Google SecOps Content Hub – Übersicht

Unterstützt in:

Berechtigungen für Content Hub

Kunden, die ihre SOAR-Instanz noch nicht zu Google Cloudmigriert haben, müssen darauf achten, dass die Berechtigungen Marketplace und Antwortintegrationen auf der Seite SOAR-Einstellungen> Berechtigungen festgelegt sind.

Alle anderen Kunden müssen die folgenden Berechtigungen im IAM-Modul konfigurieren, um auf Module im Content Hub zugreifen zu können.

Name der IAM-Berechtigung Anzeigename Rolle in IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Inhalte von Suchanfragen abrufen chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Inhalte der Suchanfrage auflisten chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Inhalte für Suchanfragen installieren chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Regeln für vorgestellte Inhalte auflisten chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Dashboard-Inhalte abrufen chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Dashboard-Inhalte auflisten chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Dashboard-Inhalte installieren chronicle.writer
chronicle.googleapis.com/feedPacks.get Feedpakete abrufen chronicle.reader
chronicle.googleapis.com/feedPacks.list Feedpakete auflisten chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Playbook für empfohlene Inhalte chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Playbook für Listen mit empfohlenen Inhalten chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Playbook für empfohlene Inhalte installieren chronicle.writer

Übersicht

Der Content Hub dient als zentrale Plattform zum Erkennen, Bereitstellen und Verwalten von Inhalten in Google SecOps.

Im Content Hub haben Sie folgende Möglichkeiten:

  • Stellen Sie End-to-End-Inhaltspakete (einschließlich der Erfassung von Protokollen, kuratierter Erkennung und Dashboards) bereit, damit Ihre Google SecOps-Instanz mit Produkten aus der von uns definierten Liste der am besten unterstützten Produkte zusammenarbeiten kann.
  • Installieren Sie Drittanbieterintegrationen für SOAR-Playbooks und ‑Connectors.
  • Sie können kuratierte Erkennungen ansehen und filtern sowie einzelne Regelattribute und die entsprechenden Regeldefinitionen prüfen (Transparenz bei kuratierten Erkennungen). Auf der Seite „Regelsatz“ finden Sie alle Verwaltungsfunktionen.
  • Fügen Sie Dashboards hinzu, um Ihre Sichtbarkeit zu erhöhen.
  • Gespeicherte Suchanfragen können der SIEM-Suche hinzugefügt werden, um sie schnell wiederzuverwenden.
  • Installieren und verwenden Sie Power-ups, um die Funktionen von Playbooks zu erweitern.
  • Playbooks installieren und ausführen, um SOAR-Antworten zu erhalten.
  • Auf der Startseite können Sie auf Legacy-SOAR-Anwendungsfälle zugreifen.

Inhaltstypen

Es gibt vier Arten von Inhalten im Content Hub:

  • Google: Inhalte, die von Google SecOps entwickelt, verwaltet und überprüft wurden. Diese Kategorie umfasst sowohl neue als auch aktualisierte Inhalte.
  • Partner: Inhalte, die von einem Partner entwickelt und gepflegt wurden. Diese Inhalte werden durch die automatisierten Qualitäts- und Validierungsprüfungen von Google validiert. Für Partnerinhalte werden spezifische Kontaktdaten für den Support angegeben.
  • Community: Inhalte, die von Community-Nutzern entwickelt und gepflegt wurden. Diese Inhalte werden durch die automatisierten Qualitäts- und Validierungsprüfungen von Google validiert.
  • Benutzerdefiniert: Inhalte, die Sie erstellt haben und die nur in Ihrem eigenen Content Hub angezeigt werden. Diese Inhalte sind privat für Ihre Instanz und werden nicht von Google SecOps überprüft.

Was kann ich auf der Startseite tun?

