Configura feeds por producto
Antes de comenzar
Si usas roles personalizados de IAM, debes hacer lo siguiente:
- Ve a IAM y administración > Roles.
- Selecciona el rol personalizado existente y haz clic en Editar rol.
- Haz clic en Agregar permisos.
- Ingresa lo siguiente:
- chronicle.feedPacks.get
- chronicle.feedPacks.list
- Haz clic en Guardar.
Configura feeds de registros
Para habilitar la detección y la investigación eficaces de amenazas, Google Security Operations se basa en la transferencia de registros estructurados. Configurar correctamente los feeds de registros garantiza que los datos pertinentes se normalicen y estén disponibles para la correlación, las alertas y el análisis.
En este documento, se explica cómo configurar y administrar feeds de registros en Google SecOps. Puedes configurar varios feeds por familia de productos según el tipo de registro. Los tipos de registros que Google identifica como referencia se marcan como obligatorios.
La plataforma proporciona instrucciones de configuración, procedimientos obligatorios y explicaciones de los parámetros de configuración. Algunos parámetros están predefinidos para simplificar el proceso de configuración. Por ejemplo, puedes crear varios feeds en los tipos de registros obligatorios y opcionales dentro de un producto, como CrowdStrike Falcon:
Accede a la página de configuración de varios feeds
Existen dos formas de acceder a la pantalla de configuración de varios feeds:
- Centro de contenido > Paquetes de contenido
- Configuración > Feeds
Configura el feed para CrowdStrike EDR
Sigue estos pasos para configurar un feed de registros para CrowdStrike EDR.
- En Configuración > Feeds, haz clic en Agregar feed nuevo.
- Haz clic en el producto CrowdStrike Falcon:
- Selecciona el tipo de registro CrowdStrike EDR.
- Como alternativa, en Content Hub > Content Packs, haz clic en el producto CrowdStrike Falcon:
- Haz clic en Comenzar.
- Selecciona el tipo de registro CrowdStrike EDR.
Especifica valores para los siguientes campos:
Campo Descripción Source Type
Amazon SQS Region
Es la región de AWS S3 asociada al URI. Queue Name
Es el nombre de la cola de SQS desde la que se leerá. Account Number
Es el número de cuenta de SQS. Source Deletion Option
Indica si se deben borrar los archivos y directorios después de la transferencia. Queue Access Key ID
Es una clave de acceso alfanumérica de 20 caracteres para la cuenta, como AKIAOSFOODNN7EXAMPLE
.Queue Secret Access Key
Es una clave de acceso secreta alfanumérica de 40 caracteres para la cuenta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
.Opcional: Configura los siguientes parámetros:
- Nombre del feed: Es el nombre único predeterminado del feed.
- Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
- Son las etiquetas de transmisión: etiquetas que se aplican a los eventos de este feed.
Haz clic en Crear feed.
Puedes repetir este proceso para crear feeds adicionales para el mismo tipo de registro. También puedes configurar feeds para otros tipos de registros disponibles directamente desde esta página. Cuando termines, ve a la página Administración de feeds para ver un resumen detallado de todos los tipos de registros configurados.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.