Ringkasan dasbor
Dokumen ini memberikan panduan teknis untuk menggunakan mesin Dasbor Google Security Operations guna membuat visualisasi data di berbagai aliran telemetri yang berbeda.
Framework Dasbor dibangun di atas arsitektur modular tempat setiap widget (diagram) berinteraksi dengan sumber data tertentu menggunakan sintaks YARA-L 2.0. Dengan menggunakan properti skema YARA-L dan fungsi agregasi, Anda dapat membuat visualisasi untuk pemantauan real-time, analisis ancaman, dan audit operasional.
Untuk mempelajari infrastruktur dasbor yang mendasarinya lebih dalam, lihat Ringkasan dasbor.
Sebelum memulai
Pastikan instance Google SecOps Anda memenuhi persyaratan konfigurasi berikut:
Konfigurasi Google Cloud project atau migrasikan instance Google SecOps Anda ke project cloud yang ada.
Konfigurasi penyedia identitas Google Cloud atau penyedia identitas (IdP) pihak ketiga.
Mengonfigurasi kontrol akses fitur menggunakan Identity and Access Management.
Diperlukan izin IAM
Izin berikut diperlukan untuk mengakses dasbor:
| Izin IAM | Tujuan |
|---|---|
chronicle.nativeDashboards.list |
Melihat daftar semua dasbor. |
chronicle.nativeDashboards.get |
Melihat dasbor, menerapkan filter dasbor, dan menerapkan filter global. |
chronicle.nativeDashboards.create |
Buat dasbor baru. |
chronicle.nativeDashboards.duplicate |
Buat salinan dasbor yang ada. |
chronicle.nativeDashboards.update |
Menambahkan dan mengedit diagram, menambahkan filter, mengubah akses dasbor, dan mengelola filter waktu global. |
chronicle.nativeDashboards.delete |
Menghapus dasbor. |
Memahami dasbor
Dasbor memberikan insight tentang peristiwa keamanan, deteksi, dan data terkait. Bagian ini menguraikan sumber data yang didukung dan menjelaskan cara kontrol akses berbasis peran (RBAC) memengaruhi visibilitas dan akses data dalam dasbor.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Sumber data yang didukung
Dasbor mencakup sumber data berikut, masing-masing dengan awalan YARA-L yang sesuai:
| Sumber data | Interval waktu kueri | Awalan YARA-L | Skema | Contoh dasbor |
|---|---|---|---|---|
| Acara | 90 hari | no prefix |
Kolom (UDM) | Template | Contoh |
| Grafik Entity | 365 hari | graph |
Kolom | Template | Contoh |
| Metrik penyerapan | 365 hari | ingestion |
Kolom | Template | Contoh |
| Kasus dan pemberitahuan | 365 hari | case |
Fields (SOAR) | Template | Contoh |
| Histori kasus | 365 hari | case_history |
Fields (SOAR) | Template | Contoh |
| Playbook | 365 hari | playbook |
Fields (SOAR) | Template | Contoh |
| Deteksi | 365 hari | detection |
Kolom | Template | Contoh |
| Aturan | Tidak ada Batas waktu | rules |
Kolom | Template | Contoh |
| Kumpulan aturan | 365 hari | ruleset |
Kolom | Template | Contoh |
| IoCs | 365 hari | ioc |
Kolom | Template | Contoh |
Dampak RBAC data
Kontrol akses berbasis peran (RBAC) data adalah model keamanan yang menggunakan peran pengguna individual untuk membatasi akses pengguna ke data dalam organisasi. RBAC data memungkinkan administrator menentukan cakupan dan menetapkannya kepada pengguna, sehingga memastikan akses hanya terbatas pada data yang diperlukan untuk fungsi pekerjaan mereka. Semua kueri di dasbor mengikuti aturan RBAC data. Untuk mengetahui informasi selengkapnya tentang kontrol akses dan cakupan, lihat Kontrol akses dan cakupan dalam RBAC data. Untuk mengetahui informasi selengkapnya tentang RBAC data untuk dasbor, lihat Mengonfigurasi RBAC data untuk dasbor
Peristiwa, grafik entitas, dan kecocokan IOC
Data yang ditampilkan dari sumber ini dibatasi pada cakupan akses yang ditetapkan pengguna, sehingga memastikan bahwa pengguna hanya melihat hasil dari data yang sah. Jika pengguna memiliki beberapa cakupan, kueri akan menyertakan data dari semua cakupan yang ditetapkan. Data di luar cakupan yang dapat diakses pengguna tidak akan muncul di hasil penelusuran dasbor.
