Panoramica delle dashboard

Supportato in:

Questo documento fornisce una guida tecnica per l'utilizzo del motore dei dashboard di Google Security Operations per creare visualizzazioni di dati in flussi di telemetria diversi.

Il framework dei dashboard è basato su un'architettura modulare in cui i singoli widget (grafici) interagiscono con origini dati specifiche utilizzando la sintassi YARA-L 2.0. Utilizzando le proprietà dello schema YARA-L e le funzioni di aggregazione, puoi creare visualizzazioni per il monitoraggio in tempo reale, l'analisi delle minacce e il controllo operativo.

Per un'analisi più approfondita dell'infrastruttura della dashboard sottostante, consulta la Panoramica delle dashboard.

Prima di iniziare

Verifica che la tua istanza di Google SecOps soddisfi i seguenti requisiti di configurazione:

Autorizzazioni IAM richieste

Per accedere alle dashboard sono necessarie le seguenti autorizzazioni:

Autorizzazioni IAM Finalità
chronicle.nativeDashboards.list Visualizza l'elenco di tutte le dashboard.
chronicle.nativeDashboards.get Visualizza una dashboard, applica un filtro dashboard e applica il filtro globale.
chronicle.nativeDashboards.create Crea una nuova dashboard.
chronicle.nativeDashboards.duplicate Crea una copia di una dashboard esistente.
chronicle.nativeDashboards.update Aggiungere e modificare grafici, aggiungere un filtro, modificare l'accesso alla dashboard e gestire il filtro temporale globale.
chronicle.nativeDashboards.delete Elimina una dashboard.

Informazioni sulle dashboard

Le dashboard forniscono approfondimenti su eventi di sicurezza, rilevamenti e dati correlati. Questa sezione descrive le origini dati supportate e spiega in che modo il controllo dell'accesso basato sui ruoli (RBAC) influisce sulla visibilità e sull'accesso ai dati all'interno dei dashboard.

  • investigation
  • response_platform_info
  • case_name
  • feedback_summary
  • feedback_history
  • soar_alert
  • soar_alert_metadata

Origini dati supportate

Le dashboard includono le seguenti origini dati, ognuna con il prefisso YARA-L corrispondente:

Origine dati Intervallo di tempo della query Prefisso YARA-L Schema Esempi di dashboard
Eventi 90 giorni no prefix Campi (UDM) | Modello Esempi
Grafico entità 365 giorni graph Campi | Modello Esempi
Metriche di importazione 365 giorni ingestion Campi | Modello Esempi
Casi e avvisi 365 giorni case Campi (SOAR) | Modello Esempi
Cronologia della richiesta 365 giorni case_history Campi (SOAR) | Modello Esempi
Playbook 365 giorni playbook Campi (SOAR) | Modello Esempi
Rilevamenti 365 giorni detection Campi | Modello Esempi
Regole Nessun limite di tempo rules Campi | Modello Esempi
Set di regole 365 giorni ruleset Campi | Modello Esempi
IoCs 365 giorni ioc Campi | Modello Esempi

Impatto di RBAC sui dati

Controllo dell'accesso basato su ruoli (RBAC) dei dati è un modello di sicurezza che utilizza ruoli utente individuali per limitare l'accesso degli utenti ai dati all'interno di un'organizzazione. Il controllo dell'accesso basato sui ruoli per i dati consente agli amministratori di definire gli ambiti e assegnarli agli utenti, garantendo che l'accesso sia limitato solo ai dati necessari per le loro funzioni lavorative. Tutte le query nelle dashboard seguono le regole RBAC dei dati. Per saperne di più sui controlli e sugli ambiti di accesso, consulta Controlli e ambiti di accesso in RBAC dei dati. Per saperne di più su RBAC dei dati per le dashboard, consulta Configurare RBAC dei dati per le dashboard.

Eventi, grafico delle entità e corrispondenze IOC

I dati restituiti da queste origini sono limitati agli ambiti di accesso assegnati all'utente, garantendo che vengano visualizzati solo i risultati provenienti da dati autorizzati. Se un utente ha più ambiti, le query includono i dati di tutti gli ambiti assegnati. I dati al di fuori degli ambiti accessibili all'utente non vengono visualizzati nei risultati di ricerca della dashboard.

