Configurar feeds por produto

Compatível com:

Antes de começar

Se você estiver usando papéis personalizados do IAM, faça o seguinte:

  1. Acesse IAM e administrador > Papéis.
  2. Selecione a função personalizada e clique em Editar função.
  3. Clique em Adicionar permissões
  4. Digite o seguinte:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Clique em Salvar.

Configurar feeds de registros

Para permitir a detecção e investigação eficazes de ameaças, o Google Security Operations depende da ingestão de registros estruturados. A configuração adequada dos feeds de registros garante que os dados relevantes sejam normalizados e disponibilizados para correlação, alertas e análise.

Este documento explica como configurar e gerenciar feeds de registros no Google SecOps. É possível configurar vários feeds por família de produtos de acordo com o tipo de registro. Os tipos de registros identificados pelo Google como um valor de referência são marcados como obrigatórios.

A plataforma oferece instruções de configuração, procedimentos necessários e explicações dos parâmetros de configuração. Alguns parâmetros são predefinidos para simplificar o processo de configuração. Por exemplo, é possível criar vários feeds nos tipos de registros obrigatórios e opcionais em um produto, como o CrowdStrike Falcon:

Acessar a página de configuração de vários feeds

Há duas maneiras de acessar a tela de configuração de vários feeds:

  • Central de conteúdo > Pacotes de conteúdo
  • Configurações > Feeds

Configurar o feed para o EDR da CrowdStrike

Siga estas etapas para configurar um feed de registros para o EDR da CrowdStrike.

  1. Em Configurações > Feeds, clique em Adicionar novo feed
    1. Clique no produto CrowdStrike Falcon:
    2. Selecione o tipo de registro EDR do CrowdStrike.
  2. Outra opção é acessar Central de conteúdo > Pacotes de conteúdo e clicar no produto CrowdStrike Falcon:
    1. Clique em Primeiros passos.
    2. Selecione o tipo de registro EDR do CrowdStrike.

  3. Especifique valores para os seguintes campos:

    Campo Descrição
    Source Type Amazon SQS
    Region A região do AWS S3 associada ao URI.
    Queue Name O nome da fila do SQS de onde a leitura será feita.
    Account Number O número da conta do SQS.
    Source Deletion Option Indica se os arquivos e diretórios devem ser excluídos após a transferência.
    Queue Access Key ID Uma chave de acesso alfanumérica de 20 caracteres para a conta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Uma chave de acesso secreta alfanumérica de 40 caracteres para a conta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: configure os seguintes parâmetros:

    • Nome do feed: nome exclusivo pré-preenchido do feed.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados aos eventos deste feed.

  5. Clique em Criar feed.

Repita esse processo para criar outros feeds do mesmo tipo de registro. Também é possível configurar feeds para outros tipos de registros disponíveis diretamente nesta página. Quando terminar, acesse a página Gerenciamento de feeds para conferir um resumo detalhado de todos os tipos de registros configurados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.