Aturan
Pengguna hanya dapat melihat aturan yang terkait dengan cakupan yang ditetapkan untuk mereka.
Deteksi dan sekumpulan aturan dengan deteksi
Deteksi dibuat saat data keamanan yang masuk cocok dengan kriteria yang ditentukan dalam aturan. Pengguna hanya dapat melihat deteksi yang berasal dari aturan yang terkait dengan cakupan yang ditetapkan untuk mereka. Kumpulan aturan dengan deteksi hanya terlihat oleh pengguna global.
Sumber data SOAR
Kasus dan pemberitahuan, playbook, serta histori kasus hanya dapat dilihat oleh pengguna global.
Metrik penyerapan
Komponen penyerapan adalah layanan atau pipeline yang membawa log ke dalam platform dari feed log sumber. Setiap komponen mengumpulkan serangkaian kolom log tertentu dalam skema metrik penyerapan datanya sendiri.
Administrator dapat menggunakan RBAC untuk metrik penyerapan guna membatasi visibilitas data kesehatan sistem, seperti volume penyerapan, error, dan throughput, berdasarkan cakupan bisnis pengguna.
Dasbor Penyerapan Data dan Kesehatan menggunakan cakupan Akses Data. Saat pengguna yang memiliki cakupan memuat dasbor, sistem akan otomatis memfilter metrik untuk hanya menampilkan data yang cocok dengan label yang ditetapkan untuknya.
Anda dapat memfilter menggunakan label berikut:
- Namespace: Metode utama untuk pemisahan (misalnya,
Eu-Prod,Alpha-Corp). - Jenis Log: Pemisahan berbasis peran (misalnya,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Sumber Penyerapan: Pelacakan sumber terperinci (misalnya, ID penerusan tertentu).
Batasan
Label kustom: Menetapkan cakupan pengguna yang berisi label kustom—seperti label yang dibuat menggunakan ekspresi reguler UDM atau tabel data—akan otomatis menonaktifkan RBAC untuk metrik penyerapan data bagi pengguna tersebut. Akibatnya, pengguna tidak akan melihat data apa pun di dasbornya. Untuk cakupan pemantauan penyerapan, Anda hanya boleh menggunakan label standar seperti Jenis Log, Namespace, dan Sumber Penyerapan.
Batasan sumber penyerapan: Pemfilteran menurut sumber penyerapan hanya berlaku untuk metrik Jumlah Log. Diagram yang menampilkan metrik bandwidth (byte) atau rasio error mungkin tidak menampilkan data jika difilter secara ketat menurut sumber penyerapan. Google merekomendasikan pemfilteran menurut Namespace untuk pemantauan kondisi yang lebih luas.
Fitur dan pemantauan lanjutan
Untuk menyesuaikan deteksi dan meningkatkan visibilitas, Anda dapat menggunakan konfigurasi lanjutan, seperti aturan YARA-L 2.0 dan metrik penyerapan. Bagian ini membahas insight fitur tersebut, yang membantu Anda mengoptimalkan efisiensi deteksi dan memantau pemrosesan data.
Properti YARA-L 2.0
YARA-L 2.0 memiliki properti unik berikut saat digunakan di dasbor:
Sumber data tambahan, seperti grafik entitas, metrik penyerapan, set aturan, dan deteksi tersedia di dasbor. Beberapa sumber data ini belum tersedia dalam aturan YARA-L dan penelusuran Model Data Terpadu (UDM).
Lihat fungsi YARA-L 2.0 untuk dasbor Google Security Operations dan fungsi agregat yang mencakup ukuran statistik.
Kueri di YARA-L 2.0 harus berisi bagian
matchatauoutcome, atau keduanya.Bagian
eventsdari aturan YARA-L tersirat dan tidak perlu dideklarasikan dalam kueri.Bagian
conditiondari aturan YARA-L tidak tersedia untuk dasbor.Dasbor tidak mendukung aturan dari kategori Analisis Risiko untuk UEBA.
Perlu bantuan lebih lanjut? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.