信息中心概览

支持的平台:

本文档提供了一份技术指南,介绍了如何使用 Google Security Operations 信息中心引擎跨不同的遥测数据流构建数据可视化图表。

信息中心框架基于模块化架构构建,其中各个 widget(图表)使用 YARA-L 2.0 语法与特定数据源进行交互。通过使用 YARA-L 架构属性和聚合函数,您可以构建可视化图表,以进行实时监控、威胁分析和运营审核。

如需深入了解底层信息中心基础架构,请参阅信息中心概览

准备工作

确认您的 Google SecOps 实例符合以下配置要求:

需要的 IAM 权限

如需访问信息中心,您需要具备以下权限:

IAM 权限 用途
chronicle.nativeDashboards.list 查看所有信息中心的列表
chronicle.nativeDashboards.get 查看信息中心 应用信息中心过滤条件 应用全局过滤条件
chronicle.nativeDashboards.create 创建新信息中心。
chronicle.nativeDashboards.duplicate 复制现有信息中心。
chronicle.nativeDashboards.update 添加和修改图表添加过滤条件 更改信息中心访问权限,以及 管理全局时间过滤条件
chronicle.nativeDashboards.delete 删除信息中心

了解信息中心

信息中心可提供有关安全事件、检测结果和相关数据的深入分析。 本部分概述了受支持的数据源,并说明了基于角色的访问权限控制 (RBAC) 如何影响信息中心内的可见性和数据访问权限。

  • investigation
  • response_platform_info
  • case_name
  • feedback_summary
  • feedback_history
  • soar_alert
  • soar_alert_metadata

支持的数据源

信息中心包含以下数据源,每个数据源都有相应的 YARA-L 前缀:

数据源 查询时间间隔 YARA-L 前缀 架构 信息中心示例
支持请求历史记录 365 天 case_history 字段 (SOAR) | 模板 示例
支持请求和提醒 365 天 case 字段 (SOAR) | 模板 示例
检测 365 天 detection 字段 | 模板 示例
实体图表 365 天 graph 字段 | 模板 示例
事件 90 天 no prefix 字段 (UDM) | 模板 示例
提取指标 365 天 ingestion 字段 | 模板 示例
IOC 365 天 ioc 字段 | 模板 示例
策略方案 365 天 playbook 字段 (SOAR) | 模板 示例
规则集 365 天 ruleset 字段 | 模板 示例
规则 没有时间限制 rules 字段 | 模板 示例
分类与调查智能体 366 天 gemini_investigationgemini_investigation_feedback 字段 | 模板 示例

数据 RBAC 的影响

基于角色的数据访问控制 (RBAC) 是一种安全模型,它使用个人用户角色来限制用户对组织内数据的访问权限。借助数据 RBAC,管理员可以定义范围并将其分配给用户,确保用户只能访问其工作职能所需的数据。信息中心中的所有查询都遵循数据 RBAC 规则。如需详细了解访问权限控制和范围,请参阅基于角色的数据访问控制中的访问权限控制和范围。如需详细了解信息中心的数据 RBAC,请参阅为信息中心配置基于角色的数据访问控制

事件、实体图和 IOC 匹配项

从这些来源返回的数据仅限于用户分配的访问范围,确保用户只能看到授权数据的结果。如果用户有多个范围,查询会包含所有分配范围的数据。用户可访问范围之外的数据不会显示在信息中心搜索结果中。

规则

用户只能看到与其分配的范围相关联的规则。

检测和包含检测结果的规则集

当传入的安全数据符合规则中定义的条件时,系统会生成检测结果。用户只能看到源自与其分配的范围相关联的规则的检测结果。包含检测结果的规则集仅对全球用户可见。

SOAR 数据源

案例和案例历史记录支持基于角色的访问控制 (RBAC),可自动过滤可视化数据,以匹配用户分配的数据访问范围。剧本和提醒仅对全局用户保持可见。 注意:RBAC 过滤严格适用于包含范围数据的新案例。它不会追溯性地应用于缺少范围数据的历史案例。

提取指标

提取组件是指从源日志 Feed 将日志引入平台的服务或流水线。每个组件都会在其自己的提取指标架构中收集一组特定的日志字段。

管理员可以使用 RBAC 来限制提取指标的可见性,从而根据用户的业务范围限制系统健康状况数据(例如提取量、错误和吞吐量)的可见性。

“数据注入和健康状况”信息中心使用数据访问范围。当范围限定的用户加载信息中心时,系统会自动过滤指标,仅显示与其分配的标签匹配的数据。

您可以使用以下标签进行过滤:

  • 命名空间:主要隔离方法(例如 Eu-ProdAlpha-Corp)。
  • 日志类型:基于角色的隔离(例如 GCP_VPC_FLOWCROWDSTRIKE_EDR)。
  • 注入来源:精细的来源跟踪(例如,特定的转发器 ID)。

提取指标中出现意外的日志类型

某些信息中心可能会显示日志类型(例如 UNSPECIFIED_LOG_TYPE)或内部标识符(包括 LT_X,其中 X 是数字)的条目。这些 LT_X 标识符在 Google SecOps 系统中用于唯一标识客户创建的自定义日志类型。

即使这些特定日志类型的完整数据注入或解析尚未成功完成,也可能会显示这些条目。这是因为无论最终的提取状态如何,系统都会记录某些系统指标。

为了专注于成功注入和解析的数据,您可以使用信息中心界面中的过滤功能,从视图中排除或专门过滤掉 UNSPECIFIED_LOG_TYPE 和其他意外的内部日志类型标识符。

限制

  • 自定义标签:分配包含自定义标签(例如使用 UDM 正则表达式或数据表创建的标签)的用户范围会自动为相应用户的提取指标停用 RBAC。因此,用户的信息中心内不会显示任何数据。对于提取监控范围,您必须仅使用标准标签,例如“日志类型”“命名空间”和“提取来源”。

  • 注入源限制:按注入源过滤仅适用于“日志计数”指标。如果严格按注入源过滤,显示带宽(字节)或错误率指标的图表可能不会显示任何数据。Google 建议按命名空间过滤,以便更广泛地监控健康状况。

高级功能和监控

为了微调检测并提高可见性,您可以使用高级配置,例如 YARA-L 2.0 规则和注入指标。本部分将探讨这些功能分析,帮助您优化检测效率并监控数据处理。

YARA-L 2.0 属性

在信息中心内使用时,YARA-L 2.0 具有以下独特属性:

  • 信息中心还提供其他数据源,例如实体图、提取指标、规则集和检测结果。其中一些数据源尚未在 YARA-L 规则和统一数据模型 (UDM) 搜索中提供。

  • 如需了解 Google Security Operations 信息中心使用的 YARA-L 2.0 函数以及包含统计度量的聚合函数,请参阅 YARA-L 2.0 函数 - Google Security Operations 信息中心

  • YARA-L 2.0 中的查询必须包含 matchoutcome 部分,或者同时包含这两个部分。

  • YARA-L 规则的 events 部分是隐含的,无需在查询中声明。

  • YARA-L 规则的 condition 部分不适用于信息中心。

  • 信息中心不支持 UEBA 类别中风险分析的规则。

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。