ダッシュボードの概要
このドキュメントでは、Google Security Operations ダッシュボード エンジンを使用して、異なるテレメトリー ストリーム間でデータ可視化を構築するための技術ガイドを提供します。
ダッシュボード フレームワークは、個々のウィジェット(グラフ)が YARA-L 2.0 構文を使用して特定のデータソースとインターフェースするモジュラー アーキテクチャ上に構築されています。YARA-L スキーマ プロパティと集計関数を使用すると、リアルタイム モニタリング、脅威分析、運用監査の可視化を構築できます。
基盤となるダッシュボード インフラストラクチャの詳細については、ダッシュボードの概要をご覧ください。
始める前に
Google SecOps インスタンスが次の構成要件を満たしていることを確認します。
Google Cloud プロジェクトを構成するか、Google SecOps インスタンスを既存のクラウド プロジェクトに移行します。
必要な IAM 権限
ダッシュボードにアクセスするには、次の権限が必要です。
| IAM 権限 | 目的 |
|---|---|
chronicle.nativeDashboards.list |
すべてのダッシュボードのリストを表示します。 |
chronicle.nativeDashboards.get |
ダッシュボードを表示する、 ダッシュボード フィルタを適用する、 グローバル フィルタを適用する。 |
chronicle.nativeDashboards.create |
新しいダッシュボードを作成します。 |
chronicle.nativeDashboards.duplicate |
既存のダッシュボードのコピーを作成します。 |
chronicle.nativeDashboards.update |
グラフの追加と編集、 フィルタの追加、 ダッシュボード アクセスの変更、 グローバル タイム フィルタの管理。 |
chronicle.nativeDashboards.delete |
ダッシュボードを削除します。 |
ダッシュボードについて
ダッシュボードには、セキュリティ イベント、検出、関連データに関する分析情報が表示されます。このセクションでは、サポートされているデータソースの概要と、ロールベースのアクセス制御(RBAC)がダッシュボード内の可視性とデータアクセスにどのように影響するかについて説明します。
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
サポートされているデータソース
ダッシュボードには、次のデータソースが対応する YARA-L 接頭辞とともに含まれています。
| データソース | クエリの時間間隔 | YARA-L 接頭辞 | スキーマ | ダッシュボードの例 |
|---|---|---|---|---|
| イベント | 90 日 | no prefix |
フィールド(UDM) | テンプレート | 例 |
| エンティティ グラフ | 365 日 | graph |
フィールド | テンプレート | 例 |
| Ingestion metrics | 365 日 | ingestion |
フィールド | テンプレート | 例 |
| ケースとアラート | 365 日 | case |
フィールド(SOAR) | テンプレート | 例 |
| ケース受付履歴 | 365 日 | case_history |
フィールド(SOAR) | テンプレート | 例 |
| ハンドブック | 365 日 | playbook |
フィールド(SOAR) | テンプレート | 例 |
| 検出 | 365 日 | detection |
フィールド | テンプレート | 例 |
| ルール | 時間制限なし | rules |
フィールド | テンプレート | 例 |
| Rule sets | 365 日 | ruleset |
フィールド | テンプレート | 例 |
| IoCs | 365 日 | ioc |
フィールド | テンプレート | 例 |
データ RBAC の影響
データのロールベース アクセス制御(RBAC)は、個々のユーザーロールを使用して、組織内のデータへのユーザー アクセスを制限するセキュリティ モデルです。データ RBAC を使用すると、管理者はスコープを定義してユーザーに割り当て、アクセスを各自のジョブ機能に必要なデータのみに制限できます。ダッシュボードのすべてのクエリは、データ RBAC ルールに従います。アクセス制御とスコープの詳細については、データ RBAC のアクセス制御とスコープをご覧ください。ダッシュボードのデータ RBAC の詳細については、ダッシュボードのデータ RBAC を構成するをご覧ください。
