Ringkasan Google SecOps Content Hub

Didukung di:

Izin untuk Hub Konten

Untuk pelanggan yang belum memigrasikan instance SOAR mereka ke Google Cloud, pastikan izin Marketplace dan Integrasi Respons ditetapkan di halaman Setelan SOAR > Izin.

Untuk semua pelanggan lainnya, guna mengakses modul dalam Content Hub, Anda harus mengonfigurasi izin berikut di modul IAM.

Nama izin IAM Nama tampilan Peran di IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Mendapatkan Konten Kueri Penelusuran chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Mencantumkan Konten Kueri Penelusuran chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Menginstal Konten Kueri Penelusuran chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Mencantumkan Aturan Konten Unggulan chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Mendapatkan Konten Dasbor chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Mencantumkan Isi Dasbor chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Menginstal Konten Dasbor chronicle.writer
chronicle.googleapis.com/feedPacks.get Mendapatkan paket feed chronicle.reader
chronicle.googleapis.com/feedPacks.list Mencantumkan paket feed chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Mendapatkan Playbook Konten Unggulan chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Playbook Konten Unggulan Daftar chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Menginstal Playbook Konten Unggulan chronicle.writer

Ringkasan

Hub Konten berfungsi sebagai platform terpusat untuk menemukan, men-deploy, dan mengelola konten dalam Google SecOps.

Dari Hub Konten, Anda dapat melakukan hal berikut:

  • Deploy paket konten end-to-end (termasuk penyerapan log, deteksi pilihan, dan dasbor) untuk memungkinkan instance Google SecOps Anda bekerja dengan produk dari daftar yang didukung teratas yang telah kami tetapkan.
  • Instal integrasi pihak ketiga untuk playbook dan konektor SOAR.
  • Melihat dan memfilter deteksi yang dikurasi, memeriksa atribut aturan individual dan definisi aturan masing-masing (transparansi deteksi yang dikurasi). Buka halaman Rule Set untuk kemampuan pengelolaan penuh.
  • Tambahkan dasbor untuk meningkatkan visibilitas Anda.
  • Tambahkan kueri penelusuran tersimpan ke penelusuran SIEM untuk digunakan kembali dengan cepat.
  • Instal dan jalankan Peningkatan untuk memperluas kemampuan playbook.
  • Instal dan jalankan playbook untuk memberikan respons SOAR.
  • Akses kasus penggunaan SOAR lama di halaman Beranda.

Jenis konten

Ada empat jenis konten di Hub Konten:

  • Google: Konten yang telah dikembangkan, dikelola, dan diverifikasi oleh Google SecOps. Kategori ini mencakup item konten baru dan yang diperbarui.
  • Partner: Konten yang telah dikembangkan dan dikelola oleh Partner. Konten ini divalidasi melalui pemeriksaan kualitas dan validasi otomatis Google. Untuk konten partner, detail kontak dukungan tertentu akan diberikan.
  • Komunitas: Konten yang telah dikembangkan dan dikelola oleh pengguna Komunitas. Konten ini divalidasi melalui pemeriksaan kualitas dan validasi otomatis Google.
  • Kustom: Konten yang Anda buat dan hanya ditampilkan di Hub Konten Anda sendiri. Konten ini bersifat pribadi untuk instance Anda dan tidak diverifikasi oleh Google SecOps.

Apa yang dapat saya lakukan di Halaman beranda?

Halaman Beranda adalah halaman landing utama untuk Hub Konten. Dari sini, Anda dapat mengakses hal berikut:

  • Paket Konten, integrasi respons, dasbor, kueri penelusuran, Fitur Power Up, dan deteksi pilihan.
  • Kasus penggunaan SOAR lama. Google merekomendasikan penggunaan Paket Konten baru, bukan kasus penggunaan lama, karena Paket Konten baru menawarkan solusi yang lebih komprehensif dan terintegrasi.

Anda dapat menelusuri semua jenis konten—termasuk Paket Konten, Deteksi, Integrasi Respons, dan Dasbor—secara bersamaan. Dengan kemampuan ini, Anda tidak perlu membuka setiap tab untuk menemukan aset terkait. Platform menampilkan hasil dengan jumlah total kecocokan untuk setiap jenis. Anda dapat mengklik salah satu hasil untuk melihat detail lebih lanjut.

Misalnya, jika Anda menelusuri Crowdstrike di kolom Penelusuran, platform akan menampilkan hasil berikut:

  • Paket Konten (1): Misalnya, Paket Komprehensif Crowdstrike Falcon.
  • Deteksi yang Dikurasi (42): Empat kartu teratas ditampilkan, seperti "Crowdstrike Falcon: Malware Terdeteksi" dan "Crowdstrike Falcon: Sensor Tampering". Klik Lihat semua 42 hasil untuk langsung membuka tab Deteksi.
  • Integrasi Respons (2): Misalnya, Crowdstrike Falcon (Respons) – digunakan untuk tindakan playbook seperti "Isolate Host".
  • Dasbor (3)

Apa yang dapat saya lakukan di halaman Paket Konten?

Di halaman Paket Konten, Anda dapat mengonfigurasi satu dan beberapa feed, serta mengakses semua opsi Hub Konten lainnya.

