Panoramica di Google SecOps Content Hub
Autorizzazioni per l'hub dei contenuti
Per accedere ai moduli all'interno di Content Hub, devi configurare le autorizzazioni nel modulo IAM.
| Nome dell'autorizzazione IAM | Nome visualizzato | Ruolo in IAM |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
Ottieni i contenuti delle query di ricerca | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
Elenco dei contenuti delle query di ricerca | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
Installare i contenuti delle query di ricerca | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
Elenco delle regole per i contenuti in primo piano | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
Ottieni contenuti della dashboard | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
Elenco contenuti della dashboard | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
Installare i contenuti della dashboard | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
Ricevere pacchetti di feed | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
Elencare i pacchetti di feed | chronicle.reader |
Panoramica
L'hub dei contenuti funge da piattaforma centralizzata per scoprire, implementare e gestire i contenuti all'interno di Google SecOps.
Dall'hub dei contenuti puoi:
- Esegui il deployment di pacchetti di contenuti end-to-end (inclusi l'importazione dei log, i dashboard e i rilevamenti curati) per consentire alla tua istanza di Google SecOps di funzionare con i prodotti dell'elenco dei più supportati che abbiamo definito.
- Installa integrazioni di terze parti per i playbook e i connettori SOAR.
- Visualizza e filtra i rilevamenti curati, esamina i singoli attributi delle regole e le rispettive definizioni delle regole (trasparenza dei rilevamenti curati). Vai alla pagina Set di regole per funzionalità di gestione complete.
- Aggiungi dashboard per migliorare la visibilità.
- Aggiungi query di ricerca salvate alla ricerca SIEM per riutilizzarle rapidamente.
- Installa ed esegui i potenziamenti per estendere le funzionalità del playbook.
- Accedi ai casi d'uso SOAR legacy nella pagina Home.
Che cosa posso fare nella home page?
La pagina Home è la pagina di destinazione principale dell'Hub dei contenuti. Da qui puoi accedere a:
- Pacchetti di contenuti, integrazioni di risposta, dashboard, query di ricerca, potenziamenti e rilevamenti curati.
- Casi d'uso SOAR legacy. Google consiglia di utilizzare i nuovi pacchetti di contenuti anziché i casi d'uso legacy perché offrono soluzioni più complete e integrate.
Che cosa posso fare nella pagina Pacchetti di contenuti?
Nella pagina Pacchetti di contenuti, puoi configurare feed singoli e multipli e accedere a tutte le altre opzioni di Content Hub.
Per eseguire l'onboarding di tutti i dati nella pagina Pacchetti di contenuti:
- Configura più feed per le famiglie di prodotti in base al tipo di log di cui hai bisogno.
- Dopo aver configurato il feed, puoi facoltativamente configurare i componenti rimanenti del pacchetto di contenuti (scaricato automaticamente in background).
- Prima di poter utilizzare un playbook, devi fare clic su Configura integrazioni e configurare un'istanza affinché i playbook funzionino. Per saperne di più, consulta Configurare le istanze di integrazione.
- Per visualizzare o apportare modifiche al playbook scaricato o eseguirlo utilizzando il simulatore, fai clic su Visualizza playbook. Per maggiori informazioni, vedi Utilizzare il simulatore di playbook. Devi copiare il nome del playbook e cercarlo nella cartella Predefinito nella pagina Playbook.
- Fai clic su Visualizza tutte le regole di rilevamento per aprire la pagina Rilevamenti curati.
- Fai clic su Visualizza tutte le query di ricerca per aprire la pagina Ricerca SIEM.
- Fai clic su Visualizza tutte le dashboard per aprire la pagina Dashboard.
Che cosa posso fare nella pagina Rilevamenti selezionati?
Nella pagina Curated Detections (Rilevamenti curati), puoi visualizzare tutte le definizioni delle regole di rilevamento supportate in Google SecOps, inclusi la logica e il codice delle regole.
Per visualizzare e modificare le rilevazioni (regole) curate:
- Trova il set di regole richiesto che vuoi aggiornare e fai clic su Visualizza e gestisci.
- Nella barra laterale che si apre nella scheda Panoramica, fai clic su Gestisci regola. Verrà visualizzato l'intero set di regole nella pagina Rilevamenti selezionati.
- In alternativa, nella barra laterale che si apre, fai clic sulla scheda Definizione regola. Viene visualizzata la logica della regola. Da qui non puoi modificare la regola, ma puoi crearne una nuova nella pagina Regole. Fai clic su Visualizza rendimento regola per passare alla pagina Rilevamenti e gestire la regola.
Che cosa posso fare nella pagina Integrazioni delle risposte?
Nella pagina Integrazioni delle risposte, puoi visualizzare i dettagli dell'integrazione, incluse le note di rilascio, e configurare le singole integrazioni delle risposte. Possono essere utilizzati per i connettori SOAR e per i playbook.
Per installare e configurare un'integrazione:
- Trova l'integrazione richiesta e fai clic su Installa.
- Una volta completata l'installazione, fai clic su Configura nella stessa integrazione per iniziare la configurazione. Per saperne di più, consulta Configurare le istanze di integrazione.
Che cosa posso fare nella pagina Dashboard?
Nella pagina Dashboard, puoi visualizzare i dettagli delle dashboard preinstallate e aggiungerne di nuove. Per visualizzare o gestire una dashboard, preinstallata o aggiunta dall'hub dei contenuti, vai alla pagina Dashboard. Nota: le dashboard aggiunte tramite l'hub dei contenuti sono etichettate come Marketplace.
Che cosa posso fare nella pagina Query di ricerca?
Nella pagina Query di ricerca, puoi visualizzare i dettagli delle query di ricerca e aggiungerne di nuove. Una volta aggiunta una query di ricerca, questa viene aggiunta alle ricerche salvate e condivisa all'interno dell'istanza. Per visualizzare o gestire le query salvate, vai alla pagina SIEM Search.
Che cosa posso fare nella pagina Power-up?
Nella pagina Potenziamenti, puoi visualizzare i dettagli, installare e configurare i potenziamenti di Google SecOps da utilizzare nei playbook. Per istruzioni sulla configurazione, vedi Utilizzare i Power-up.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.