コンテンツ ハブの概要
コンテンツ ハブの権限
SOAR インスタンスを Google Cloudに移行していないお客様の場合は、 [Marketplace] 権限と [レスポンス統合] 権限が [SOAR 設定 > 権限] ページで設定されていることを確認してください。
その他のお客様がコンテンツ ハブ内のモジュールにアクセスするには、 IAM モジュールで次の権限を構成する必要があります。
| IAM 権限名 | 表示名 | IAM でのロール |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
検索クエリ コンテンツを取得する | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
検索クエリ コンテンツを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
検索クエリ コンテンツをインストールする | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
おすすめコンテンツ ルールを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
ダッシュボード コンテンツを取得する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
ダッシュボード コンテンツを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
ダッシュボード コンテンツをインストールする | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
フィード パックを取得する | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
フィード パックを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
おすすめコンテンツ ハンドブックを取得する | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
おすすめコンテンツ ハンドブックを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
おすすめコンテンツ ハンドブックをインストールする | chronicle.writer |
概要
コンテンツ ハブは、Google SecOps 内のコンテンツの検出、デプロイ、管理を行うための一元的なプラットフォームとして機能します。
コンテンツ ハブでは、次の操作を行うことができます。
- エンドツーエンドのコンテンツ パック(ログの取り込み、キュレーテッド検出、ダッシュボードなど)をデプロイして、Google SecOps インスタンスが定義済みのサポート対象プロダクトのリストのプロダクトと連携できるようにします。
- SOAR ハンドブックとコネクタのサードパーティ統合をインストールします。
- キュレーテッド検出を表示してフィルタし、個々のルール属性 とそれぞれのルール定義(キュレーテッド検出の透明性)を検査します。完全な管理機能については、 [ルールセット] ページに移動してください。
- ダッシュボードを追加して視認性を高めます。
- 保存した検索クエリを SIEM 検索に追加して、すばやく再利用できるようにします。
- Power Ups をインストールして実行し、ハンドブックの機能を拡張します。
- ハンドブックをインストールして実行し、SOAR レスポンスを提供します。
- [ホーム] ページで従来の SOAR ユースケースにアクセスします。
コンテンツ タイプ
コンテンツ ハブには、次の 4 種類のコンテンツがあります。
- Google: Google SecOps によって開発、保守、検証されているコンテンツです。このカテゴリには、新規および更新されたコンテンツ アイテムが含まれます。
- パートナー: パートナーによって開発、保守されているコンテンツです。 このコンテンツは、Google の自動品質チェックと検証チェックによって検証されます。パートナー コンテンツについては、特定のサポート連絡先情報が提供されます。
- コミュニティ: コミュニティ ユーザーによって開発、保守されているコンテンツです。このコンテンツは、Google の自動品質チェックと検証チェックによって検証されます。
- カスタム: 貴社が作成したコンテンツであり、貴社の コンテンツ ハブにのみ表示されます。このコンテンツは貴社のインスタンスに対してのみ公開され、Google SecOps による検証は行われません。
[ホーム] ページではどのようなことができますか?
[ホーム] ページは、コンテンツ ハブのメイン ランディング ページです。ここから、次のものにアクセスできます。
- コンテンツ パック、レスポンス統合、ダッシュボード、検索クエリ、Power Ups、キュレーテッド検出。
- 従来の SOAR ユースケース。従来のユースケースではなく、新しいコンテンツ パックを使用することをおすすめします。より包括的で統合されたソリューションを提供できるためです。
コンテンツ パック、検出、レスポンス統合、ダッシュボードなど、すべてのコンテンツ タイプを同時に検索できます。 この機能により、関連するアセットを見つけるために個々のタブを移動する必要がなくなります。 プラットフォームには、タイプごとの合計一致数が表示されます。いずれかの結果をクリックすると、詳細が表示されます。
たとえば、[検索] フィールドで「Crowdstrike 」を検索すると、プラットフォームは次の結果を返します。
- コンテンツ パック(1): たとえば、Crowdstrike Falcon Comprehensive Pack。
- キュレーテッド検出(42): 「Crowdstrike Falcon: Malware Detected」、「Crowdstrike Falcon: Sensor Tampering」など、上位 4 つのカードが表示されます。 [42 件の結果をすべて表示] をクリックすると、[検出] タブに直接移動します。
- レスポンス統合(2): たとえば、Crowdstrike Falcon(Response) - 「ホストを隔離する」などのハンドブック アクションに使用されます。
- ダッシュボード(3)
[コンテンツ パック] ページではどのようなことができますか?