Die Startseite ist die Haupt-Landingpage für den Content Hub. Hier haben Sie Zugriff auf Folgendes:

  • Inhaltspakete, Antwortintegrationen, Dashboards, Suchanfragen, Power-ups und kuratierte Erkennungen.
  • Legacy-SOAR-Anwendungsfälle. Google empfiehlt, die neuen Inhaltspakete anstelle der alten Anwendungsfälle zu verwenden, da sie umfassendere und integrierte Lösungen bieten.

Sie können gleichzeitig in allen Inhaltstypen suchen, einschließlich Inhaltspaketen, Erkennungen, Antwortintegrationen und Dashboards. Sie müssen also nicht mehr auf einzelne Tabs klicken, um zugehörige Assets zu finden. Auf der Plattform werden Ergebnisse mit der Gesamtzahl der Übereinstimmungen für jeden Typ angezeigt. Sie können auf ein beliebiges Ergebnis klicken, um weitere Details aufzurufen.

Wenn Sie beispielsweise im Feld Search (Suche) nach Crowdstrike suchen, gibt die Plattform Folgendes zurück:

  • Content-Packs (1): Zum Beispiel das Crowdstrike Falcon Comprehensive Pack.
  • Kuratierte Erkennungen (42): Die vier wichtigsten Karten werden angezeigt, z. B. „Crowdstrike Falcon: Malware Detected“ (Crowdstrike Falcon: Malware erkannt) und „Crowdstrike Falcon: Sensor Tampering“ (Crowdstrike Falcon: Sensor-Manipulation). Klicken Sie auf Alle 42 Ergebnisse ansehen, um direkt zum Tab Erkennungen zu gelangen.
  • Reaktionsintegrationen (2): Zum Beispiel Crowdstrike Falcon (Response) – wird für Playbook-Aktionen wie „Host isolieren“ verwendet.
  • Dashboards (3)

Was kann ich auf der Seite „Inhaltspakete“ tun?

Auf der Seite Content Packs können Sie einzelne und mehrere Feeds konfigurieren und auf alle anderen Content Hub-Optionen zugreifen.

So stellen Sie alle Daten auf der Seite Content-Packs bereit:

  1. Mehrere Feeds für Produktfamilien konfigurieren, je nach dem benötigten Logtyp.
  2. Nachdem Sie den Feed eingerichtet haben, können Sie optional die verbleibenden Komponenten des Inhaltspakets konfigurieren, die automatisch im Hintergrund heruntergeladen werden.
    1. Bevor Sie ein Playbook verwenden können, müssen Sie auf Integrationen konfigurieren klicken und eine Instanz einrichten, damit die Playbooks funktionieren. Weitere Informationen finden Sie unter Integrationsinstanzen konfigurieren.
    2. Wenn Sie das heruntergeladene Playbook aufrufen, Änderungen daran vornehmen oder es mit dem Simulator ausführen möchten, klicken Sie auf Playbooks ansehen. Weitere Informationen finden Sie unter Mit dem Playbook-Simulator arbeiten. Kopieren Sie den Namen des Playbooks und suchen Sie auf der Seite Playbooks im Ordner „Standard“ danach.
    3. Klicken Sie auf Alle Erkennungsregeln ansehen, um die Seite Kuratierte Erkennungen zu öffnen.
    4. Klicken Sie auf Alle Suchanfragen ansehen, um die Seite SIEM Search zu öffnen.
    5. Klicken Sie auf Alle Dashboards ansehen, um die Seite Dashboards zu öffnen.

Was kann ich auf der Seite „Ausgewählte Erkennungen“ tun?

Auf der Seite Curated Detections (Kuratierte Erkennungen) können Sie alle unterstützten Definitionen von Erkennungsregeln in Google SecOps ansehen, einschließlich Regellogik und ‑code.

