ámbitos, consulta Controles de acceso y ámbitos en el control de acceso basado en roles de datos. Para obtener más información sobre el control de acceso basado en roles de datos en los paneles de control, consulta Configurar el control de acceso basado en roles de datos en los paneles de control.
Eventos, gráfico de entidades y coincidencias de IOC
Los datos devueltos de estas fuentes se restringen a los ámbitos de acceso asignados al usuario, lo que garantiza que solo vea resultados de datos autorizados. Si un usuario tiene varios ámbitos, las consultas incluyen datos de todos los ámbitos asignados. Los datos que estén fuera de los ámbitos a los que tiene acceso el usuario no aparecerán en los resultados de búsqueda del panel de control.
Reglas
Los usuarios solo pueden ver las reglas asociadas a los ámbitos que tienen asignados.
Detecciones y conjuntos de reglas con detecciones
Las detecciones se generan cuando los datos de seguridad entrantes coinciden con los criterios definidos en una regla. Los usuarios solo pueden ver las detecciones que proceden de reglas asociadas a los permisos que tienen asignados. Los conjuntos de reglas con detecciones solo pueden verlos los usuarios globales.
Fuentes de datos de SOAR
Los casos y las alertas, los manuales de procedimientos y el historial de casos solo están visibles para los usuarios globales.
Métricas de ingestión
Los componentes de ingesta son servicios o pipelines que incorporan registros a la plataforma desde fuentes de registros. Cada componente recoge un conjunto específico de campos de registro en su propio esquema de métricas de ingesta.
Los administradores pueden usar el control de acceso basado en roles para las métricas de ingesta con el fin de restringir la visibilidad de los datos de estado del sistema, como el volumen de ingesta, los errores y el rendimiento, en función del ámbito empresarial de un usuario.
El panel de control Ingesta de datos y Salud usa ámbitos de acceso a datos. Cuando un usuario con ámbito carga el panel de control, el sistema filtra automáticamente las métricas para mostrar solo los datos que coinciden con las etiquetas asignadas.
Puedes filtrar por las siguientes etiquetas:
- Espacio de nombres: el método principal de segregación (por ejemplo,
Eu-Prod,Alpha-Corp). - Tipo de registro: segregación basada en roles (por ejemplo,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Fuente de ingestión: seguimiento de fuentes detallado (por ejemplo, ID de reenviador específico).
Limitaciones
Etiqueta personalizada: si asignas un ámbito de usuario que contiene una etiqueta personalizada (por ejemplo, una etiqueta creada con una expresión regular de UDM o con tablas de datos), se inhabilitará automáticamente el control de acceso basado en roles para las métricas de ingestión de ese usuario. Por tanto, el usuario no verá ningún dato en sus paneles de control. En el caso de los ámbitos de monitorización de la ingestión, solo debe usar etiquetas estándar, como LogType, Namespace e Ingestion Source.
Limitación de la fuente de ingestión: el filtro por fuente de ingestión solo se aplica a la métrica Recuento de registros. Es posible que los gráficos que muestran métricas de ancho de banda (bytes) o tasas de error no muestren datos si se filtran estrictamente por la fuente de ingestión. Google recomienda filtrar por espacio de nombres para monitorizar el estado de forma más general.
Funciones avanzadas y monitorización
Para optimizar las detecciones y mejorar la visibilidad, puedes usar configuraciones avanzadas, como reglas de YARA-L 2.0 y métricas de ingesta. En esta sección se analizan estas estadísticas de las funciones para ayudarte a optimizar la eficiencia de la detección y monitorizar el tratamiento de los datos.
Propiedades de YARA-L 2.0
YARA-L 2.0 tiene las siguientes propiedades únicas cuando se usa en paneles de control:
En los paneles de control se pueden consultar otras fuentes de datos, como el gráfico de entidades, las métricas de ingesta, los conjuntos de reglas y las detecciones. Algunas de estas fuentes de datos aún no están disponibles en las reglas YARA-L y en la búsqueda del modelo de datos unificado (UDM).
Consulta las funciones de YARA-L 2.0 para los paneles de control de Google Security Operations y las funciones de agregación que incluyen medidas estadísticas.
La consulta en YARA-L 2.0 debe contener una sección
matchooutcome, o ambas.La sección
eventsde una regla de YARA-L está implícita y no es necesario declararla en las consultas.La sección
conditionde una regla YARA-L no está disponible en los paneles de control.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.