Configure feeds por produto

Compatível com:

Antes de começar

Se estiver a usar funções personalizadas do IAM, tem de fazer o seguinte:

  1. Aceda a IAM e administração > Funções.
  2. Selecione a função personalizada existente e clique em Editar função.
  3. Clique em Adicionar autorizações.
  4. Introduza os seguintes dados:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Clique em Guardar.

Configure feeds de registos

Para permitir uma deteção e uma investigação eficazes de ameaças, o Google Security Operations baseia-se na ingestão de registos estruturados. A configuração correta dos feeds de registos garante que os dados relevantes são normalizados e disponibilizados para correlação, alertas e análise.

Este documento explica como configurar e gerir feeds de registos no Google SecOps. Pode configurar vários feeds por família de produtos de acordo com o tipo de registo. Os tipos de registos identificados pela Google como base estão marcados como obrigatórios.

A plataforma fornece instruções de configuração, procedimentos necessários e explicações dos parâmetros de configuração. Alguns parâmetros estão predefinidos para simplificar o processo de configuração. Por exemplo, pode criar vários feeds nos tipos de registos obrigatórios e opcionais num produto, como o CrowdStrike Falcon:

Aceda à página de configuração de vários feeds

Existem duas formas de aceder ao ecrã de configuração de vários feeds:

  • Content Hub > Pacotes de conteúdo
  • Definições > Feeds

Configure o feed para o CrowdStrike EDR

Siga estes passos para configurar um feed de registo para o CrowdStrike EDR.

  1. Em Definições > Feeds, clique em Adicionar novo feed
    1. Clique no produto CrowdStrike Falcon:
    2. Selecione o tipo de registo CrowdStrike EDR.
  2. Em alternativa, em Content Hub > Content Packs, clique no produto CrowdStrike Falcon:
    1. Clique em Começar.
    2. Selecione o tipo de registo CrowdStrike EDR.

  3. Especifique valores para os seguintes campos:

    Campo Descrição
    Source Type Amazon SQS
    Region A região do AWS S3 associada ao URI.
    Queue Name O nome da fila SQS a partir da qual os dados serão lidos.
    Account Number O número de conta do SQS.
    Source Deletion Option Indica se os ficheiros e os diretórios devem ser eliminados após a transferência.
    Queue Access Key ID Uma chave de acesso alfanumérica de 20 carateres para a conta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Uma chave de acesso secreta alfanumérica de 40 carateres para a conta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: configure os seguintes parâmetros:

    • Nome do feed: nome exclusivo pré-preenchido para o feed.
    • Espaço de nomes do recurso: espaço de nomes associado ao feed.
    • Etiquetas de carregamento: etiquetas aplicadas aos eventos deste feed.

  5. Clique em Criar feed.

Pode repetir este processo para criar feeds adicionais para o mesmo tipo de registo. Também pode configurar feeds para outros tipos de registos disponíveis diretamente nesta página. Quando terminar, aceda à página Gestão de feeds para ver um resumo detalhado de todos os tipos de registos configurados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.