Présentation des tableaux de bord
Ce document fournit un guide technique pour utiliser le moteur Google Security Operations Dashboards afin de créer des visualisations de données à partir de flux de télémétrie disparates.
Le framework des tableaux de bord repose sur une architecture modulaire dans laquelle chaque widget (graphique) interagit avec des sources de données spécifiques à l'aide de la syntaxe YARA-L 2.0. En utilisant les propriétés du schéma YARA-L et les fonctions d'agrégation, vous pouvez créer des visualisations pour la surveillance en temps réel, l'analyse des menaces et l'audit opérationnel.
Pour en savoir plus sur l'infrastructure sous-jacente des tableaux de bord, consultez Présentation des tableaux de bord.
Avant de commencer
Vérifiez que votre instance Google SecOps répond aux exigences de configuration suivantes :
Configurez un projet Google Cloud ou migrez votre instance Google SecOps vers un projet cloud existant.
Configurez un fournisseur d'identité Google Cloud ou un fournisseur d'identité (IdP) tiers.
Configurez le contrôle des accès aux fonctionnalités à l'aide d'Identity and Access Management.
Autorisations IAM requises
Les autorisations suivantes sont requises pour accéder aux tableaux de bord :
| Autorisation IAM | Objectif |
|---|---|
chronicle.nativeDashboards.list |
Affichez la liste de tous les tableaux de bord. |
chronicle.nativeDashboards.get |
Afficher un tableau de bord, appliquer un filtre de tableau de bord et appliquer le filtre global. |
chronicle.nativeDashboards.create |
Créez un tableau de bord. |
chronicle.nativeDashboards.duplicate |
Créez une copie d'un tableau de bord existant. |
chronicle.nativeDashboards.update |
Ajouter et modifier des graphiques, ajouter un filtre, modifier l'accès au tableau de bord et gérer le filtre temporel global. |
chronicle.nativeDashboards.delete |
Supprimer un tableau de bord |
Comprendre les tableaux de bord
Les tableaux de bord fournissent des informations sur les événements de sécurité, les détections et les données associées. Cette section décrit les sources de données compatibles et explique comment le contrôle des accès basé sur les rôles (RBAC) affecte la visibilité et l'accès aux données dans les tableaux de bord.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Sources de données compatibles
Les tableaux de bord incluent les sources de données suivantes, chacune avec son préfixe YARA-L correspondant :
| Source de données | Intervalle de temps de la requête | Préfixe YARA-L | Schéma | Exemples de tableaux de bord |
|---|---|---|---|---|
| Événements | 90 jours | no prefix |
Champs (UDM) | Modèle | Exemples |
| Graphique des entités | 365 jours | graph |
Champs | Modèle | Exemples |
| Métriques d'ingestion | 365 jours | ingestion |
Champs | Modèle | Exemples |
| Cas et alertes | 365 jours | case |
Champs (SOAR) | Modèle | Exemples |
| Historique de la demande | 365 jours | case_history |
Champs (SOAR) | Modèle | Exemples |
| Guides | 365 jours | playbook |
Champs (SOAR) | Modèle | Exemples |
| Détections | 365 jours | detection |
Champs | Modèle | Exemples |
| Règles | Pas de limite de temps | rules |
Champs | Modèle | Exemples |
| Ensembles de règles | 365 jours | ruleset |
Champs | Modèle | Exemples |
| IoCs | 365 jours | ioc |
Champs | Modèle | Exemples |
Impact du contrôle RBAC des données
Le contrôle des accès basé sur les rôles (RBAC) pour les données est un modèle de sécurité qui utilise les rôles des utilisateurs individuels pour restreindre leur accès aux données d'une organisation. Le RBAC des données permet aux administrateurs de définir des niveaux d'accès et de les attribuer aux utilisateurs, en veillant à ce que l'accès soit limité aux seules données nécessaires à leurs fonctions. Toutes les requêtes dans les tableaux de bord suivent les règles RBAC des données. Pour en savoir plus sur les contrôles d'accès et les niveaux d'accès, consultez Contrôles d'accès et niveaux d'accès dans le RBAC des données. Pour en savoir plus sur le contrôle des accès basé sur les rôles pour les données des tableaux de bord, consultez Configurer le contrôle des accès basé sur les rôles pour les données des tableaux de bord.
