Panoramica di Google SecOps Content Hub

Supportato in:

Autorizzazioni per l'hub dei contenuti

Per i clienti che non hanno eseguito la migrazione dell'istanza SOAR a Google Cloud, assicurati che le autorizzazioni Marketplace e Integrazioni di risposta siano impostate nella pagina Impostazioni SOAR > Autorizzazioni.

Per tutti gli altri clienti, per accedere ai moduli all'interno dell'hub dei contenuti, devi configurare le seguenti autorizzazioni nel modulo IAM.

Nome dell'autorizzazione IAM Nome visualizzato Ruolo in IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Ottieni i contenuti delle query di ricerca chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Elenco dei contenuti delle query di ricerca chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Installare i contenuti delle query di ricerca chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Elenco delle regole per i contenuti in primo piano chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Ottieni contenuti della dashboard chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Elenco contenuti della dashboard chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Installare i contenuti della dashboard chronicle.writer
chronicle.googleapis.com/feedPacks.get Ricevere pacchetti di feed chronicle.reader
chronicle.googleapis.com/feedPacks.list Elencare i pacchetti di feed chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Guida pratica ai contenuti in primo piano chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Guida pratica ai contenuti in primo piano chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Installare la guida pratica ai contenuti in primo piano chronicle.writer

Panoramica

L'hub dei contenuti funge da piattaforma centralizzata per scoprire, implementare e gestire i contenuti all'interno di Google SecOps.

Dall'hub dei contenuti puoi:

  • Esegui il deployment di pacchetti di contenuti end-to-end (inclusi l'importazione dei log, i rilevamenti predefiniti e i dashboard) per consentire alla tua istanza di Google SecOps di funzionare con i prodotti dell'elenco dei prodotti supportati che abbiamo definito.
  • Installa integrazioni di terze parti per i playbook e i connettori SOAR.
  • Visualizza e filtra i rilevamenti predefiniti, esamina i singoli attributi delle regole e le rispettive definizioni delle regole (trasparenza dei rilevamenti predefiniti). Vai alla pagina Set di regole per funzionalità di gestione complete.
  • Aggiungi dashboard per migliorare la visibilità.
  • Aggiungi query di ricerca salvate alla ricerca SIEM per riutilizzarle rapidamente.
  • Installa ed esegui i potenziamenti per estendere le funzionalità del playbook.
  • Installa ed esegui playbook per fornire risposte SOAR.
  • Accedi ai casi d'uso SOAR precedenti nella pagina Home.

Tipi di contenuti

Esistono quattro tipi di contenuti nell'hub dei contenuti:

  • Google: contenuti sviluppati, gestiti e verificati da Google SecOps. Questa categoria include elementi di contenuti nuovi e aggiornati.
  • Partner: contenuti sviluppati e gestiti da un partner. Questi contenuti vengono convalidati tramite controlli di qualità e convalida automatizzati di Google. Per i contenuti dei partner, vengono forniti i dettagli di contatto specifici dell'assistenza.
  • Community: contenuti sviluppati e gestiti dagli utenti della community. Questi contenuti vengono convalidati tramite controlli di qualità e convalida automatizzati di Google.
  • Personalizzati: contenuti che hai creato e che vengono visualizzati solo nel tuo Content Hub. Questi contenuti sono privati per la tua istanza e non sono verificati da Google SecOps.

Che cosa posso fare nella home page?

La pagina Home è la pagina di destinazione principale dell'Hub dei contenuti. Da qui puoi accedere a quanto segue:

  • Pacchetti di contenuti, integrazioni di risposta, dashboard, query di ricerca, potenziamenti e rilevamenti predefiniti.
  • Casi d'uso SOAR legacy. Google consiglia di utilizzare i nuovi pacchetti di contenuti anziché i casi d'uso legacy perché offrono soluzioni più complete e integrate.

Puoi eseguire ricerche contemporaneamente in tutti i tipi di contenuti, inclusi pacchetti di contenuti, rilevamenti, integrazioni di risposte e dashboard. Questa funzionalità elimina la necessità di navigare tra le singole schede per trovare le risorse correlate. La piattaforma mostra i risultati con il numero totale di corrispondenze per ogni tipo. Puoi fare clic su uno qualsiasi dei risultati per visualizzare ulteriori dettagli.

Ad esempio, se cerchi Crowdstrike nel campo Cerca, la piattaforma restituisce quanto segue:

  • Pacchetti di contenuti (1): ad esempio, il pacchetto completo Crowdstrike Falcon.
  • Rilevamenti curati (42): vengono visualizzate le prime quattro schede, ad esempio "Crowdstrike Falcon: malware rilevato" e "Crowdstrike Falcon: manomissione del sensore". Fai clic su Visualizza tutti i 42 risultati per andare direttamente alla scheda Rilevamenti.
  • Integrazioni di risposta (2): ad esempio, Crowdstrike Falcon (risposta) – utilizzata per azioni del playbook come "Isola host".
  • Dashboard (3)

Che cosa posso fare nella pagina Pacchetti di contenuti?

