Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

סקירה כללית על Google SecOps Content Hub

נתמך ב:

Google secops

הרשאות ל-Content Hub

לקוחות שלא העבירו את מופע ה-SOAR שלהם אל Google Cloud, צריכים לוודא שההרשאות Marketplace ו-Response Integrations מוגדרות בדף SOAR Settings > Permissions.

כל שאר הלקוחות צריכים להגדיר את ההרשאות הבאות במודול IAM כדי לגשת למודולים ב-Content Hub.

שם הרשאת IAM	השם המוצג	תפקיד ב-IAM
`chronicle.googleapis.com/featuredContentSearchQueries.get`	שליפת תוכן של שאילתת חיפוש	`chronicle.reader`
`chronicle.googleapis.com/featuredContentSearchQueries.list`	List Search Query Contents	`chronicle.reader`
`chronicle.googleapis.com/featuredContentSearchQueries.install`	התקנת התוסף Search Query Content	`chronicle.writer`
`chronicle.googleapis.com/featuredContentRules.list`	רשימת כללים של תוכן מומלץ	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.get`	שליפת תוכן מלוח הבקרה	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.list`	הצגת התוכן של לוח הבקרה	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.install`	התקנת תוכן במרכז הבקרה	`chronicle.writer`
`chronicle.googleapis.com/feedPacks.get`	קבלת חבילות פידים	`chronicle.reader`
`chronicle.googleapis.com/feedPacks.list`	רשימת חבילות פיד	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.get`	מדריך לתוכן מומלץ	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.list`	מדריך הפעלה בנושא רשימת תוכן מומלץ	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.install`	התקנת המדריך 'תוכן מוצג'	`chronicle.writer`

סקירה כללית

מרכז התוכן משמש כפלטפורמה מרכזית לחיפוש, לפריסה ולניהול של תוכן ב-Google SecOps.

במרכז התוכן אפשר:

אפשר לפרוס חבילות תוכן מקצה לקצה (כולל קליטת יומנים, זיהויים ולוחות בקרה שנאספו) כדי לאפשר למוצרים מהרשימה העליונה הנתמכת שהגדרנו לעבוד עם מופע Google SecOps.
התקנה של שילובי צד שלישי עבור מחזורי הפעולה ורכיבי הקישור של SOAR.
אפשר לראות ולסנן זיהויים שנאספו, לבדוק מאפיינים של כללים בודדים ואת ההגדרות של הכללים האלה (שקיפות של זיהויים שנאספו). עוברים לדף Rule Set (קבוצת כללים) כדי לקבל גישה לכל יכולות הניהול.
כדאי להוסיף לוחות בקרה כדי לשפר את החשיפה.
כדי להשתמש שוב במהירות בשאילתות חיפוש שמורות, אפשר להוסיף אותן לחיפוש SIEM.
אפשר להתקין ולהריץ Power Ups כדי להרחיב את היכולות של Playbook.
התקנה והפעלה של playbooks כדי לספק תשובות SOAR.
אפשר לגשת לתרחישים לדוגמה של SOAR מדור קודם בדף הדף הראשי.

סוגי תוכן

יש ארבעה סוגי תוכן במרכז התוכן:

‫Google: תוכן שפותח, מתוחזק ונבדק על ידי Google SecOps. הקטגוריה הזו כוללת פריטי תוכן חדשים ומעודכנים.
שותף: תוכן שפותח ומתוחזק על ידי שותף. התוכן הזה עובר בדיקות אוטומטיות של איכות ואימות של Google. לגבי תוכן של שותפים, אנחנו מספקים פרטים ספציפיים ליצירת קשר עם התמיכה.
קהילה: תוכן שפותח ומתוחזק על ידי משתמשי הקהילה. התוכן הזה עובר בדיקות אוטומטיות של איכות ואימות של Google.
מותאם אישית: תוכן שיצרתם ומוצג רק ב-Content Hub שלכם. התוכן הזה פרטי למופע שלכם ולא עובר אימות על ידי Google SecOps.

