Descripción general del Centro de contenido

Compatible con:

Permisos para el Centro de contenido

Para los clientes que no migraron su instancia de SOAR a Google Cloud, asegúrate de que los permisos de Marketplace y Response Integrations estén configurados en la página SOAR Settings > Permissions.

Para todos los demás clientes, para acceder a los módulos dentro del Centro de contenido, debes configurar los siguientes permisos en el módulo de IAM.

Nombre del permiso de IAM Nombre visible Función en IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Obtener contenido de la consulta de búsqueda chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Mostrar el contenido de la consulta de búsqueda chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Instalar contenido de la consulta de búsqueda chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Mostrar reglas de contenido destacadas chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Obtener contenido del panel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Mostrar contenido del panel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Instalar contenido del panel chronicle.writer
chronicle.googleapis.com/feedPacks.get Obtener paquetes de feeds chronicle.reader
chronicle.googleapis.com/feedPacks.list Mostrar paquetes de feeds chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Obtener guía de contenido destacada chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Mostrar guía de contenido destacada chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Instalar guía de contenido destacada chronicle.writer

Descripción general

El Centro de contenido funciona como una plataforma centralizada para descubrir, implementar y administrar contenido en Google SecOps.

En el Centro de contenido, puedes hacer lo siguiente:

  • Implementar paquetes de contenido de extremo a extremo (incluida la ingesta de registros, las detecciones seleccionadas y los paneles) para permitir que tu instancia de Google SecOps funcione con los productos de la lista principal admitida que definimos
  • Instalar integraciones de terceros para guías y conectores de SOAR
  • Ver y filtrar detecciones seleccionadas, inspeccionar atributos de reglas individuales y definiciones de reglas respectivas (transparencia de detecciones seleccionadas) Navegar a la página Conjunto de reglas para obtener capacidades de administración completas
  • Agregar paneles para mejorar la visibilidad
  • Agregar consultas de búsqueda guardadas a la búsqueda de SIEM para una reutilización rápida
  • Instalar y ejecutar potenciadores para extender las capacidades de las guías
  • Instalar y ejecutar guías para proporcionar respuestas de SOAR
  • Acceder a casos de uso de SOAR heredados en la página Principal

Tipos de contenido

Existen cuatro tipos de contenido en el Centro de contenido:

  • Google: Contenido desarrollado, mantenido y verificado por Google SecOps. Esta categoría incluye elementos de contenido nuevos y actualizados.
  • Socio: Contenido desarrollado y mantenido por un socio. Este contenido se valida a través de las verificaciones de calidad y validación automatizadas de Google. Para el contenido de socios, se proporcionan datos de contacto de asistencia específicos.
  • Comunidad: Contenido desarrollado y mantenido por usuarios de la comunidad. Este contenido se valida a través de las verificaciones de calidad y validación automatizadas de Google.
  • Personalizado: Contenido que creaste y que solo se muestra en tu propio Centro de contenido. Este contenido es privado para tu instancia y no está verificado por Google SecOps.

¿Qué puedo hacer en la página Principal?

La página Principal es la página de destino principal del Centro de contenido. Desde aquí, puedes acceder a lo siguiente:

  • Paquetes de contenido, integraciones de respuesta, paneles, consultas de búsqueda, potenciadores y detecciones seleccionadas
  • Casos de uso de SOAR heredados Google recomienda usar los nuevos paquetes de contenido en lugar de los casos de uso heredados, ya que ofrecen soluciones más integrales e integradas.

Puedes buscar en todos los tipos de contenido, incluidos los paquetes de contenido, las detecciones, las integraciones de respuesta y los paneles, de forma simultánea. Esta capacidad elimina la necesidad de navegar por pestañas individuales para encontrar recursos relacionados. La plataforma muestra los resultados con la cantidad total de coincidencias para cada tipo. Puedes hacer clic en cualquiera de los resultados para ver más detalles.

Por ejemplo, si buscas Crowdstrike en el campo Buscar, la plataforma muestra lo siguiente:

  • Paquetes de contenido (1): Por ejemplo, el paquete integral de Crowdstrike Falcon.
  • Detecciones seleccionadas (42): Se muestran las cuatro tarjetas principales, como "Crowdstrike Falcon: Malware Detected" y "Crowdstrike Falcon: Sensor Tampering". Haz clic en Ver los 42 resultados para ir directamente a la pestaña Detecciones.
  • Integraciones de respuesta (2): Por ejemplo, Crowdstrike Falcon (Response), que se usa para acciones de guías como "Isolate Host".
  • Paneles (3)

¿Qué puedo hacer en la página Paquetes de contenido?

