Ringkasan Google SecOps Content Hub

Didukung di:

Izin untuk Hub Konten

Untuk mengakses modul dalam Hub Konten, Anda harus mengonfigurasi izin di modul IAM.

Nama izin IAM Nama tampilan Peran di IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Mendapatkan Konten Kueri Penelusuran chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Mencantumkan Konten Kueri Penelusuran chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Menginstal Konten Kueri Penelusuran chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Mencantumkan Aturan Konten Unggulan chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Mendapatkan Konten Dasbor chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Mencantumkan Isi Dasbor chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Menginstal Konten Dasbor chronicle.writer
chronicle.googleapis.com/feedPacks.get Mendapatkan paket feed chronicle.reader
chronicle.googleapis.com/feedPacks.list Mencantumkan paket feed chronicle.reader

Ringkasan

Hub Konten berfungsi sebagai platform terpusat untuk menemukan, men-deploy, dan mengelola konten dalam Google SecOps.

Dari Hub Konten, Anda dapat melakukan hal berikut:

  • Deploy paket konten end-to-end (termasuk penyerapan log, deteksi pilihan, dan dasbor) untuk memungkinkan instance Google SecOps Anda bekerja dengan produk dari daftar yang didukung teratas yang telah kami tetapkan.
  • Instal integrasi pihak ketiga untuk playbook dan konektor SOAR.
  • Melihat dan memfilter deteksi yang dikurasi, memeriksa atribut aturan individual dan definisi aturan masing-masing (transparansi deteksi yang dikurasi). Buka halaman Rule Set untuk kemampuan pengelolaan penuh.
  • Tambahkan dasbor untuk meningkatkan visibilitas Anda.
  • Tambahkan kueri penelusuran tersimpan ke penelusuran SIEM untuk penggunaan ulang yang cepat.
  • Instal dan jalankan Peningkatan untuk memperluas kemampuan playbook.
  • Akses kasus penggunaan SOAR lama di halaman Beranda.

Apa yang dapat saya lakukan di Halaman beranda?

Halaman Beranda adalah halaman landing utama untuk Hub Konten. Dari sini, Anda dapat mengakses hal berikut:

  • Paket Konten, integrasi respons, dasbor, kueri penelusuran, Fitur Power Up, dan deteksi pilihan.
  • Kasus penggunaan SOAR lama. Google merekomendasikan penggunaan Paket Konten baru, bukan kasus penggunaan lama, karena Paket Konten baru menawarkan solusi yang lebih komprehensif dan terintegrasi.

Apa yang dapat saya lakukan di halaman Paket Konten?

Di halaman Paket Konten, Anda dapat mengonfigurasi satu dan beberapa feed, serta mengakses semua opsi Hub Konten lainnya.

Untuk mengaktifkan semua data di halaman Paket Konten, ikuti langkah-langkah berikut:

  1. Konfigurasi beberapa feed untuk keluarga produk berdasarkan jenis log yang Anda butuhkan.
  2. Setelah menyiapkan feed, Anda dapat secara opsional mengonfigurasi komponen Paket Konten yang tersisa (didownload secara otomatis di latar belakang).
    1. Sebelum dapat menggunakan playbook apa pun, Anda harus mengklik Konfigurasi Integrasi dan menyiapkan instance agar playbook dapat berfungsi. Untuk informasi selengkapnya, lihat Mengonfigurasi instance integrasi.
    2. Untuk melihat atau membuat perubahan pada playbook yang didownload atau menjalankannya menggunakan simulator, klik Lihat Playbook. Untuk mengetahui informasi selengkapnya, lihat Bekerja dengan simulator playbook. Anda perlu menyalin nama playbook dan menelusurinya di folder Default di halaman Playbooks.
    3. Klik Lihat semua Aturan Deteksi untuk membuka halaman Deteksi Terkurasi.
    4. Klik Lihat semua Kueri Penelusuran untuk membuka halaman Penelusuran SIEM.
    5. Klik Lihat semua Dasbor untuk membuka halaman Dasbor.

Apa yang dapat saya lakukan di halaman Deteksi Pilihan?

Di halaman Curated Detections, Anda dapat melihat semua definisi aturan deteksi yang didukung di Google SecOps, termasuk logika dan kode aturan.

Untuk melihat dan mengubah deteksi (aturan) yang dikurasi, lakukan hal berikut:

  1. Temukan set aturan yang diperlukan yang ingin Anda perbarui, lalu klik Lihat & Kelola.
  2. Di sidebar yang terbuka di tab Ringkasan, klik Kelola Aturan. Anda akan diarahkan ke seluruh kumpulan aturan di halaman Deteksi Pilihan.
  3. Atau, di sidebar yang terbuka, klik tab yang bertuliskan Definisi Aturan. Tindakan ini akan menampilkan logika aturan. Anda tidak dapat mengubah aturan dari sini, tetapi Anda dapat membuat aturan baru di halaman Aturan. Klik Lihat Performa Aturan untuk beralih ke halaman Deteksi guna mengelola aturan.

Apa yang dapat saya lakukan di halaman Integrasi Respons?

Di halaman Integrasi Respons, Anda dapat melihat detail integrasi, termasuk Catatan Rilis, dan mengonfigurasi integrasi respons individual. Ini dapat digunakan untuk konektor SOAR dan untuk playbook.

Untuk menginstal dan mengonfigurasi integrasi:

  1. Temukan integrasi yang diperlukan, lalu klik Instal.
  2. Setelah penginstalan berhasil, klik Konfigurasi pada integrasi yang sama untuk memulai penyiapan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi instance integrasi.

Apa yang dapat saya lakukan di halaman Dasbor?

Di halaman Dasbor, Anda dapat melihat detail dasbor yang telah diinstal sebelumnya dan menambahkan dasbor baru. Untuk melihat atau mengelola dasbor apa pun, yang sudah diinstal atau ditambahkan dari Hub Konten, buka halaman Dasbor. Catatan: Dasbor yang ditambahkan melalui Hub Konten diberi label Marketplace.

Apa yang dapat saya lakukan di halaman Kueri Penelusuran?

Di halaman Kueri Penelusuran, Anda dapat melihat detail kueri penelusuran dan menambahkan kueri baru. Setelah Anda menambahkan kueri penelusuran, kueri tersebut akan ditambahkan ke penelusuran tersimpan dan dibagikan dalam instance. Untuk melihat atau mengelola kueri tersimpan, buka halaman Penelusuran SIEM.

Apa yang dapat saya lakukan di halaman Peningkatan?

Di halaman Power Up, Anda dapat melihat detail, menginstal, dan mengonfigurasi Power Up Google SecOps untuk digunakan dalam playbook. Untuk petunjuk penyiapan, lihat Menggunakan Peningkatan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.