מה אפשר לעשות בדף הבית?

הדף דף הבית הוא דף הנחיתה הראשי של מרכז התוכן. מכאן אפשר לגשת לתוכן הבא:

חבילות תוכן, שילובים של תגובות, לוחות בקרה, שאילתות חיפוש, תוספים וגלאים מוכנים מראש.
תרחישים לדוגמה לשימוש ב-SOAR מדור קודם. ‫Google ממליצה להשתמש בחבילות התוכן החדשות במקום בתרחישי השימוש הקודמים, כי הן מציעות פתרונות מקיפים ומשולבים יותר.

אפשר לחפש בכל סוגי התוכן בו-זמנית, כולל חבילות תוכן, זיהויים, שילובים של תגובות ולוחות בקרה. היכולת הזו מייתרת את הצורך לעבור בין כרטיסיות כדי למצוא נכסים קשורים. בפלטפורמה מוצגות תוצאות עם המספר הכולל של ההתאמות לכל סוג. כדי לראות פרטים נוספים, לוחצים על אחת מהתוצאות.

לדוגמה, אם מחפשים את Crowdstrike בשדה חיפוש, הפלטפורמה מחזירה את התוצאות הבאות:

חבילות תוכן (1): לדוגמה, חבילת Crowdstrike Falcon Comprehensive.
ממצאים שנאספו (42): מוצגים ארבעת הכרטיסים העליונים, כמו Crowdstrike Falcon: Malware Detected (ממצאים שנאספו: Crowdstrike Falcon: תוכנות זדוניות זוהו) ו-Crowdstrike Falcon: Sensor Tampering (ממצאים שנאספו: Crowdstrike Falcon: שיבוש חיישן). לוחצים על View all 42 results (הצגת כל 42 התוצאות) כדי לעבור ישירות לכרטיסייה Detections (ממצאים).
שילובים של תגובות (2): לדוגמה, Crowdstrike Falcon (תגובה) – משמש לפעולות ב-Playbook כמו 'בידוד מארח'.
מרכזי בקרה (3)

מה אפשר לעשות בדף 'חבילות תוכן'?

בדף חבילות תוכן אפשר להגדיר פידים בודדים ומרובים, ולגשת לכל האפשרויות האחרות של מרכז התוכן.

כדי להוסיף את כל הנתונים בדף חבילות תוכן, פועלים לפי השלבים הבאים:

מגדירים כמה פידים של משפחות מוצרים על סמך סוג היומן שצריך.
אחרי שמגדירים את הפיד, אפשר להגדיר את שאר הרכיבים של חבילת התוכן (שמורידים אוטומטית ברקע).
1. כדי להשתמש ב-Playbook, צריך ללחוץ על Configure Integrations ולהגדיר מופע כדי שה-Playbook יפעל. מידע נוסף זמין במאמר בנושא הגדרת מופעים של אינטגרציות.
2. כדי לראות את ספר ההפעלות שהורד או לבצע בו שינויים, או כדי להריץ אותו באמצעות הסימולטור, לוחצים על View Playbooks (הצגת ספרי הפעלה). מידע נוסף זמין במאמר בנושא עבודה עם סימולטור של ספר הפעלה. צריך להעתיק את שם ספר ההדרכה ולחפש אותו בתיקיית ברירת המחדל בדף Playbooks.
3. לוחצים על הצגת כל כללי הזיהוי כדי לפתוח את הדף זיהויים שנאספו.
4. לוחצים על הצגת כל שאילתות החיפוש כדי לפתוח את הדף SIEM Search.
5. לוחצים על See all Dashboards (הצגת כל מרכזי הבקרה) כדי לפתוח את הדף Dashboards (מרכזי בקרה).

מה אפשר לעשות בדף 'זיהויים שנבחרו בקפידה'?

בדף Curated Detections אפשר לראות את כל ההגדרות של כללי הזיהוי הנתמכים ב-Google SecOps, כולל הלוגיקה והקוד של הכללים.

