Présentation du hub de contenus Google SecOps

Compatible avec :

Autorisations pour le hub de contenus

Pour les clients qui n'ont pas migré leur instance SOAR vers Google Cloud, assurez-vous que les autorisations Marketplace et Intégrations de réponses sont définies sur la page Paramètres SOAR > Autorisations.

Pour tous les autres clients, afin d'accéder aux modules du hub de contenus, vous devez configurer les autorisations suivantes dans le module IAM.

Nom de l'autorisation IAM Nom à afficher Rôle dans IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Obtenir le contenu de la requête de recherche chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Lister le contenu de la requête de recherche chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Installer le contenu de la requête de recherche chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Lister les règles de contenu sélectionné chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Obtenir le contenu du tableau de bord chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Lister le contenu du tableau de bord chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Installer le contenu du tableau de bord chronicle.writer
chronicle.googleapis.com/feedPacks.get Obtenir des packs de flux chronicle.reader
chronicle.googleapis.com/feedPacks.list Lister les packs de flux chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Obtenir le playbook de contenu sélectionné chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Lister le playbook de contenu sélectionné chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Installer le playbook de contenu sélectionné chronicle.writer

Présentation

Le hub de contenus sert de plate-forme centralisée pour découvrir, déployer et gérer du contenu dans Google SecOps.

Depuis le hub de contenus, vous pouvez effectuer les opérations suivantes :

  • Déployer des packs de contenu de bout en bout (y compris l'ingestion de journaux, les détections sélectionnées et les tableaux de bord) pour permettre à votre instance Google SecOps de fonctionner avec les produits de la liste des principaux produits compatibles que nous avons définie.
  • Installer des intégrations tierces pour les playbooks et les connecteurs SOAR.
  • Afficher et filtrer les détections sélectionnées, inspecter les attributs de règles individuels et les définitions de règles respectives (transparence des détections sélectionnées). Accéder à la page "Ensemble de règles" pour bénéficier de fonctionnalités de gestion complètes.
  • Ajouter des tableaux de bord pour améliorer votre visibilité.
  • Ajouter des requêtes de recherche enregistrées à la recherche SIEM pour une réutilisation rapide.
  • Installer et exécuter des optimisations pour étendre les fonctionnalités des playbooks.
  • Installer et exécuter des playbooks pour fournir des réponses SOAR.
  • Accéder aux anciens cas d'utilisation SOAR sur la page Accueil.

Types de contenus

Le hub de contenus comporte quatre types de contenus :

  • Google : contenu développé, géré et validé par Google SecOps. Cette catégorie inclut les éléments de contenu nouveaux et mis à jour.
  • Partenaire : contenu développé et géré par un partenaire. Ce contenu est validé par les contrôles de qualité et de validation automatisés de Google. Pour le contenu partenaire, des coordonnées spécifiques d'assistance sont fournies.
  • Communauté : contenu développé et géré par des utilisateurs de la communauté. Ce contenu est validé par les contrôles de qualité et de validation automatisés de Google.
  • Personnalisé : contenu que vous avez créé et qui n'est affiché que dans votre propre hub de contenus. Ce contenu est privé pour votre instance et n'est pas validé par Google SecOps.

Que puis-je faire sur la page d'accueil ?

La page Accueil est la page de destination principale du hub de contenus. À partir de là, vous pouvez accéder aux éléments suivants :

  • Packs de contenu, intégrations de réponses, tableaux de bord, requêtes de recherche, optimisations et détections sélectionnées.
  • Anciens cas d'utilisation SOAR. Google recommande d'utiliser les nouveaux packs de contenu plutôt que les anciens cas d'utilisation, car ils offrent des solutions plus complètes et intégrées.

Vous pouvez effectuer une recherche simultanée dans tous les types de contenus, y compris les packs de contenu, les détections, les intégrations de réponses et les tableaux de bord. Cette fonctionnalité élimine la nécessité de parcourir les différents onglets pour trouver les éléments associés. La plate-forme affiche les résultats avec le nombre total de correspondances pour chaque type. Vous pouvez cliquer sur l'un des résultats pour afficher plus de détails.

Par exemple, si vous recherchez Crowdstrike dans le champ Rechercher, la plate-forme renvoie les éléments suivants :

  • Packs de contenu (1) : par exemple, le pack complet Crowdstrike Falcon.
  • Détections sélectionnées (42) : les quatre premières fiches s'affichent, telles que "Crowdstrike Falcon : logiciel malveillant détecté" et "Crowdstrike Falcon : falsification de capteur". Cliquez sur Afficher les 42 résultats pour accéder directement à l'onglet Détections.
  • Intégrations de réponses (2) : par exemple, Crowdstrike Falcon (réponse) – utilisé pour les actions de playbook telles que "Isoler l'hôte".
  • Tableaux de bord (3)

Que puis-je faire sur la page "Packs de contenu" ?

Sur la page Packs de contenu, vous pouvez configurer un ou plusieurs flux, et accéder à toutes les autres options du hub de contenus.