[コンテンツ パック] ページでは、単一フィードと複数フィードを構成し、 他のすべてのコンテンツ ハブ オプションにアクセスできます。
[コンテンツ パック] ページですべてのデータを取り込む手順は次のとおりです。
- 必要なログタイプに基づいて、プロダクト ファミリーの複数のフィードを構成します。
- フィードを設定したら、必要に応じてコンテンツ パックの残りのコンポーネント(バックグラウンドで自動的にダウンロードされます)を構成できます。
- ハンドブックを使用するには、[統合を構成] をクリックしてインスタンスを設定する必要があります。詳細については、統合インスタンスを構成するをご覧ください。
- ダウンロードしたハンドブックを表示または変更したり、シミュレータを使用して実行したりするには、 [ハンドブックを表示] をクリックします。詳細については、 ハンドブック シミュレータを使用するをご覧ください。 ハンドブック名をコピーして、[ハンドブック] ページの [デフォルト] フォルダで検索する必要があります。
- [すべての検出ルールを表示] をクリックして、[キュレーテッド検出] ページを開きます。
- [すべての検索クエリを表示] をクリックして、[SIEM 検索] ページを開きます。
- [すべてのダッシュボードを表示] をクリックして、[ダッシュボード] ページを開きます。
[キュレーテッド検出] ページではどのようなことができますか?
[キュレーテッド検出] ページでは、ルールロジックやコードなど、Google SecOps でサポートされているすべての検出ルール定義を表示できます。
キュレーテッド検出(ルール)を表示して変更する手順は次のとおりです。
- 更新する必要なルールセットを見つけて、[表示と管理] をクリックします。
- [概要] タブに表示されたサイドバーで、[ルールを管理] をクリックします。[**キュレーテッド検出**] ページでルールセット全体に移動します。
- または、表示されたサイドバーで [ルール定義] というタブをクリックします。 ルールロジックが表示されます。ここからルールを変更することはできませんが、 新しいルールを [ルール] ページで作成できます。[ルールのパフォーマンスを表示] をクリックして [検出] ページに移動し、ルールを管理します。
[レスポンス統合] ページではどのようなことができますか?
[レスポンス統合] ページでは、リリースノートなどの統合の詳細を表示し、 個々のレスポンス統合を構成できます。これらは、SOAR コネクタとハンドブックに使用できます。
更新によって問題が発生した場合や、カスタムコードの変更を元に戻す必要がある場合は、統合を以前のバージョンにロールバックすることもできます。
統合をインストールして構成する手順は次のとおりです。
- 必要な統合を見つけて、[インストール] をクリックします。
- インストールが完了したら、同じ統合の [構成] をクリックして設定を開始します。 詳細については、統合インスタンスを構成するをご覧ください。
[ダッシュボード] ページではどのようなことができますか?
[ダッシュボード] ページでは、事前インストールされたダッシュボードの詳細を表示し、新しいダッシュボードを追加できます。事前インストールされたダッシュボードやコンテンツ ハブから追加されたダッシュボードを表示または管理するには、[ダッシュボード] ページに移動します。注: コンテンツ ハブから追加されたダッシュボードには、[Marketplace] というラベルが付けられます。
[ハンドブックとブロック] ページではどのようなことができますか?
[ハンドブックとブロック] ページでは、ハンドブックとハンドブック ブロック(ネストされたハンドブック)の両方を表示してインストールできます。 さまざまなフィルタとカテゴリに従ってハンドブックを表示できます。たとえば、インスタンスにすでにインストールされている統合を含むハンドブックのみを表示したり、特定の統合を含むハンドブックのみを表示したりできます。
ハンドブックまたはハンドブック ブロックを表示してインストールする手順は次のとおりです。
- 必要なハンドブックまたはブロックを見つけて、[詳細を表示] をクリックします。
- 表示されたサイド ドロワーで情報を確認し、[追加] をクリックします。
- ハンドブックまたはブロックを追加する環境を選択します。
- リンクをクリックすると、追加したハンドブックが表示されたハンドブック デザイナー ページにリダイレクトされます。 同じハンドブックを複数回追加できます。各ハンドブックには、昇順の番号が付けられます。
詳細については、[**ハンドブック**] ページをご覧ください。
[検索クエリ] ページではどのようなことができますか?
[検索クエリ] ページでは、検索クエリの詳細を表示して新しいクエリを追加できます。検索クエリを追加すると、保存した検索条件に追加され、インスタンス内で共有されます。保存したクエリを表示または管理するには、[SIEM 検索] ページに移動します。
[Power Ups] ページではどのようなことができますか?
[Power Ups] ページでは、ハンドブックで使用する Google SecOps Power Ups の詳細を表示、インストール、構成できます。 設定手順については、Power Ups を使用するをご覧ください。
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。