Configura feeds por producto

Compatible con:

Antes de comenzar

Si usas roles personalizados de IAM, debes hacer lo siguiente:

  1. Ve a IAM y administración > Roles.
  2. Selecciona el rol personalizado existente y haz clic en Editar rol.
  3. Haz clic en Agregar permisos.
  4. Ingresa lo siguiente:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Haz clic en Guardar.

Configura feeds de registros

Para habilitar la detección y la investigación eficaces de amenazas, Google Security Operations se basa en la transferencia de registros estructurados. Configurar correctamente los feeds de registros garantiza que los datos pertinentes se normalicen y estén disponibles para la correlación, las alertas y el análisis.

En este documento, se explica cómo configurar y administrar feeds de registros en Google SecOps. Puedes configurar varios feeds por familia de productos según el tipo de registro. Los tipos de registros que Google identifica como referencia se marcan como obligatorios.

La plataforma proporciona instrucciones de configuración, procedimientos obligatorios y explicaciones de los parámetros de configuración. Algunos parámetros están predefinidos para simplificar el proceso de configuración. Por ejemplo, puedes crear varios feeds en los tipos de registros obligatorios y opcionales dentro de un producto, como CrowdStrike Falcon:

Accede a la página de configuración de varios feeds

Existen dos formas de acceder a la pantalla de configuración de varios feeds:

  • Centro de contenido > Paquetes de contenido
  • Configuración > Feeds

Configura el feed para CrowdStrike EDR

Sigue estos pasos para configurar un feed de registros para CrowdStrike EDR.

  1. En Configuración > Feeds, haz clic en Agregar feed nuevo.
    1. Haz clic en el producto CrowdStrike Falcon:
    2. Selecciona el tipo de registro CrowdStrike EDR.
  2. Como alternativa, en Content Hub > Content Packs, haz clic en el producto CrowdStrike Falcon:
    1. Haz clic en Comenzar.
    2. Selecciona el tipo de registro CrowdStrike EDR.

  3. Especifica valores para los siguientes campos:

    Campo Descripción
    Source Type Amazon SQS
    Region Es la región de AWS S3 asociada al URI.
    Queue Name Es el nombre de la cola de SQS desde la que se leerá.
    Account Number Es el número de cuenta de SQS.
    Source Deletion Option Indica si se deben borrar los archivos y directorios después de la transferencia.
    Queue Access Key ID Es una clave de acceso alfanumérica de 20 caracteres para la cuenta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Es una clave de acceso secreta alfanumérica de 40 caracteres para la cuenta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: Configura los siguientes parámetros:

    • Nombre del feed: Es el nombre único predeterminado del feed.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Son las etiquetas de transmisión: etiquetas que se aplican a los eventos de este feed.

  5. Haz clic en Crear feed.

Puedes repetir este proceso para crear feeds adicionales para el mismo tipo de registro. También puedes configurar feeds para otros tipos de registros disponibles directamente desde esta página. Cuando termines, ve a la página Administración de feeds para ver un resumen detallado de todos los tipos de registros configurados.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.