Événements, graphique des entités et correspondances IoC
Les données renvoyées par ces sources sont limitées aux niveaux d'accès attribués à l'utilisateur, ce qui garantit qu'il ne voit que les résultats provenant de données autorisées. Si un utilisateur dispose de plusieurs niveaux d'accès, les requêtes incluent les données de tous les niveaux d'accès attribués. Les données en dehors des niveaux d'accès de l'utilisateur n'apparaissent pas dans les résultats de recherche du tableau de bord.
Règles
Les utilisateurs ne peuvent voir que les règles associées aux niveaux d'accès qui leur ont été attribués.
Détection et ensembles de règles avec détections
Les détections sont générées lorsque les données de sécurité entrantes correspondent aux critères définis dans une règle. Les utilisateurs ne peuvent voir que les détections provenant de règles associées aux niveaux d'accès qui leur sont attribués. Les ensembles de règles avec détections ne sont visibles que par les utilisateurs mondiaux.
Sources de données SOAR
Les demandes et les alertes, les playbooks et l'historique des demandes ne sont visibles que par les utilisateurs globaux.
Métriques d'ingestion
Les composants d'ingestion sont des services ou des pipelines qui importent les journaux dans la plate-forme à partir des flux de journaux sources. Chaque composant collecte un ensemble spécifique de champs de journaux dans son propre schéma de métriques d'ingestion.
Les administrateurs peuvent utiliser le RBAC pour les métriques d'ingestion afin de limiter la visibilité des données sur l'état du système, telles que le volume d'ingestion, les erreurs et le débit, en fonction du champ d'activité d'un utilisateur.
Le tableau de bord "Ingestion de données et santé" utilise des niveaux d'accès aux données. Lorsqu'un utilisateur à accès limité charge le tableau de bord, le système filtre automatiquement les métriques pour n'afficher que les données correspondant aux libellés qui lui sont attribués.
Vous pouvez filtrer les résultats à l'aide des libellés suivants :
- Espace de noms : méthode principale de ségrégation (par exemple,
Eu-Prod,Alpha-Corp). - Type de journal : ségrégation basée sur les rôles (par exemple,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Source d'ingestion : suivi précis des sources (par exemple, ID de l'expéditeur spécifique).
Limites
Libellé personnalisé : l'attribution d'un champ d'application utilisateur contenant un libellé personnalisé (par exemple, un libellé créé à l'aide d'une expression régulière UDM ou de tables de données) désactive automatiquement le RBAC pour les métriques d'ingestion pour cet utilisateur. Par conséquent, l'utilisateur ne verra aucune donnée dans ses tableaux de bord. Pour les champs d'application de surveillance de l'ingestion, vous ne devez utiliser que des libellés standards tels que "Type de journal", "Espace de noms" et "Source d'ingestion".
Limitation de la source d'ingestion : le filtrage par source d'ingestion ne s'applique qu'à la métrique "Nombre de journaux". Les graphiques affichant des métriques sur la bande passante (en octets) ou les taux d'erreur peuvent ne montrer aucune donnée s'ils sont filtrés strictement par source d'ingestion. Google recommande de filtrer par espace de noms pour une surveillance de l'état plus large.
Fonctionnalités avancées et surveillance
Pour affiner les détections et améliorer la visibilité, vous pouvez utiliser des configurations avancées, telles que les règles YARA-L 2.0 et les métriques d'ingestion. Cette section explore ces insights sur les fonctionnalités, ce qui vous aide à optimiser l'efficacité de la détection et à surveiller le traitement des données.
Propriétés YARA-L 2.0
YARA-L 2.0 présente les propriétés uniques suivantes lorsqu'il est utilisé dans des tableaux de bord :
Des sources de données supplémentaires, telles que le graphique d'entités, les métriques d'ingestion, les ensembles de règles et les détections, sont disponibles dans les tableaux de bord. Certaines de ces sources de données ne sont pas encore disponibles dans les règles YARA-L ni dans la recherche UDM (Unified Data Model).
Consultez les fonctions YARA-L 2.0 pour les tableaux de bord Google Security Operations et les fonctions d'agrégation qui incluent des mesures statistiques.
La requête dans YARA-L 2.0 doit contenir une section
matchououtcome, ou les deux.La section
eventsd'une règle YARA-L est implicite et n'a pas besoin d'être déclarée dans les requêtes.La section
conditiond'une règle YARA-L n'est pas disponible pour les tableaux de bord.Les tableaux de bord ne sont pas compatibles avec les règles de la catégorie "Analyse des risques pour UEBA".
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.