ダッシュボードの概要
このドキュメントでは、Google Security Operations ダッシュボード エンジンを使用して、異なるテレメトリー ストリーム間でデータ可視化を構築するための技術ガイドを提供します。
ダッシュボード フレームワークは、個々のウィジェット(グラフ)が YARA-L 2.0 構文を使用して特定のデータソースと連携するモジュール型アーキテクチャ上に構築されています。YARA-L スキーマ プロパティと集計関数を使用すると、リアルタイム モニタリング、脅威分析、運用監査の可視化を構築できます。
基盤となるダッシュボード インフラストラクチャの詳細については、ダッシュボードの概要をご覧ください。
始める前に
Google SecOps インスタンスが次の構成要件を満たしていることを確認します。
プロジェクトを構成するか、Google Sec SecOps インスタンスを既存のクラウド プロジェクトに移行します。 Google Cloud
Google Cloud Identity またはサードパーティの ID プロバイダ(IdP)を構成します。
必要な IAM 権限
ダッシュボードにアクセスするには、次の権限が必要です。
| IAM 権限 | 目的 |
|---|---|
chronicle.nativeDashboards.list |
すべてのダッシュボードのリストを表示します。 |
chronicle.nativeDashboards.get |
ダッシュボードを表示し、 ダッシュボード フィルタを適用し、および グローバル フィルタを適用します。。 |
chronicle.nativeDashboards.create |
新しいダッシュボードを作成します。 |
chronicle.nativeDashboards.duplicate |
既存のダッシュボードのコピーを作成します。 |
chronicle.nativeDashboards.update |
グラフの追加と編集、 フィルタの追加、 ダッシュボード アクセスの変更、および グローバル タイム フィルタの管理を行います。 |
chronicle.nativeDashboards.delete |
ダッシュボードを削除します。 |
ダッシュボードについて
ダッシュボードでは、セキュリティ イベント、検出、関連データに関する分析情報を提供します。 このセクションでは、サポートされているデータソースの概要と、ロールベース アクセス制御(RBAC)がダッシュボード内の可視性とデータアクセスに与える影響について説明します。
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
サポートされているデータソース
ダッシュボードには、次のデータソースが含まれています。各データソースには、対応する YARA-L 接頭辞があります。
| データソース | クエリの時間間隔 | YARA-L 接頭辞 | スキーマ | ダッシュボードの例 |
|---|---|---|---|---|
| ケース履歴 | 365 日 | case_history |
フィールド(SOAR) | テンプレート | 例 |
| ケースとアラート | 365 日 | case |
フィールド(SOAR) | テンプレート | 例 |
| 検出 | 365 日 | detection |
フィールド | テンプレート | 例 |
| エンティティ グラフ | 365 日 | graph |
フィールド | テンプレート | 例 |
| イベント | 90 日 | no prefix |
フィールド(UDM) | テンプレート | 例 |
| 取り込み指標 | 365 日 | ingestion |
フィールド | テンプレート | 例 |
| IoCs | 365 日 | ioc |
フィールド | テンプレート | 例 |
| ハンドブック | 365 日 | playbook |
フィールド(SOAR) | テンプレート | 例 |
| ルールセット | 365 日 | ruleset |
フィールド | テンプレート | 例 |
| ルール | 時間制限なし | rules |
フィールド | テンプレート | 例 |
| トリアージと調査のためのエージェント | 366 日 | gemini_investigation、gemini_investigation_feedback |
フィールド | テンプレート | 例 |
データ RBAC の影響
データのロールベース アクセス制御(RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。 データ RBAC を使用すると、管理者はスコープを定義してユーザーに割り当て、ユーザーのアクセス範囲を各自のジョブ機能に必要なデータのみに制限できます。 ダッシュボードのすべてのクエリは、データ RBAC ルールに従います。 アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。 ダッシュボードのデータ RBAC の詳細については、ダッシュボードのデータ RBAC を構成するをご覧ください。
Events、Entity graph、IOCs の一致
これらのソースから返されるデータは、ユーザーに割り当てられたアクセス スコープに制限されるため、承認されたデータの結果のみが表示されます。 ユーザーに複数のスコープがある場合、クエリには割り当てられたすべてのスコープのデータが含まれます。 ユーザーのアクセス スコープ外のデータは、ダッシュボードの検索結果に表示されません。