So rufen Sie kuratierte Erkennungen (Regeln) auf und ändern sie:

  1. Suchen Sie den gewünschten Regelsatz, den Sie aktualisieren möchten, und klicken Sie auf Ansehen und verwalten.
  2. Klicken Sie in der Seitenleiste, die auf dem Tab Übersicht geöffnet wird, auf Regel verwalten. Sie werden auf der Seite Ausgewählte Erkennungen zum gesamten Regelsatz weitergeleitet.
  3. Alternativ können Sie in der Seitenleiste, die sich öffnet, auf den Tab Regeldefinition klicken. Dadurch wird die Regellogik angezeigt. Sie können die Regel hier nicht ändern, aber auf der Seite Regeln eine neue Regel erstellen. Klicken Sie auf Regelleistung ansehen, um zur Seite Erkennungen zu wechseln und die Regel zu verwalten.

Was kann ich auf der Seite „Antwortintegrationen“ tun?

Auf der Seite Antwortintegrationen können Sie Integrationsdetails, einschließlich Release Notes, aufrufen und die einzelnen Antwortintegrationen konfigurieren. Sie können für SOAR-Connectors und für Playbooks verwendet werden.

Sie können eine Integration auch auf eine frühere Version zurücksetzen, wenn ein Update Probleme verursacht oder Sie Änderungen am benutzerdefinierten Code rückgängig machen müssen.

So installieren und konfigurieren Sie eine Integration:

  1. Suchen Sie die gewünschte Integration und klicken Sie auf Installieren.
  2. Klicken Sie nach der erfolgreichen Installation bei derselben Integration auf Konfigurieren, um mit der Einrichtung zu beginnen. Weitere Informationen finden Sie unter Integrationsinstanzen konfigurieren.

Was kann ich auf der Seite „Dashboards“ tun?

Auf der Seite Dashboards können Sie Details zu vorinstallierten Dashboards aufrufen und neue Dashboards hinzufügen. Wenn Sie ein Dashboard aufrufen oder verwalten möchten, das vorinstalliert ist oder über den Content Hub hinzugefügt wurde, rufen Sie die Seite Dashboards auf. Hinweis: Über den Content Hub hinzugefügte Dashboards werden mit Marketplace gekennzeichnet.

Was kann ich auf der Seite „Playbooks und Blöcke“ tun?

Auf der Seite Playbooks und Blöcke können Sie sowohl Playbooks als auch Playbook-Blöcke (verschachtelte Playbooks) ansehen und installieren. Sie können Playbooks nach verschiedenen Filtern und Kategorien anzeigen lassen. Sie können sich beispielsweise nur Playbooks anzeigen lassen, die Integrationen enthalten, die Sie bereits in Ihrer Instanz installiert haben, oder nur Playbooks mit bestimmten Integrationen.

So rufen Sie ein Playbook oder einen Playbook-Block auf und installieren ihn:

  1. Suchen Sie das erforderliche Playbook oder den erforderlichen Block und klicken Sie auf Details ansehen.
  2. Sehen Sie sich die Informationen in der Seitenleiste an, die geöffnet wird, und klicken Sie auf Hinzufügen.
  3. Wählen Sie die Umgebung aus, der Sie das Playbook oder den Block hinzufügen möchten.
  4. Klicken Sie auf den Link, um zur Seite „Playbook Designer“ weitergeleitet zu werden. Das gerade hinzugefügte Playbook wird dort angezeigt. Sie können dasselbe Playbook mehrmals hinzufügen. Jedes Playbook erhält einen Titel mit einer aufsteigenden Nummer.

Weitere Informationen finden Sie auf der Seite Playbooks.

Was kann ich auf der Seite „Suchanfragen“ tun?

Auf der Seite Suchanfragen können Sie Details zu Suchanfragen aufrufen und neue Anfragen hinzufügen. Wenn Sie eine Suchanfrage hinzufügen, wird sie den gespeicherten Suchanfragen hinzugefügt und in der Instanz geteilt. Wenn Sie gespeicherte Abfragen ansehen oder verwalten möchten, rufen Sie die Seite SIEM Search auf.

Was kann ich auf der Seite „Power-ups“ tun?

Auf der Seite Power-ups können Sie Details zu Google SecOps-Power-ups ansehen, sie installieren und für die Verwendung in Playbooks konfigurieren. Eine Anleitung zur Einrichtung finden Sie unter Power-ups verwenden.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten