Présentation du hub de contenus
Autorisations pour le Hub de contenu
Pour les clients qui n'ont pas migré leur instance SOAR vers Google Cloud, assurez-vous que les autorisations Marketplace et Intégrations de réponse sont définies sur la page Paramètres SOAR > Autorisations.
Pour tous les autres clients, vous devez configurer les autorisations suivantes dans le module IAM pour accéder aux modules du Hub de contenu.
| Nom de l'autorisation IAM | Nom à afficher | Rôle dans IAM |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
Obtenir le contenu d'une requête de recherche | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
Lister le contenu des requêtes de recherche | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
Installer le contenu des requêtes de recherche | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
Lister les règles relatives aux contenus mis en avant | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
Obtenir le contenu du tableau de bord | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
Lister le contenu du tableau de bord | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
Installer le contenu du tableau de bord | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
Obtenir des packs de flux | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
Lister les packs de flux | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
Télécharger le playbook sur les contenus à l'affiche | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
Guide des playlists de contenus mis en avant | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
Installer le playbook "Contenus spéciaux" | chronicle.writer |
Présentation
Le hub de contenus sert de plate-forme centralisée pour découvrir, déployer et gérer du contenu dans Google SecOps.
Dans le Hub de contenu, vous pouvez effectuer les opérations suivantes :
- Déployez des packs de contenu de bout en bout (y compris l'ingestion de journaux, les détections optimisées et les tableaux de bord) pour permettre à votre instance Google SecOps de fonctionner avec les produits de la liste des produits les plus compatibles que nous avons définie.
- Installez des intégrations tierces pour les playbooks et les connecteurs SOAR.
- Affichez et filtrez les détections optimisées, inspectez les attributs de chaque règle et les définitions de règles correspondantes (transparence des détections optimisées). Accédez à la page "Ensemble de règles" pour bénéficier de toutes les fonctionnalités de gestion.
- Ajoutez des tableaux de bord pour améliorer votre visibilité.
- Ajoutez des requêtes de recherche enregistrées à la recherche SIEM pour les réutiliser rapidement.
- Installez et exécutez des optimisations pour étendre les capacités des playbooks.
- Installez et exécutez des playbooks pour fournir des réponses SOAR.
- Accédez aux anciens cas d'utilisation SOAR sur la page Accueil.
Types de contenus
Le Gaming Content Hub comprend quatre types de contenus :
- Google : contenu développé, géré et validé par Google SecOps. Cette catégorie inclut les nouveautés et les mises à jour.
- Partenaire : contenu développé et géré par un partenaire. Ce contenu répond aux contrôles automatiques de qualité et de validation de Google. Pour le contenu partenaire, des coordonnées d'assistance spécifiques sont fournies.
- Communauté : contenu développé et géré par les utilisateurs de la communauté. Ce contenu répond aux contrôles automatiques de qualité et de validation de Google.
- Custom (Personnalisé) : contenu que vous avez créé et qui n'est affiché que sur votre propre hub de contenus. Ce contenu est propre à votre instance et n'est pas validé par Google SecOps.
Que puis-je faire sur la page d'accueil ?
La page Accueil est la page de destination principale du Hub de contenu. Vous pouvez alors accéder aux éléments suivants :
- Packs de contenu, intégrations de réponses, tableaux de bord, requêtes de recherche, optimisations et détections optimisées.
- Anciens cas d'utilisation SOAR. Google vous recommande d'utiliser les nouveaux packs de contenu plutôt que les anciens cas d'utilisation, car ils offrent des solutions plus complètes et intégrées.
Vous pouvez effectuer des recherches simultanément dans tous les types de contenus, y compris les packs de contenu, les détections, les intégrations de réponse et les tableaux de bord. Cette fonctionnalité vous évite d'avoir à parcourir les différents onglets pour trouver les composants associés. La plate-forme affiche les résultats avec le nombre total de correspondances pour chaque type. Vous pouvez cliquer sur l'un des résultats pour afficher plus de détails.
Par exemple, si vous recherchez Crowdstrike dans le champ Rechercher, la plate-forme renvoie les résultats suivants :
- Packs de contenu (1) : par exemple, le pack complet Crowdstrike Falcon.
- Détections sélectionnées (42) : les quatre premières fiches s'affichent, telles que "Crowdstrike Falcon : logiciel malveillant détecté" et "Crowdstrike Falcon : falsification du capteur". Cliquez sur Afficher les 42 résultats pour accéder directement à l'onglet Détections.
- Intégrations de réponse (2) : par exemple, Crowdstrike Falcon (Response) est utilisé pour les actions de playbook telles que "Isoler l'hôte".
- Tableaux de bord (3)
Que puis-je faire sur la page "Packs de contenu" ?
Sur la page Packs de contenu, vous pouvez configurer un ou plusieurs flux et accéder à toutes les autres options du Hub de contenu.
Pour intégrer toutes les données sur la page Packs de contenu, procédez comme suit :
- Configurez plusieurs flux pour les familles de produits en fonction du type de journal dont vous avez besoin.
