Descripción general de Google SecOps Content Hub

Compatible con:

Permisos para el Centro de contenido

Para los clientes que no migraron su instancia de SOAR a Google Cloud, asegúrate de que los permisos de Marketplace y Response Integrations estén establecidos en la página Configuración de SOAR > Permisos.

Para todos los demás clientes, si desean acceder a los módulos de Content Hub, deben configurar los siguientes permisos en el módulo de IAM.

Nombre del permiso de IAM Nombre visible Rol en IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Obtener contenido de la búsqueda chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Enumera el contenido de la búsqueda chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Instala contenido de búsqueda chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Enumera las reglas de contenido destacado chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Obtener contenido del panel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Enumera el contenido del panel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Instala contenido del panel chronicle.writer
chronicle.googleapis.com/feedPacks.get Obtén paquetes de feeds chronicle.reader
chronicle.googleapis.com/feedPacks.list Enumera paquetes de feeds chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Guía sobre cómo obtener contenido destacado chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Guía sobre cómo crear listas de contenido destacado chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Guía de instalación de la guía de contenido destacado chronicle.writer

Descripción general

El Centro de contenido sirve como una plataforma centralizada para descubrir, implementar y administrar contenido en Google SecOps.

En el Centro de contenido, puedes hacer lo siguiente:

  • Implementa paquetes de contenido de extremo a extremo (incluida la transferencia de registros, las detecciones seleccionadas y los paneles) para permitir que tu instancia de Google SecOps funcione con los productos de la lista de los más compatibles que definimos.
  • Instala integraciones de terceros para guías y conectores de SOAR.
  • Consulta y filtra las detecciones seleccionadas, inspecciona los atributos de las reglas individuales y las definiciones de las reglas correspondientes (transparencia de las detecciones seleccionadas). Navega a la página Conjunto de reglas para acceder a todas las funciones de administración.
  • Agrega paneles para mejorar tu visibilidad.
  • Agrega consultas de búsqueda guardadas a la búsqueda del SIEM para reutilizarlas rápidamente.
  • Instala y ejecuta potenciadores para extender las capacidades de la guía.
  • Instalar y ejecutar guías para proporcionar respuestas de SOAR
  • Accede a los casos de uso heredados de SOAR en la página Principal.

Tipos de contenido

En el Centro de contenido, hay cuatro tipos de contenido:

  • Google: Contenido desarrollado, mantenido y verificado por Google SecOps. Esta categoría incluye elementos de contenido nuevos y actualizados.
  • Socio: Contenido desarrollado y mantenido por un socio. Este contenido se valida a través de las verificaciones de calidad y validación automatizadas de Google. En el caso del contenido de socios, se proporcionan detalles de contacto específicos del equipo de asistencia.
  • Comunidad: Contenido desarrollado y mantenido por usuarios de la comunidad. Este contenido se valida a través de las verificaciones de calidad y validación automatizadas de Google.
  • Personalizado: Es el contenido que creaste y que solo se muestra en tu propio Centro de contenido. Este contenido es privado para tu instancia y Google SecOps no lo verifica.

¿Qué puedo hacer en la página principal?

La página Principal es la página de destino principal del Centro de contenido. Desde allí, puedes acceder a lo siguiente:

  • Paquetes de contenido, integraciones de respuesta, paneles, búsquedas, potenciadores y detecciones seleccionadas.
  • Casos de uso heredados de SOAR. Google recomienda usar los nuevos paquetes de contenido en lugar de los casos de uso heredados, ya que ofrecen soluciones más integradas y completas.

Puedes buscar en todos los tipos de contenido (incluidos los paquetes de contenido, las detecciones, las integraciones de respuesta y los paneles) de forma simultánea. Esta función elimina la necesidad de navegar por pestañas individuales para encontrar activos relacionados. La plataforma muestra los resultados con la cantidad total de coincidencias para cada tipo. Puedes hacer clic en cualquiera de los resultados para ver más detalles.

Por ejemplo, si buscas Crowdstrike en el campo Buscar, la plataforma muestra lo siguiente:

  • Paquetes de contenido (1): Por ejemplo, el paquete integral de Crowdstrike Falcon.
  • Detecciones seleccionadas (42): Se muestran las cuatro tarjetas principales, como "Crowdstrike Falcon: Se detectó software malicioso" y "Crowdstrike Falcon: Manipulación del sensor". Haz clic en Ver los 42 resultados para ir directamente a la pestaña Detecciones.
  • Integraciones de respuesta (2): Por ejemplo, Crowdstrike Falcon (respuesta), que se usa para acciones de guías, como "Aislamiento del host".
  • Paneles (3)

¿Qué puedo hacer en la página Paquetes de contenido?

