Vista geral dos painéis de controlo
Este documento explica como usar a funcionalidade de painéis de controlo do Google Security Operations para criar visualizações em diferentes origens de dados. É composto por diferentes gráficos, que são preenchidos com propriedades do YARA-L 2.0.
Antes de começar
Certifique-se de que a sua instância do Google SecOps tem o seguinte ativado:
Configure um Google Cloud projeto ou migre a sua instância do Google SecOps para um projeto do Google Cloud existente.
Configure um Fornecedor de identidade do Google Cloud ou um Fornecedor de identidade de terceiros.
Configure o controlo de acesso a funcionalidades através do IAM.
Autorizações de IAM necessárias
São necessárias as seguintes autorizações para aceder aos painéis de controlo:
| Autorização de IAM | Finalidade |
|---|---|
chronicle.nativeDashboards.list |
Veja a lista de todos os painéis de controlo. |
chronicle.nativeDashboards.get |
Ver um painel de controlo, aplicar um filtro do painel de controlo e aplicar o filtro global. |
chronicle.nativeDashboards.create |
Crie um novo painel de controlo. |
chronicle.nativeDashboards.duplicate |
Crie uma cópia de um painel de controlo existente. |
chronicle.nativeDashboards.update |
Adicionar e editar gráficos, adicionar um filtro, alterar o acesso ao painel de controlo e gerir o filtro de tempo global. |
chronicle.nativeDashboards.delete |
Elimine um painel de controlo. |
Compreenda os painéis de controlo
Os painéis de controlo oferecem estatísticas sobre eventos de segurança, deteções e dados relacionados. Esta secção descreve as origens de dados suportadas e explica como o controlo de acesso baseado em funções (RBAC) afeta a visibilidade e o acesso aos dados nos painéis de controlo.
investigationresponse_platform_infocase_namefeedback_summaryfeedback_historysoar_alertsoar_alert_metadata
Origens de dados suportadas
Os painéis de controlo incluem as seguintes origens de dados, cada uma com o respetivo prefixo YARA-L:
| Origem de dados | Intervalo de tempo da consulta | Prefixo YARA-L | Esquema |
|---|---|---|---|
| Eventos | 90 dias | no prefix |
Campos |
| Gráfico de entidades | 365 dias | graph |
Campos |
| Métricas de carregamento | 365 dias | ingestion |
Campos |
| Regras definidas | 365 dias | ruleset |
Campos |
| Deteções | 365 dias | detection |
Campos |
| IOCs | 365 dias | ioc |
Campos |
| Regras | Sem limite de tempo | rules |
Campos |
| Caixas e alertas | 365 dias | case |
Campos |
| Guia interativo | 365 dias | playbook |
Campos |
| Histórico de registos | 365 dias | case_history |
Campos |
Impacto do RBAC de dados
O controlo de acesso baseado em funções (RBAC) de dados é um modelo de segurança que usa funções de utilizador individuais para restringir o acesso dos utilizadores aos dados numa organização. O RBAC de dados permite que os administradores definam âmbitos e os atribuam a utilizadores, garantindo que o acesso se limita apenas aos dados necessários para as respetivas funções de trabalho. Todas as consultas nos painéis de controlo seguem as regras de RBAC de dados. Para mais informações acerca dos controlos de acesso e dos âmbitos, consulte o artigo Controlos de acesso e âmbitos no RBAC de dados. Para mais informações sobre o RBAC de dados para painéis de controlo, consulte o artigo Configure o RBAC de dados para painéis de controlo
Eventos, gráfico de entidades e correspondências de IOCs
Os dados devolvidos por estas origens estão restritos aos âmbitos de acesso atribuídos ao utilizador, o que garante que este só vê resultados de dados autorizados. Se um utilizador tiver vários âmbitos, as consultas incluem dados de todos os âmbitos atribuídos. Os dados fora dos âmbitos acessíveis ao utilizador não aparecem nos resultados da pesquisa do painel de controlo.
Regras
Os utilizadores só podem ver regras associadas aos âmbitos atribuídos.
Deteção e conjuntos de regras com deteções
As deteções são geradas quando os dados de segurança recebidos correspondem aos critérios definidos numa regra. Os utilizadores só podem ver deteções originárias de regras associadas aos respetivos âmbitos atribuídos. Os conjuntos de regras com deteções só são visíveis para utilizadores globais.
Origens de dados SOAR
Os registos e os alertas, os manuais de procedimentos e o histórico de registos só são visíveis para utilizadores globais.
Métricas de carregamento
Os componentes de carregamento são serviços ou pipelines que introduzem registos na plataforma a partir de feeds de registos de origem. Cada componente recolhe um conjunto específico de campos de registo no seu próprio esquema de métricas de carregamento.
Os administradores podem usar o CACB para métricas de carregamento para restringir a visibilidade dos dados de estado do sistema, como o volume de carregamento, os erros e o débito, com base no âmbito empresarial de um utilizador.
O painel de controlo de ingestão de dados e saúde usa âmbitos de acesso aos dados. Quando um utilizador com âmbito carrega o painel de controlo, o sistema filtra automaticamente as métricas para mostrar apenas os dados que correspondem às etiquetas atribuídas.
Pode filtrar através das seguintes etiquetas:
- Namespace: o método principal de segregação (por exemplo,
Eu-Prod,Alpha-Corp). - Tipo de registo: segregação baseada em funções (por exemplo,
GCP_VPC_FLOW,CROWDSTRIKE_EDR). - Origem da carregamento: acompanhamento detalhado da origem (por exemplo, ID do encaminhador específico).
Limitações
Etiqueta personalizada: a atribuição de um âmbito de utilizador que contenha uma etiqueta personalizada, como uma etiqueta criada através de uma expressão regular UDM ou tabelas de dados, desativa automaticamente o RBAC para métricas de carregamento para esse utilizador. Como resultado, o utilizador não vê dados nos respetivos painéis de controlo. Para os âmbitos de monitorização de carregamento, tem de usar apenas etiquetas padrão, como Log Type, Namespace e Ingestion Source.
Limitação da origem da carregamento: a filtragem por origem do carregamento aplica-se apenas à métrica de contagem de registos. Os gráficos que apresentam métricas de largura de banda (bytes) ou taxas de erro podem não apresentar dados se forem filtrados rigorosamente pela origem da ingestão. A Google recomenda filtrar por espaço de nomes para uma monitorização do estado mais abrangente.
Funcionalidades avançadas e monitorização
Para otimizar as deteções e melhorar a visibilidade, pode usar configurações avançadas, como regras YARA-L 2.0 e métricas de carregamento. Esta secção explora estas estatísticas de funcionalidades, ajudando a otimizar a eficiência da deteção e a monitorizar o processamento de dados.
Propriedades do YARA-L 2.0
O YARA-L 2.0 tem as seguintes propriedades únicas quando usado em painéis de controlo:
As origens de dados adicionais, como o gráfico de entidades, as métricas de carregamento, os conjuntos de regras e as deteções, estão disponíveis nos painéis de controlo. Algumas destas origens de dados ainda não estão disponíveis nas regras YARA-L e na pesquisa do modelo de dados unificado (UDM).
Consulte as funções YARA-L 2.0 para painéis de controlo do Google Security Operations e as funções de agregação que incluem medidas estatísticas.
A consulta em YARA-L 2.0 tem de conter uma secção
matchououtcome, ou ambas.A secção
eventsde uma regra YARA-L está implícita e não precisa de ser declarada nas consultas.A secção
conditionde uma regra YARA-L não está disponível para painéis de controlo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.