Untuk mengaktifkan semua data di halaman Paket Konten, ikuti langkah-langkah berikut:

  1. Konfigurasi beberapa feed untuk keluarga produk berdasarkan jenis log yang Anda butuhkan.
  2. Setelah menyiapkan feed, Anda dapat secara opsional mengonfigurasi komponen Paket Konten yang tersisa (didownload secara otomatis di latar belakang).
    1. Sebelum dapat menggunakan playbook apa pun, Anda harus mengklik Konfigurasi Integrasi dan menyiapkan instance agar playbook dapat berfungsi. Untuk informasi selengkapnya, lihat Mengonfigurasi instance integrasi.
    2. Untuk melihat atau membuat perubahan pada playbook yang didownload atau menjalankannya menggunakan simulator, klik Lihat Playbook. Untuk mengetahui informasi selengkapnya, lihat Bekerja dengan simulator playbook. Anda harus menyalin nama playbook dan menelusurinya di folder Default di halaman Playbooks.
    3. Klik Lihat semua Aturan Deteksi untuk membuka halaman Deteksi Terkurasi.
    4. Klik Lihat semua Kueri Penelusuran untuk membuka halaman Penelusuran SIEM.
    5. Klik Lihat semua Dasbor untuk membuka halaman Dasbor.

Apa yang dapat saya lakukan di halaman Deteksi Pilihan?

Di halaman Curated Detections, Anda dapat melihat semua definisi aturan deteksi yang didukung di Google SecOps, termasuk logika dan kode aturan.

Untuk melihat dan mengubah deteksi (aturan) yang dikurasi, lakukan hal berikut:

  1. Temukan set aturan yang diperlukan yang ingin Anda perbarui, lalu klik Lihat & Kelola.
  2. Di sidebar yang terbuka di tab Ringkasan, klik Kelola Aturan. Anda akan diarahkan ke seluruh kumpulan aturan di halaman Deteksi Pilihan.
  3. Atau, di sidebar yang terbuka, klik tab yang bertuliskan Definisi Aturan. Tindakan ini akan menampilkan logika aturan. Anda tidak dapat mengubah aturan dari sini, tetapi Anda dapat membuat aturan baru di halaman Aturan. Klik Lihat Performa Aturan untuk beralih ke halaman Deteksi guna mengelola aturan.

Apa yang dapat saya lakukan di halaman Integrasi Respons?

Di halaman Integrasi Respons, Anda dapat melihat detail integrasi, termasuk Catatan Rilis, dan mengonfigurasi integrasi respons individual. Ini dapat digunakan untuk konektor SOAR dan untuk playbook.

Anda juga dapat melakukan roll back integrasi ke versi sebelumnya jika update menyebabkan masalah atau jika Anda perlu mengembalikan perubahan kode kustom.

Untuk menginstal dan mengonfigurasi integrasi:

  1. Temukan integrasi yang diperlukan, lalu klik Instal.
  2. Setelah penginstalan berhasil, klik Konfigurasi pada integrasi yang sama untuk memulai penyiapan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi instance integrasi.

Apa yang dapat saya lakukan di halaman Dasbor?

Di halaman Dasbor, Anda dapat melihat detail dasbor yang telah diinstal sebelumnya dan menambahkan dasbor baru. Untuk melihat atau mengelola dasbor apa pun, yang sudah diinstal atau ditambahkan dari Hub Konten, buka halaman Dasbor. Catatan: Dasbor yang ditambahkan melalui Hub Konten diberi label Marketplace.

Apa yang dapat saya lakukan di halaman Playbook dan Blok?

Di halaman Playbook dan Blok, Anda dapat melihat dan menginstal playbook dan blok playbook (playbook bertingkat). Anda dapat menampilkan playbook menurut berbagai filter dan kategori. Misalnya, Anda dapat menampilkan hanya playbook yang berisi integrasi yang telah Anda instal di instance, atau Anda dapat memilih untuk hanya menampilkan playbook dengan integrasi tertentu.

Untuk melihat dan menginstal playbook atau blok playbook:

  1. Temukan playbook atau blok yang diperlukan, lalu klik Lihat Detail.
  2. Di panel samping yang terbuka, lihat informasi dan klik Tambahkan.
  3. Pilih lingkungan tempat Anda ingin menambahkan playbook atau blok.
  4. Klik link untuk dialihkan ke halaman Playbook Designer dengan playbook yang baru saja Anda tambahkan. Anda dapat menambahkan playbook yang sama beberapa kali. Setiap playbook akan diberi judul dengan nomor yang menaik.

Untuk mengetahui informasi selengkapnya, lihat halaman Playbook.

Apa yang dapat saya lakukan di halaman Kueri Penelusuran?

Di halaman Kueri Penelusuran, Anda dapat melihat detail kueri penelusuran dan menambahkan kueri baru. Setelah Anda menambahkan kueri penelusuran, kueri tersebut akan ditambahkan ke penelusuran tersimpan dan dibagikan dalam instance. Untuk melihat atau mengelola kueri tersimpan, buka halaman Penelusuran SIEM.

Apa yang dapat saya lakukan di halaman Power Up?

Di halaman Power Up, Anda dapat melihat detail, menginstal, dan mengonfigurasi Power Up Google SecOps untuk digunakan dalam playbook. Untuk mengetahui petunjuk penyiapan, lihat Menggunakan Peningkatan.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.