イベント、エンティティ グラフ、IOC の一致
これらのソースから返されるデータは、ユーザーに割り当てられたアクセス スコープに制限されるため、ユーザーには承認されたデータの結果のみが表示されます。ユーザーに複数のスコープがある場合、クエリには割り当てられたすべてのスコープのデータが含まれます。ユーザーのアクセス スコープ外のデータは、ダッシュボードの検索結果に表示されません。
ルール
ユーザーに表示されるのは、割り当てられたスコープに関連付けられたルールのみです。
検出と検出を含むルールセット
検出は、受信したセキュリティ データがルールで定義された条件と一致した場合に生成されます。ユーザーに表示されるのは、自身に割り当てられたスコープに関連付けられたルールから発生した検出結果のみです。検出を含むルールセットは、グローバル ユーザーにのみ表示されます。
SOAR データソース
ケースとアラート、プレイブック、ケース履歴は、グローバル ユーザーにのみ表示されます。
Ingestion metrics
取り込みコンポーネントは、ソースログ フィードからプラットフォームにログを取り込むサービスまたはパイプラインです。各コンポーネントは、独自の取り込み指標スキーマ内で特定のログフィールドのセットを収集します。
管理者は、取り込み指標に RBAC を使用して、ユーザーのビジネス スコープに基づいて、取り込み量、エラー、スループットなどのシステム健全性データの可視性を制限できます。
[Data Ingestion and Health] ダッシュボードでは、データアクセス スコープが使用されます。スコープ設定されたユーザーがダッシュボードを読み込むと、システムは指標を自動的にフィルタし、割り当てられたラベルに一致するデータのみを表示します。
次のラベルを使用してフィルタできます。
- Namespace: 分離の主な方法(例:
Eu-Prod、Alpha-Corp)。 - ログタイプ: ロールベースの分離(
GCP_VPC_FLOW、CROWDSTRIKE_EDRなど)。 - 取り込み元: 詳細なソース トラッキング(特定の転送元 ID など)。
制限事項
カスタムラベル: UDM 正規表現またはデータテーブルを使用して作成されたラベルなどのカスタムラベルを含むユーザー スコープを割り当てると、そのユーザーの取り込み指標の RBAC が自動的に無効になります。その結果、ユーザーのダッシュボードにデータが表示されなくなります。取り込みモニタリング スコープでは、ログタイプ、Namespace、取り込み元などの標準ラベルのみを使用する必要があります。
取り込み元の制限: 取り込み元によるフィルタリングは、ログカウント指標にのみ適用されます。帯域幅(バイト)またはエラー率の指標を表示するグラフで、取り込み元で厳密にフィルタすると、データが表示されないことがあります。より広範なヘルス モニタリングを行うには、Namespace でフィルタすることをおすすめします。
高度な機能とモニタリング
検出を微調整して可視性を高めるには、YARA-L 2.0 ルールや取り込み指標などの高度な構成を使用できます。このセクションでは、これらの機能の分析情報について説明し、検出効率の最適化とデータ処理のモニタリングに役立てます。
YARA-L 2.0 のプロパティ
YARA-L 2.0 をダッシュボードで使用する際の独自プロパティは次のとおりです。
エンティティ グラフ、取り込み指標、ルールセット、検出などの追加のデータソースは、ダッシュボードで使用できます。これらのデータソースの一部は、YARA-L ルールと統合データモデル(UDM)検索ではまだ使用できません。
Google Security Operations ダッシュボードの YARA-L 2.0 関数と、統計指標を含む集計関数をご確認ください。
YARA-L 2.0 のクエリには、
matchセクションまたはoutcomeセクション、あるいはその両方を含める必要があります。YARA-L ルールの
eventsセクションは暗黙的に指定されるため、クエリで宣言する必要はありません。YARA-L ルールの
conditionセクションはダッシュボードでは使用できません。ダッシュボードは、UEBA カテゴリのリスク分析のルールをサポートしていません。
ご不明な点がございましたら、コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。