En la página Paquetes de contenido, puedes configurar uno o varios feeds, y acceder a todas las demás opciones del Centro de contenido.

Para incorporar todos los datos en la página Paquetes de contenido, sigue estos pasos:

  1. Configura varios feeds para las familias de productos según el tipo de registro que necesites.
  2. Después de configurar el feed, puedes configurar de forma opcional los componentes restantes del paquete de contenido (que se descarga automáticamente en segundo plano).
    1. Antes de usar cualquier guía, debes hacer clic en Configurar integraciones y configurar una instancia para que funcionen las guías. Para obtener más información, consulta Cómo configurar instancias de integración.
    2. Para ver o modificar la guía descargada, o bien ejecutarla con el simulador, haz clic en Ver guías. Para obtener más información, consulta Cómo trabajar con el simulador de la guía. Debes copiar el nombre de la guía y buscarlo en la carpeta Predeterminada de la página Playbooks.
    3. Haz clic en Ver todas las reglas de detección para abrir la página Detecciones seleccionadas.
    4. Haz clic en Ver todas las búsquedas para abrir la página SIEM Search.
    5. Haz clic en Ver todos los paneles para abrir la página Paneles.

¿Qué puedo hacer en la página Detecciones seleccionadas?

En la página Curated Detections, puedes ver todas las definiciones de reglas de detección admitidas en Google SecOps, incluida la lógica y el código de las reglas.

Para ver y modificar las detecciones (reglas) seleccionadas, haz lo siguiente:

  1. Busca el conjunto de reglas requerido que deseas actualizar y haz clic en Ver y administrar.
  2. En la barra lateral que se abre en la pestaña Overview, haz clic en Manage Rule. Se te redireccionará a todo el conjunto de reglas en la página Detecciones seleccionadas.
  3. Como alternativa, en la barra lateral que se abre, haz clic en la pestaña que dice Definición de regla. Se mostrará la lógica de la regla. No puedes modificar la regla desde aquí, pero puedes crear una nueva en la página Reglas. Haz clic en Ver el rendimiento de la regla para cambiar a la página Detecciones y administrar la regla.

¿Qué puedo hacer en la página Response Integrations?

En la página Integraciones de respuesta, puedes ver los detalles de la integración, incluidas las Notas de versión, y configurar las integraciones de respuesta individuales. Se pueden usar para conectores de SOAR y para guías.

También puedes revertir una integración a una versión anterior si una actualización causa problemas o si necesitas revertir cambios en el código personalizado.

Para instalar y configurar una integración, sigue estos pasos:

  1. Busca la integración requerida y haz clic en Instalar.
  2. Después de la instalación correcta, haz clic en Configurar en la misma integración para comenzar la configuración. Para obtener más información, consulta Cómo configurar instancias de integración.

¿Qué puedo hacer en la página Paneles?

En la página Paneles, puedes ver los detalles de los paneles preinstalados y agregar paneles nuevos. Para ver o administrar cualquier panel, ya sea preinstalado o agregado desde el Centro de contenido, ve a la página Paneles. Nota: Los paneles que se agregan a través del Centro de contenido se etiquetan como Marketplace.

¿Qué puedo hacer en la página Guías y bloques?

En la página Playbooks and Blocks, puedes ver e instalar tanto guías como bloques de guías (guías anidadas). Puedes mostrar los playbooks según varios filtros y categorías. Por ejemplo, puedes mostrar solo los playbooks que contienen integraciones que ya instalaste en tu instancia o elegir mostrar solo los playbooks con integraciones específicas.

Para ver e instalar una guía o un bloque de guía, sigue estos pasos:

  1. Busca la guía o el bloque necesarios y haz clic en Ver detalles.
  2. En el panel lateral que se abre, revisa la información y haz clic en Agregar.
  3. Selecciona el entorno en el que se agregará el manual o el bloqueo.
  4. Haz clic en el vínculo para que se te redireccione a la página del diseñador de guías con la guía que acabas de agregar. Puedes agregar la misma guía varias veces. Cada guía se titulará con un número ascendente.

Para obtener más información, consulta la página Guías.

¿Qué puedo hacer en la página Search Queries?

En la página Search Queries, puedes ver los detalles de las búsquedas y agregar nuevas. Una vez que agregas una búsqueda, se agrega a las búsquedas guardadas y se comparte en la instancia. Para ver o administrar las consultas guardadas, ve a la página Búsqueda de SIEM.

¿Qué puedo hacer en la página Power Ups?

En la página Potenciadores, puedes ver detalles, instalar y configurar los potenciadores de Google SecOps para usarlos en guías. Para obtener instrucciones de configuración, consulta Cómo usar los Power Ups.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.