Google SecOps Content Hub の概要

以下でサポートされています。

Content Hub は、Google SecOps 内でコンテンツを検出してデプロイし、管理するための一元的なプラットフォームとして機能します。

Content Hub では、次の操作を行うことができます。

  • エンドツーエンドのコンテンツ パック(ログの取り込み、キュレートされた検出、ダッシュボードなど)をデプロイして、Google SecOps インスタンスが、Google が定義した上位のサポート対象リストに含まれるプロダクトを操作できるようにします。
  • SOAR ハンドブックとコネクタのサードパーティ統合をインストールします。
  • キュレートされた検出結果を表示してフィルタし、個々のルール属性とそれぞれのルール定義を調べる(キュレートされた検出結果の透明性)。完全な管理機能については、[ルールセット] ページに移動します。
  • ダッシュボードを追加して視認性を高めましょう。
  • 保存した検索クエリを SIEM 検索に追加して、すばやく再利用できます。
  • パワーアップをインストールして実行し、ハンドブックの機能を拡張します。
  • 以前の SOAR のユースケースには、[ホーム] ページからアクセスできます。

ホームページではどのようなことができますか?

[ホーム] ページは、コンテンツ ハブのメイン ランディング ページです。ここから、次の項目にアクセスできます。

  • コンテンツ パック、レスポンス統合、ダッシュボード、検索クエリ、パワーアップ、キュレートされた検出機能。
  • 従来の SOAR のユースケース。より包括的で統合されたソリューションを提供するため、以前のユースケースではなく、新しいコンテンツ パックを使用することをおすすめします。

コンテンツ パック ページではどのようなことができますか?

[コンテンツ パック] ページでは、単一または複数のフィードを構成し、Content Hub の他のすべてのオプションにアクセスできます。

[コンテンツ パック] ページですべてのデータをオンボーディングする手順は次のとおりです。

  1. 必要なログタイプに基づいて、プロダクト ファミリーに複数のフィードを設定する
  2. フィードを設定したら、必要に応じてコンテンツ パックの残りのコンポーネントを設定できます(バックグラウンドで自動的にダウンロードされます)。
    1. ハンドブックを使用するには、[インテグレーションを構成] をクリックしてインスタンスを設定する必要があります。詳細については、インテグレーション インスタンスを構成するをご覧ください。
    2. ダウンロードしたハンドブックを表示、変更、シミュレータを使用して実行するには、[ハンドブックを表示] をクリックします。詳細については、Playbook Simulator の操作をご覧ください。ハンドブック名をコピーし、[ハンドブック] ページのデフォルト フォルダで検索する必要があります。
    3. [すべての検出ルールを表示] をクリックして、[キュレーションされた検出機能] ページを開きます。
    4. [すべての検索クエリを表示] をクリックして、[SIEM 検索] ページを開きます。
    5. [すべてのダッシュボードを表示] をクリックして、[ダッシュボード] ページを開きます。

[キュレーションされた検出機能] ページではどのようなことができますか?

[キュレーションされた検出機能] ページでは、Google SecOps でサポートされている検出ルールの定義(ルールロジックやコードなど)をすべて確認できます。

キュレートされた検出(ルール)を表示して変更する手順は次のとおりです。

  1. 更新する必要なルールセットを見つけて、[表示と管理] をクリックします。
  2. [概要] タブで開いたサイドバーで、[ルールを管理] をクリックします。[キュレートされた検出] ページに、ルールセット全体が表示されます。
  3. または、開いたサイドバーで [ルール定義] タブをクリックします。ルールのロジックが表示されます。このページからルールを変更することはできませんが、[ルール] ページで新しいルールを作成できます。[View Rule Performance] をクリックして [Detections] ページに移動し、ルールを管理します。

[Response Integrations] ページではどのようなことができますか?

[レスポンス統合] ページでは、リリースノートなどの統合の詳細を確認したり、個々のレスポンス統合を構成したりできます。これらは、SOAR コネクタと Playbook に使用できます。

統合をインストールして構成するには:

  1. 必要な統合を見つけて [インストール] をクリックします。
  2. インストールが正常に完了したら、同じ統合で [Configure] をクリックして設定を開始します。詳細については、統合インスタンスを構成するをご覧ください。

ダッシュボード ページではどのようなことができますか?

[ダッシュボード] ページでは、プリインストール済みのダッシュボードの詳細を表示したり、新しいダッシュボードを追加したりできます。事前インストールされているダッシュボードや Content Hub から追加したダッシュボードを表示または管理するには、[ダッシュボード] ページに移動します。注: Content Hub から追加されたダッシュボードには [Marketplace](マーケットプレイス)というラベルが付いています。

[検索クエリ] ページでは何ができますか?

[検索クエリ] ページでは、検索クエリの詳細を確認したり、新しいクエリを追加したりできます。検索クエリを追加すると、保存済みの検索に追加され、インスタンス内で共有されます。保存したクエリを表示または管理するには、SIEM 検索ページに移動します。

パワーアップ ページでは何ができますか?

[Power Ups] ページでは、Google SecOps Power Up の詳細を表示したり、プレイブックで使用するためにインストール、構成したりできます。設定手順については、パワーアップを使用するをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。