Regole

Gli utenti possono visualizzare solo le regole associate agli ambiti assegnati.

Rilevamento e set di regole con rilevamenti

I rilevamenti vengono generati quando i dati di sicurezza in entrata corrispondono ai criteri definiti in una regola. Gli utenti possono visualizzare solo i rilevamenti generati da regole associate agli ambiti assegnati. I set di regole con rilevamenti sono visibili solo agli utenti globali.

Origini dati SOAR

Richieste e avvisi, playbook e cronologia delle richieste sono visibili solo agli utenti globali.

Metriche di importazione

I componenti di importazione sono servizi o pipeline che importano i log nella piattaforma dai feed di log di origine. Ogni componente raccoglie un insieme specifico di campi di log all'interno del proprio schema di metriche di importazione.

Gli amministratori possono utilizzare il controllo dell'accesso basato sui ruoli per le metriche di importazione per limitare la visibilità dei dati sull'integrità del sistema, come volume di importazione, errori e throughput, in base all'ambito aziendale di un utente.

La dashboard Ingestione dati e Salute utilizza gli ambiti di accesso ai dati. Quando un utente con ambito carica la dashboard, il sistema filtra automaticamente le metriche per mostrare solo i dati che corrispondono alle etichette assegnate.

Puoi filtrare utilizzando le seguenti etichette:

  • Spazio dei nomi: il metodo principale di separazione (ad esempio, Eu-Prod, Alpha-Corp).
  • Tipo di log: separazione basata sui ruoli (ad esempio GCP_VPC_FLOW, CROWDSTRIKE_EDR).
  • Origine importazione: monitoraggio granulare dell'origine (ad esempio, ID spedizioniere specifico).

Limitazioni

  • Etichetta personalizzata: l'assegnazione di un ambito utente contenente un'etichetta personalizzata, ad esempio un'etichetta creata utilizzando un'espressione regolare UDM o tabelle di dati, disattiva automaticamente il controllo dell'accesso basato sui ruoli per le metriche di importazione per quell'utente. Di conseguenza, l'utente non vedrà alcun dato nelle sue dashboard. Per gli ambiti di monitoraggio dell'importazione, devi utilizzare solo etichette standard come tipo di log, spazio dei nomi e origine dell'importazione.

  • Limitazione dell'origine di importazione: il filtro per origine di importazione si applica solo alla metrica Conteggio log. I grafici che mostrano le metriche relative alla larghezza di banda (byte) o ai tassi di errore potrebbero non mostrare dati se filtrati rigorosamente in base all'origine di importazione. Google consiglia di filtrare per spazio dei nomi per un monitoraggio dell'integrità più ampio.

Funzionalità avanzate e monitoraggio

Per perfezionare i rilevamenti e migliorare la visibilità, puoi utilizzare configurazioni avanzate, come le regole YARA-L 2.0 e le metriche di importazione. Questa sezione esplora queste informazioni sulle funzionalità, aiutandoti a ottimizzare l'efficienza del rilevamento e a monitorare l'elaborazione dei dati.

Proprietà YARA-L 2.0

YARA-L 2.0 ha le seguenti proprietà uniche quando viene utilizzato nelle dashboard:

  • Nelle dashboard sono disponibili origini dati aggiuntive, come il grafico delle entità, le metriche di importazione, i set di regole e i rilevamenti. Alcune di queste origini dati non sono ancora disponibili nelle regole YARA-L e nella ricerca Unified Data Model (UDM).

  • Consulta le funzioni YARA-L 2.0 per le dashboard di Google Security Operations e le funzioni di aggregazione che includono misure statistiche.

  • La query in YARA-L 2.0 deve contenere una sezione match o outcome oppure entrambe.

  • La sezione events di una regola YARA-L è implicita e non deve essere dichiarata nelle query.

  • La sezione condition di una regola YARA-L non è disponibile per le dashboard.

  • Le dashboard non supportano le regole della categoria Risk Analytics per UEBA.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.