Nella pagina Pacchetti di contenuti, puoi configurare feed singoli e multipli e accedere a tutte le altre opzioni di Content Hub.

Per eseguire l'onboarding di tutti i dati nella pagina Pacchetti di contenuti:

  1. Configura più feed per le famiglie di prodotti in base al tipo di log di cui hai bisogno.
  2. Dopo aver configurato il feed, puoi configurare facoltativamente i componenti rimanenti del pacchetto di contenuti (scaricato automaticamente in background).
    1. Prima di poter utilizzare un playbook, devi fare clic su Configura integrazioni e configurare un'istanza affinché i playbook funzionino. Per saperne di più, consulta Configura le istanze di integrazione.
    2. Per visualizzare o apportare modifiche al playbook scaricato o eseguirlo utilizzando il simulatore, fai clic su Visualizza playbook. Per saperne di più, consulta Utilizzo del simulatore di playbook. Devi copiare il nome del playbook e cercarlo nella cartella Predefinito nella pagina Playbook.
    3. Fai clic su Visualizza tutte le regole di rilevamento per aprire la pagina Rilevamenti curati.
    4. Fai clic su Visualizza tutte le query di ricerca per aprire la pagina Ricerca SIEM.
    5. Fai clic su Visualizza tutte le dashboard per aprire la pagina Dashboard.

Che cosa posso fare nella pagina Rilevamenti selezionati?

Nella pagina Curated Detections (Rilevamenti curati), puoi visualizzare tutte le definizioni delle regole di rilevamento supportate in Google SecOps, inclusi la logica e il codice delle regole.

Per visualizzare e modificare i rilevamenti predefiniti (regole):

  1. Trova il set di regole richiesto che vuoi aggiornare e fai clic su Visualizza e gestisci.
  2. Nella barra laterale che si apre nella scheda Panoramica, fai clic su Gestisci regola. Verrà visualizzato l'intero set di regole nella pagina Rilevamenti selezionati.
  3. In alternativa, nella barra laterale che si apre, fai clic sulla scheda Definizione regola. Viene visualizzata la logica della regola. Non puoi modificare la regola da qui, ma puoi crearne una nuova nella pagina Regole. Fai clic su Visualizza rendimento regola per passare alla pagina Rilevamenti e gestire la regola.

Che cosa posso fare nella pagina Integrazioni delle risposte?

Nella pagina Integrazioni delle risposte, puoi visualizzare i dettagli dell'integrazione, incluse le note di rilascio, e configurare le singole integrazioni delle risposte. Possono essere utilizzati per i connettori SOAR e per i playbook.

Puoi anche eseguire il rollback di un'integrazione a una versione precedente se un aggiornamento causa problemi o se devi ripristinare le modifiche al codice personalizzato.

Per installare e configurare un'integrazione:

  1. Trova l'integrazione richiesta e fai clic su Installa.
  2. Una volta completata l'installazione, fai clic su Configura nella stessa integrazione per iniziare la configurazione. Per saperne di più, consulta Configura le istanze di integrazione.

Che cosa posso fare nella pagina Dashboard?

Nella pagina Dashboard, puoi visualizzare i dettagli delle dashboard preinstallate e aggiungerne di nuove. Per visualizzare o gestire una dashboard, preinstallata o aggiunta dall'hub dei contenuti, vai alla pagina Dashboard. Nota: le dashboard aggiunte tramite l'hub dei contenuti sono etichettate come Marketplace.

Che cosa posso fare nella pagina Playbook e blocchi?

Nella pagina Playbook e blocchi puoi visualizzare e installare sia i playbook sia i blocchi di playbook (playbook nidificati). Puoi visualizzare i playbook in base a vari filtri e categorie. Ad esempio, puoi visualizzare solo i playbook che contengono integrazioni già installate nella tua istanza oppure puoi scegliere di visualizzare solo i playbook con integrazioni specifiche.

Per visualizzare e installare un playbook o un blocco del playbook:

  1. Trova il playbook o il blocco richiesto e fai clic su Visualizza dettagli.
  2. Nel riquadro laterale che si apre, esamina le informazioni e fai clic su Aggiungi.
  3. Seleziona l'ambiente a cui aggiungere il playbook o il blocco.
  4. Fai clic sul link per essere reindirizzato alla pagina del Designer di playbook con il playbook appena aggiunto visualizzato. Puoi aggiungere lo stesso playbook più volte. Ogni playbook avrà un titolo con un numero crescente.

Per ulteriori informazioni, consulta la pagina Playbook.

Che cosa posso fare nella pagina Query di ricerca?

Nella pagina Query di ricerca, puoi visualizzare i dettagli delle query di ricerca e aggiungerne di nuove. Una volta aggiunta una query di ricerca, questa viene aggiunta alle ricerche salvate e condivisa all'interno dell'istanza. Per visualizzare o gestire le query salvate, vai alla pagina SIEM Search.

Che cosa posso fare nella pagina Power-up?

Nella pagina Potenziamenti, puoi visualizzare i dettagli, installare e configurare i potenziamenti di Google SecOps da utilizzare nei playbook. Per istruzioni sulla configurazione, consulta Utilizzare i Power-up.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.