כדי לראות ולשנות את הזיהויים (הכללים) שנבחרו:

מאתרים את קבוצת הכללים הנדרשת שרוצים לעדכן ולוחצים על הצגה וניהול.
בסרגל הצד שנפתח בכרטיסייה סקירה כללית, לוחצים על ניהול הכלל. תועברו אל כללי האיתור בדף איתורים שנבחרו בקפידה.
לחלופין, בסרגל הצד שנפתח, לוחצים על הכרטיסייה הגדרת כלל. כאן מוצגת הלוגיקה של הכלל. אי אפשר לשנות את הכלל מכאן, אבל אפשר ליצור כלל חדש בדף כללים. לוחצים על הצגת ביצועי הכלל כדי לעבור לדף זיהויים ולנהל את הכלל.

מה אפשר לעשות בדף 'שילובים של תשובות'?

בדף Response Integrations אפשר לראות integration details, כולל הערות על הגרסה, ולהגדיר את השילובים של התגובות. אפשר להשתמש בהם עבור מחברים של SOAR ועבור playbooks.

אפשר גם לחזור לגרסה קודמת של שילוב אם עדכון גורם לבעיות או אם צריך לבטל שינויים בקוד מותאם אישית.

כדי להתקין ולהגדיר שילוב:

מאתרים את השילוב הרצוי ולוחצים על התקנה.
אחרי שההתקנה מסתיימת בהצלחה, לוחצים על Configure (הגדרה) באותו שילוב כדי להתחיל בהגדרה. מידע נוסף זמין במאמר בנושא הגדרת מופעים של אינטגרציות.

מה אפשר לעשות בדף 'מרכזי בקרה'?

בדף מרכזי בקרה אפשר לראות פרטים של מרכזי בקרה שהותקנו מראש ולהוסיף מרכזי בקרה חדשים. כדי לראות או לנהל מרכז בקרה כלשהו, שהותקן מראש או נוסף ממרכז התוכן, עוברים לדף מרכזי בקרה. הערה: מרכזי בקרה שנוספו דרך מרכז התוכן מסומנים בתווית Marketplace.

מה אפשר לעשות בדף Playbooks and Blocks (ספרי הדרכה ובלוקים)?

בדף Playbooks and Blocks אפשר לראות ולהתקין גם playbooks וגם playbook blocks (playbooks מוטמעים). אפשר להציג playbooks לפי מסננים וקטגוריות שונים. לדוגמה, אפשר להציג רק playbooks שמכילים שילובים שכבר התקנתם במופע שלכם, או לבחור להציג רק playbooks עם שילובים ספציפיים.

כדי לראות ולהתקין פלייבוק או בלוק של פלייבוק:

מחפשים את ספר ההפעלה או את החסימה הנדרשים ולוחצים על הצגת פרטים.
במגירה הצדדית שנפתחת, מעיינים במידע ולוחצים על הוספה.
בוחרים את הסביבה שרוצים להוסיף אליה את הפלייבוק או את הבלוק.
לוחצים על הקישור כדי לעבור לדף של כלי התכנון של Playbook, שבו מוצג ה-Playbook שזה עתה הוספתם. אפשר להוסיף את אותו Playbook כמה פעמים. כל Playbook יקבל שם עם מספר עולה.

מידע נוסף מופיע בדף Playbooks.

מה אפשר לעשות בדף 'שאילתות חיפוש'?

בדף שאילתות חיפוש אפשר לראות את פרטי שאילתות החיפוש ולהוסיף שאילתות חדשות. אחרי שמוסיפים שאילתת חיפוש, היא מתווספת לחיפושים השמורים ומשותפת במופע. כדי לראות או לנהל שאילתות שמורות, עוברים לדף חיפוש SIEM.

מה אפשר לעשות בדף Power Ups?

בדף Power Ups אפשר לראות פרטים, להתקין ולהגדיר את Google SecOps Power Ups לשימוש ב-playbooks. הוראות להגדרה מופיעות במאמר שימוש ב-Power Ups.

הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.