Configurar feeds por producto

Disponible en:

Antes de empezar

Si usas roles personalizados de gestión de identidades y accesos, debes hacer lo siguiente:

  1. Ve a IAM y administración > Roles.
  2. Selecciona el rol personalizado que quieras y haz clic en Editar rol.
  3. Haz clic en Añadir permisos.
  4. Introduce lo siguiente:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Haz clic en Guardar.

Configurar feeds de registro

Para detectar e investigar amenazas de forma eficaz, Google Security Operations se basa en la ingestión de registros estructurados. Si configura correctamente los feeds de registro, se asegurará de que los datos relevantes se normalicen y estén disponibles para la correlación, las alertas y el análisis.

En este documento se explica cómo configurar y gestionar feeds de registro en Google SecOps. Puede configurar varios feeds por familia de productos según el tipo de registro. Los tipos de registro que Google ha identificado como básicos se marcan como obligatorios.

La plataforma proporciona instrucciones de configuración, procedimientos necesarios y explicaciones de los parámetros de configuración. Algunos parámetros están predefinidos para simplificar el proceso de configuración. Por ejemplo, puedes crear varios feeds en los tipos de registro obligatorios y opcionales de un producto, como CrowdStrike Falcon:

Acceder a la página de configuración de varios feeds

Hay dos formas de acceder a la pantalla de configuración de varios feeds:

  • Centro de contenido > Paquetes de contenido
  • Configuración > Feeds

Configurar el feed para CrowdStrike EDR

Sigue estos pasos para configurar un feed de registro de CrowdStrike EDR.

  1. En Configuración > Feeds, haz clic en Añadir nuevo feed.
    1. Haga clic en el producto CrowdStrike Falcon:
    2. Seleccione el tipo de registro CrowdStrike EDR.
  2. También puedes ir a Centro de contenido > Paquetes de contenido y hacer clic en el producto CrowdStrike Falcon:
    1. Haz clic en Empezar.
    2. Seleccione el tipo de registro CrowdStrike EDR.

  3. Especifique los valores de los siguientes campos:

    Campo Descripción
    Source Type Amazon SQS
    Region Región de AWS S3 asociada al URI.
    Queue Name Nombre de la cola de SQS de la que se va a leer.
    Account Number El número de cuenta de SQS.
    Source Deletion Option Indica si se deben eliminar los archivos y directorios después de la transferencia.
    Queue Access Key ID Una clave de acceso alfanumérica de 20 caracteres para la cuenta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Una clave de acceso secreta alfanumérica de 40 caracteres para la cuenta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: Configura los siguientes parámetros:

    • Nombre del feed: nombre único predefinido del feed.
    • Espacio de nombres del recurso: espacio de nombres asociado al feed.
    • Etiquetas de ingestión: etiquetas aplicadas a los eventos de este feed.

  5. Haga clic en Crear feed.

Puedes repetir este proceso para crear más feeds del mismo tipo de registro. También puede configurar feeds para otros tipos de registros disponibles directamente desde esta página. Cuando hayas terminado, ve a la página Gestión de feeds para ver un resumen detallado de todos los tipos de registros configurados.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.