Configurer les flux par produit

Compatible avec :

Avant de commencer

Si vous utilisez des rôles IAM personnalisés, vous devez procéder comme suit :

  1. Accédez à IAM et administration > Rôles.
  2. Sélectionnez le rôle personnalisé existant, puis cliquez sur Modifier le rôle.
  3. Cliquez sur Ajouter des autorisations.
  4. Saisissez les informations suivantes :
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Cliquez sur Enregistrer.

Configurer les flux de journaux

Pour détecter et examiner efficacement les menaces, Google Security Operations s'appuie sur l'ingestion de journaux structurés. La configuration correcte des flux de journaux permet de s'assurer que les données pertinentes sont normalisées et disponibles pour la corrélation, les alertes et l'analyse.

Ce document explique comment configurer et gérer les flux de journaux dans Google SecOps. Vous pouvez configurer plusieurs flux par famille de produits en fonction du type de journal. Les types de journaux identifiés par Google comme référence sont marqués comme obligatoires.

La plate-forme fournit des instructions de configuration, les procédures requises et des explications sur les paramètres de configuration. Certains paramètres sont prédéfinis pour simplifier le processus de configuration. Par exemple, vous pouvez créer plusieurs flux pour les types de journaux obligatoires et facultatifs d'un produit, comme CrowdStrike Falcon :

Accéder à la page de configuration de plusieurs flux

Il existe deux façons d'accéder à l'écran de configuration de plusieurs flux :

  • Plate-forme de contenu > Packs de contenu
  • Paramètres > Flux

Configurer le flux pour CrowdStrike EDR

Pour configurer un flux de journaux pour CrowdStrike EDR, procédez comme suit.

  1. Dans Paramètres > Flux, cliquez sur Ajouter un flux.
    1. Cliquez sur le produit CrowdStrike Falcon :
    2. Sélectionnez le type de journal CrowdStrike EDR.
  2. Vous pouvez également cliquer sur le produit CrowdStrike Falcon depuis Hub de contenu> Packs de contenu :
    1. Cliquez sur Commencer.
    2. Sélectionnez le type de journal CrowdStrike EDR.

  3. Indiquez les valeurs des champs suivants :

    Champ Description
    Source Type Amazon SQS
    Region Région AWS S3 associée à l'URI.
    Queue Name Nom de la file d'attente SQS à partir de laquelle lire les données.
    Account Number Numéro de compte SQS.
    Source Deletion Option Indique s'il faut supprimer les fichiers et les répertoires après le transfert.
    Queue Access Key ID Clé d'accès alphanumérique de 20 caractères pour le compte, par exemple AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Clé d'accès secrète alphanumérique de 40 caractères pour le compte, par exemple wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. (Facultatif) Configurez les paramètres suivants :

    • Nom du flux : nom unique prérempli du flux.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués aux événements de ce flux.

  5. Cliquez sur Créer un flux.

Vous pouvez répéter cette procédure pour créer d'autres flux pour le même type de journaux. Vous pouvez également configurer des flux pour d'autres types de journaux disponibles directement sur cette page. Une fois l'opération terminée, accédez à la page Gestion des flux pour afficher un récapitulatif détaillé de tous les types de journaux configurés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.