Google SecOps Content Hub 總覽

支援的國家/地區:

內容中心權限

如要存取內容中心內的模組,必須在 IAM 模組中設定權限。

IAM 權限名稱 顯示名稱 IAM 中的角色
chronicle.googleapis.com/featuredContentSearchQueries.get 取得搜尋查詢內容 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list 列出搜尋查詢內容 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install 安裝搜尋查詢內容 chronicle.writer
chronicle.googleapis.com/featuredContentRules.list 列出精選內容規則 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get 取得資訊主頁內容 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list 列出資訊主頁內容 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install 安裝資訊主頁內容 chronicle.writer
chronicle.googleapis.com/feedPacks.get 取得動態消息套件 chronicle.reader
chronicle.googleapis.com/feedPacks.list 列出動態饋給套件 chronicle.reader

總覽

內容中心是集中式平台,可供您在 Google SecOps 中探索、部署及管理內容。

您可以在內容中心執行下列操作:

  • 部署端對端內容套件 (包括記錄檔擷取、精選偵測和資訊主頁),讓 Google SecOps 執行個體與我們定義的頂端支援清單中的產品搭配運作。
  • 安裝 SOAR 應對手冊和連接器的第三方整合服務。
  • 查看及篩選精選偵測結果、檢查個別規則屬性和相應的規則定義 (精選偵測結果透明度)。如要使用完整管理功能,請前往「規則集」頁面。
  • 新增資訊主頁,提高曝光率。
  • 將已儲存的搜尋查詢新增至 SIEM 搜尋,以便快速重複使用。
  • 安裝及執行增強工具,擴充應對手冊功能。
  • 在「首頁」存取舊版 SOAR 應用實例。

首頁有哪些功能?

「首頁」是內容中心的預設到達網頁。你可以在這裡存取下列項目:

  • 內容套件、回應整合、資訊主頁、搜尋查詢、增強項目和精選偵測。
  • 舊版 SOAR 應用實例。Google 建議使用新的內容套件,而非舊版用途,因為新套件提供更全面整合的解決方案。

「內容套件」頁面有哪些功能?

在「內容包」頁面,你可以設定單一和多個動態饋給,並存取所有其他內容中心選項。

如要匯入「內容套件」頁面上的所有資料,請按照下列步驟操作:

  1. 根據所需記錄類型,為產品系列設定多個動態饋給
  2. 設定動態饋給後,你可以選擇設定內容套件的其餘元件 (系統會在背景自動下載)。
    1. 如要使用任何應對手冊,請先點選「Configure Integrations」(設定整合項目),並設定執行個體,應對手冊才能正常運作。詳情請參閱「設定整合執行個體」。
    2. 如要查看或變更已下載的劇本,或使用模擬器執行劇本,請按一下「查看劇本」。詳情請參閱「使用劇本模擬器」。您需要複製劇本名稱,然後在「劇本」頁面的「預設」資料夾中搜尋。
    3. 按一下「查看所有偵測規則」,開啟「精選偵測」頁面。
    4. 按一下「查看所有搜尋查詢」,開啟「SIEM 搜尋」頁面。
    5. 按一下「查看所有資訊主頁」,開啟「資訊主頁」頁面。

「精選偵測」頁面有哪些功能?

在「精選偵測」頁面中,您可以查看 Google SecOps 中所有支援的偵測規則定義,包括規則邏輯和程式碼。

如要查看及修改精選偵測 (規則),請按照下列步驟操作:

  1. 找出要更新的必要規則集,然後按一下「查看與管理」
  2. 在「總覽」分頁中開啟的側邊欄中,按一下「管理規則」。系統會將您導向「精選偵測項目」頁面,顯示整個規則集。
  3. 或者,在隨即開啟的側邊欄中,按一下「規則定義」分頁標籤。 系統會顯示規則邏輯。您無法在此修改規則,但可以在「規則」頁面中建立新規則。按一下「查看規則成效」,即可前往「偵測」頁面管理規則。

「回覆整合」頁面有哪些功能?

在「回應整合」頁面中,您可以查看整合詳細資料,包括版本說明,以及設定個別回應整合。這些憑證可用於 SOAR 連接器和應對手冊。

如要安裝及設定整合服務,請按照下列步驟操作:

  1. 找出所需整合服務,然後按一下「安裝」
  2. 安裝完成後,請點選相同整合服務的「設定」,開始設定。 詳情請參閱「設定整合執行個體」。

「資訊主頁」頁面有哪些功能?

在「資訊主頁」頁面中,您可以查看預先安裝的資訊主頁詳細資料,以及新增資訊主頁。如要查看或管理任何資訊主頁 (預先安裝或從內容中心新增),請前往「資訊主頁」頁面。注意:透過內容中心新增的資訊主頁會標示為「Marketplace」

「搜尋查詢」頁面有哪些功能?

在「搜尋查詢」頁面中,您可以查看搜尋查詢詳細資料及新增查詢。新增搜尋查詢後,系統會將其加入已儲存的搜尋查詢,並在執行個體中分享。如要查看或管理已儲存的查詢,請前往 SIEM 搜尋頁面。

「Power-Ups」頁面有哪些功能?

您可以在「增強項目」頁面查看詳細資料、安裝及設定 Google SecOps 增強項目,以便在應對手冊中使用。 如需設定操作說明,請參閱「使用 Power-Ups」。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。