ルール
ユーザーは、割り当てられたスコープに関連付けられたルールのみを表示できます。
Detection と detection を含むルールセット
受信したセキュリティ データがルールで定義された条件と一致すると、検出が生成されます。ユーザーは、割り当てられたスコープに関連付けられたルールから発生した検出結果のみを表示できます。検出を含むルールセットは、 グローバル ユーザーにのみ表示されます。
SOAR データソース
ケースとケース履歴はロールベース アクセス制御(RBAC)をサポートしており、ユーザーに割り当てられたデータアクセス スコープに合わせて可視化データを自動的にフィルタします。ハンドブックとアラートは、グローバル ユーザーにのみ表示されます。 注: RBAC フィルタリングは、スコープ データを含む新しいケースに厳密に適用されます。スコープ データのない過去のケースには遡って適用されません。
取り込み指標
Ingestion のコンポーネントは、ソースログ フィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各コンポーネントは、独自の Ingestion 指標スキーマ内で特定のログフィールドのセットを収集します。
管理者は、Ingestion 指標に RBAC を使用して、ユーザーのビジネス スコープに基づいて、取り込み量、エラー、スループットなどのシステム健全性データの可視性を制限できます。
[Data Ingestion and Health] ダッシュボードでは、データアクセス スコープが使用されます。スコープ付きユーザーがダッシュボードを読み込むと、割り当てられたラベルに一致するデータのみが表示されるように指標が自動的にフィルタされます。
次のラベルを使用してフィルタできます。
- Namespace: 分離の主な方法(例:
Eu-Prod、Alpha-Corp)。 - ログタイプ: ロールベースの分離(例:
GCP_VPC_FLOW、CROWDSTRIKE_EDR)。 - Ingestion ソース: 詳細なソース トラッキング(例: 特定のフォワーダー ID)。
Ingestion 指標の予期しないログタイプ
一部のダッシュボードには、UNSPECIFIED_LOG_TYPE などのログタイプや、LT_X(X は数値)などの内部識別子のエントリが表示されることがあります。これらの LT_X 識別子は、Google SecOps システム内で、お客様が作成したカスタム ログタイプを一意に識別するために使用されます。
これらの特定ログタイプの完全なデータの取り込みまたは解析が正常に完了していない場合でも、これらのエントリが表示されることがあります。これは、最終的な Ingestion ステータスに関係なく、特定のシステム指標が記録されるためです。
正常に取り込まれて解析されたデータに焦点を当てるには、ダッシュボード インターフェースのフィルタリング機能を使用して、UNSPECIFIED_LOG_TYPE やその他の予期しない内部ログタイプ識別子をビューから除外するか、明示的にフィルタします。
制限事項
カスタムラベル: UDM 正規表現または データテーブルを使用して作成されたラベルなど、カスタムラベルを含むユーザー スコープを割り当てると、その ユーザーの Ingestion 指標の RBAC が自動的に無効になります。その結果、ユーザーのダッシュボードにデータが表示されなくなります。Ingestion モニタリング スコープでは、ログタイプ、Namespace、Ingestion ソースなどの標準ラベルのみを使用する必要があります。
Ingestion ソースの制限: Ingestion ソースによるフィルタリングは、 ログカウント指標にのみ適用されます。帯域幅(バイト)またはエラー率の指標を表示するグラフは、Ingestion ソースで厳密にフィルタするとデータが表示されない場合があります。Google では、より広範な健全性モニタリングのために Namespace でフィルタすることをおすすめします。
上級者向け機能とモニタリング
検出を微調整して可視性を向上させるには、YARA-L 2.0 ルールや Ingestion 指標などの高度な構成を使用します。このセクションでは、これらの機能の分析情報について説明し、検出効率の最適化とデータ処理のモニタリングに役立てます。
YARA-L 2.0 のプロパティ
YARA-L 2.0 をダッシュボードで使用する際の独自プロパティは次のとおりです。
エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと統合データモデル(UDM)検索ではまだ使用できません。
Google Security Operations ダッシュボードのYARA-L 2.0 関数 と、統計指標を含む集計関数をご確認ください。
YARA-L 2.0 のクエリには、
matchセクションまたはoutcomeセクション、あるいはその両方を含める必要があります。YARA-L ルールの
eventsセクションは暗黙的に指定されるため、クエリで宣言する必要はありません。YARA-L ルールの
conditionセクションは、ダッシュボードでは使用できません。ダッシュボードでは、UEBA カテゴリのリスク分析のルールはサポートされていません。
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。