- Une fois le flux configuré, vous pouvez éventuellement configurer les composants restants du pack de contenu (téléchargés automatiquement en arrière-plan).
- Avant de pouvoir utiliser un playbook, vous devez cliquer sur Configurer les intégrations et configurer une instance pour que les playbooks fonctionnent. Pour en savoir plus, consultez Configurer des instances d'intégration.
- Pour afficher ou modifier le playbook téléchargé, ou l'exécuter à l'aide du simulateur, cliquez sur Afficher les playbooks. Pour en savoir plus, consultez Utiliser le simulateur de playbook. Vous devez copier le nom du playbook et le rechercher dans le dossier "Par défaut" de la page Playbooks.
- Cliquez sur Afficher toutes les règles de détection pour ouvrir la page Détections sélectionnées.
- Cliquez sur Afficher toutes les requêtes de recherche pour ouvrir la page Recherche SIEM.
- Cliquez sur Afficher tous les tableaux de bord pour ouvrir la page Tableaux de bord.
Que puis-je faire sur la page "Détections optimisées" ?
Sur la page Détections sélectionnées, vous pouvez afficher toutes les définitions de règles de détection compatibles dans Google SecOps, y compris la logique et le code des règles.
Pour afficher et modifier les détections (règles) sélectionnées, procédez comme suit :
- Recherchez l'ensemble de règles que vous souhaitez mettre à jour, puis cliquez sur Afficher et gérer.
- Dans la barre latérale qui s'ouvre dans l'onglet Vue d'ensemble, cliquez sur Gérer la règle. Vous serez redirigé vers l'ensemble des règles sur la page Détections optimisées.
- Vous pouvez également cliquer sur l'onglet Définition de la règle dans la barre latérale qui s'ouvre. La logique de la règle s'affiche. Vous ne pouvez pas modifier la règle à partir de cette page, mais vous pouvez en créer une sur la page Règles. Cliquez sur Afficher les performances de la règle pour accéder à la page Détections et gérer la règle.
Que puis-je faire sur la page "Intégrations de réponse" ?
Sur la page Intégrations de réponses, vous pouvez afficher les détails des intégrations, y compris les notes de version, et configurer les intégrations de réponses individuelles. Ils peuvent être utilisés pour les connecteurs SOAR et les playbooks.
Vous pouvez également rétablir une version précédente d'une intégration si une mise à jour pose problème ou si vous devez revenir à des modifications de code personnalisé.
Pour installer et configurer une intégration :
- Recherchez l'intégration requise, puis cliquez sur Installer.
- Une fois l'installation terminée, cliquez sur Configurer sur la même intégration pour commencer la configuration. Pour en savoir plus, consultez Configurer des instances d'intégration.
Que puis-je faire sur la page "Tableaux de bord" ?
Sur la page Tableaux de bord, vous pouvez afficher les détails des tableaux de bord préinstallés et en ajouter d'autres. Pour afficher ou gérer un tableau de bord (préinstallé ou ajouté depuis le Hub de contenu), accédez à la page Tableaux de bord. Remarque : Les tableaux de bord ajoutés via le Hub de contenu sont marqués comme Marketplace.
Que puis-je faire sur la page "Playbooks et blocs" ?
Sur la page Playbooks et blocs, vous pouvez afficher et installer des playbooks et des blocs de playbook (playbooks imbriqués). Vous pouvez afficher les playbooks selon différents filtres et catégories. Par exemple, vous pouvez choisir d'afficher uniquement les playbooks qui contiennent des intégrations que vous avez déjà installées sur votre instance, ou uniquement ceux qui contiennent des intégrations spécifiques.
Pour afficher et installer un playbook ou un bloc de playbook :
- Recherchez le playbook ou le bloc requis, puis cliquez sur Afficher les détails.
- Dans le panneau latéral qui s'ouvre, parcourez les informations, puis cliquez sur Ajouter.
- Sélectionnez l'environnement auquel ajouter le playbook ou le bloc.
- Cliquez sur le lien pour être redirigé vers la page du créateur de playbook, où le playbook que vous venez d'ajouter s'affiche. Vous pouvez ajouter le même playbook plusieurs fois. Chaque playbook sera intitulé avec un numéro croissant.
Pour en savoir plus, consultez la page Playbooks.
Que puis-je faire sur la page "Requêtes de recherche" ?
Sur la page Requêtes de recherche, vous pouvez afficher les détails des requêtes de recherche et en ajouter. Une fois que vous avez ajouté une requête de recherche, elle est ajoutée aux recherches enregistrées et partagée dans l'instance. Pour afficher ou gérer les requêtes enregistrées, accédez à la page Recherche SIEM.
Que puis-je faire sur la page "Power Ups" ?
Sur la page Optimisations, vous pouvez afficher des informations, installer et configurer les optimisations Google SecOps à utiliser dans les playbooks. Pour savoir comment les configurer, consultez Utiliser les améliorations.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.