En la página Paquetes de contenido, puedes configurar feeds únicos y múltiples, y acceder a todas las demás opciones del Centro de contenido.

Para incorporar todos los datos en la página Paquetes de contenido, sigue estos pasos:

  1. Configura varios feeds para familias de productos según el tipo de registro que necesites.
  2. Después de configurar el feed, puedes configurar de forma opcional los componentes restantes del paquete de contenido (se descargan automáticamente en segundo plano).
    1. Antes de poder usar cualquier guía, debes hacer clic en Configurar integraciones y configurar una instancia para que funcionen las guías. Para obtener más información, consulta Configura instancias de integración.
    2. Para ver o realizar cambios en la guía descargada o ejecutarla con el simulador, haz clic en Ver guías. Para obtener más información, consulta Trabaja con el simulador de guías. Debes copiar el nombre de la guía y buscarlo en la carpeta predeterminada de la página Guías.
    3. Haz clic en Ver todas las reglas de detección para abrir la página Detecciones seleccionadas.
    4. Haz clic en Ver todas las consultas de búsqueda para abrir la página Búsqueda de SIEM.
    5. Haz clic en Ver todos los paneles para abrir la página Paneles.

¿Qué puedo hacer en la página Detecciones seleccionadas?

En la página Detecciones seleccionadas, puedes ver todas las definiciones de reglas de detección admitidas en Google SecOps, incluida la lógica y el código de las reglas.

Para ver y modificar las detecciones seleccionadas (reglas), haz lo siguiente:

  1. Busca el conjunto de reglas requerido que deseas actualizar y haz clic en Ver y administrar.
  2. En la barra lateral que se abre en la pestaña Descripción general, haz clic en Administrar regla. Se te dirigirá a todo el conjunto de reglas en la página Detecciones seleccionadas.
  3. Como alternativa, en la barra lateral que se abre, haz clic en la pestaña que dice Definición de regla. Se mostrará la lógica de la regla. No puedes modificar la regla desde aquí, pero puedes crear una regla nueva en la página Reglas. Haz clic en Ver rendimiento de la regla para cambiar a la página Detecciones y administrar la regla.

¿Qué puedo hacer en la página Integraciones de respuesta?

En la página Integraciones de respuesta, puedes ver los detalles de la integración, incluidas las Notas de versión, y configurar las integraciones de respuesta individuales. Se pueden usar para conectores de SOAR y para guías.

También puedes revertir una integración a una versión anterior si una actualización causa problemas o si necesitas revertir los cambios de código personalizado.

Para instalar y configurar una integración, haz lo siguiente:

  1. Busca la integración requerida y haz clic en Instalar.
  2. Después de la instalación correcta, haz clic en Configurar en la misma integración para comenzar la configuración. Para obtener más información, consulta Configura instancias de integración.

¿Qué puedo hacer en la página Paneles?

En la página Paneles, puedes ver los detalles de los paneles preinstalados y agregar paneles nuevos. Para ver o administrar cualquier panel, preinstalado o agregado desde el Centro de contenido, ve a la página Paneles. Nota: Los paneles agregados a través del Centro de contenido se etiquetan como Marketplace.

¿Qué puedo hacer en la página Guías y bloques?

En la página Guías y bloques, puedes ver e instalar guías y bloques de guías (guías anidadas). Puedes mostrar guías según varios filtros y categorías. Por ejemplo, puedes mostrar solo las guías que contienen integraciones que ya instalaste en tu instancia o elegir mostrar solo las guías con integraciones específicas.

Para ver e instalar una guía o un bloque de guías, haz lo siguiente:

  1. Busca la guía o el bloque requerido y haz clic en Ver detalles.
  2. En el cajón lateral que se abre, revisa la información y haz clic en Agregar.
  3. Selecciona el entorno en el que deseas agregar la guía o el bloque.
  4. Haz clic en el vínculo para que se te redireccione a la página del diseñador de guías con la guía que acabas de agregar en pantalla. Puedes agregar la misma guía varias veces. Cada guía se titulará con un número ascendente.

Para obtener más información, consulta la página Guías.

¿Qué puedo hacer en la página Consultas de búsqueda?

En la página Consultas de búsqueda, puedes ver los detalles de las consultas de búsqueda y agregar consultas nuevas. Una vez que agregas una consulta de búsqueda, se agrega a las búsquedas guardadas y se comparte dentro de la instancia. Para ver o administrar las consultas guardadas, ve a la página Búsqueda de SIEM.

¿Qué puedo hacer en la página Potenciadores?

En la página Potenciadores , puedes ver los detalles, instalar y configurar los potenciadores de Google SecOps para usarlos en guías. Para obtener instrucciones de configuración, consulta Usa potenciadores.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.