Pour intégrer toutes les données de la page Packs de contenu, procédez comme suit :

  1. Configurez plusieurs flux pour les familles de produits en fonction du type de journal dont vous avez besoin.
  2. Une fois le flux configuré, vous pouvez éventuellement configurer les composants restants du pack de contenu (téléchargé automatiquement en arrière-plan).
    1. Avant de pouvoir utiliser un playbook, vous devez cliquer sur Configurer les intégrations et configurer une instance pour que les playbooks fonctionnent. Pour en savoir plus, consultez Configurer des instances d'intégration.
    2. Pour afficher ou modifier le playbook téléchargé, ou l'exécuter à l'aide du simulateur, cliquez sur Afficher les playbooks. Pour en savoir plus, consultez Utiliser le simulateur de playbook. Vous devez copier le nom du playbook et le rechercher dans le dossier par défaut de la page Playbooks.
    3. Cliquez sur Afficher toutes les règles de détection pour ouvrir la page Détections sélectionnées.
    4. Cliquez sur Afficher toutes les requêtes de recherche pour ouvrir la page Recherche SIEM.
    5. Cliquez sur Afficher tous les tableaux de bord pour ouvrir la page Tableaux de bord.

Que puis-je faire sur la page "Détections sélectionnées" ?

Sur la page Détections sélectionnées, vous pouvez afficher toutes les définitions de règles de détection compatibles dans Google SecOps, y compris la logique et le code des règles.

Pour afficher et modifier les détections sélectionnées (règles), procédez comme suit :

  1. Recherchez l'ensemble de règles que vous souhaitez mettre à jour, puis cliquez sur Afficher et gérer.
  2. Dans la barre latérale qui s'ouvre dans l'onglet Présentation, cliquez sur Gérer la règle. Vous serez redirigé vers l'ensemble de règles sur la page **Détections sélectionnées**.
  3. Vous pouvez également cliquer sur l'onglet Définition de la règle dans la barre latérale qui s'ouvre. La logique de la règle s'affiche. Vous ne pouvez pas modifier la règle à partir de là, mais vous pouvez créer une nouvelle règle dans la page Règles. Cliquez sur Afficher les performances de la règle pour accéder à la page Détections et gérer la règle.

Que puis-je faire sur la page "Intégrations de réponses" ?

Sur la page Intégrations de réponses, vous pouvez afficher les détails de l’intégration, y compris les notes de version, et configurer les intégrations de réponses individuelles. Elles peuvent être utilisées pour les connecteurs SOAR et pour les playbooks.

Vous pouvez également rétablir une version précédente d'une intégration si une mise à jour pose problème ou si vous devez rétablir des modifications de code personnalisé.

Pour installer et configurer une intégration :

  1. Recherchez l'intégration requise, puis cliquez sur Installer.
  2. Une fois l'installation réussie, cliquez sur Configurer sur la même intégration pour commencer la configuration. Pour en savoir plus, consultez Configurer des instances d'intégration.

Que puis-je faire sur la page "Tableaux de bord" ?

Sur la page Tableaux de bord, vous pouvez afficher les détails des tableaux de bord préinstallés et ajouter de nouveaux tableaux de bord. Pour afficher ou gérer un tableau de bord, qu'il soit préinstallé ou ajouté à partir du hub de contenus, accédez à la page Tableaux de bord. Remarque : Les tableaux de bord ajoutés via le hub de contenus sont libellés Marketplace.

Que puis-je faire sur la page "Playbooks et blocs" ?

Sur la page Playbooks et blocs, vous pouvez afficher et installer des playbooks et des blocs de playbook (playbooks imbriqués). Vous pouvez afficher les playbooks en fonction de différents filtres et catégories. Par exemple, vous pouvez n'afficher que les playbooks contenant des intégrations que vous avez déjà installées sur votre instance, ou choisir de n'afficher que les playbooks avec des intégrations spécifiques.

Pour afficher et installer un playbook ou un bloc de playbook :

  1. Recherchez le playbook ou le bloc requis, puis cliquez sur Afficher les détails.
  2. Dans le tiroir latéral qui s'ouvre, parcourez les informations, puis cliquez sur Ajouter.
  3. Sélectionnez l'environnement dans lequel ajouter le playbook ou le bloc.
  4. Cliquez sur le lien pour être redirigé vers la page du concepteur de playbooks avec le playbook que vous venez d'ajouter. Vous pouvez ajouter le même playbook plusieurs fois. Chaque playbook sera intitulé avec un numéro croissant.

Pour en savoir plus, consultez la page Playbooks.

Que puis-je faire sur la page "Requêtes de recherche" ?

Sur la page Requêtes de recherche, vous pouvez afficher les détails des requêtes de recherche et en ajouter de nouvelles. Une fois que vous avez ajouté une requête de recherche, elle est ajoutée aux recherches enregistrées et partagée dans l'instance. Pour afficher ou gérer les requêtes enregistrées, accédez à la page Recherche SIEM.

Que puis-je faire sur la page "Optimisations" ?

Sur la page Optimisations , vous pouvez afficher les détails, installer et configurer les optimisations Google SecOps à utiliser dans les playbooks. Pour savoir comment les configurer, consultez Utiliser des optimisations.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.