Google SecOps Content Hub の概要
Content Hub の権限
SOAR インスタンスを Google Cloudに移行していないお客様の場合は、[SOAR 設定] > [権限] ページで、Marketplace と Response Integrations の権限が設定されていることを確認してください。
他のすべてのお客様が Content Hub 内のモジュールにアクセスするには、IAM モジュールで次の権限を構成する必要があります。
| IAM 権限名 | 表示名 | IAM のロール |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
検索クエリの内容を取得する | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
検索クエリの内容を一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
検索クエリ コンテンツをインストールする | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
注目のコンテンツ ルールを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
ダッシュボードのコンテンツを取得する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
ダッシュボードの内容を一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
ダッシュボード コンテンツをインストールする | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
フィード パックを取得する | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
フィードパックを一覧表示する | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
注目のコンテンツ ハンドブックを入手する | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
おすすめコンテンツのリストに関するハンドブック | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
注目のコンテンツのハンドブックをインストールする | chronicle.writer |
概要
コンテンツ ハブは、Google SecOps 内のコンテンツの検出、デプロイ、管理を行うための一元的なプラットフォームとして機能します。
コンテンツ ハブでは、次の操作を行うことができます。
- エンドツーエンドのコンテンツ パック(ログの取り込み、キュレーテッド検出、ダッシュボードなど)をデプロイして、Google SecOps インスタンスが Google が定義したサポート対象リストの上位のプロダクトと連携できるようにします。
- SOAR ハンドブックとコネクタ用のサードパーティ統合をインストールします。
- キュレーテッド検出を表示してフィルタし、個々のルール属性とそれぞれのルール定義を検査します(キュレーテッド検出の透明性)。完全な管理機能については、[ルールセット] ページに移動してください。
- ダッシュボードを追加して、可視性を高めます。
- 保存した検索クエリを SIEM 検索に追加して、すばやく再利用します。
- パワーアップをインストールして実行し、ハンドブックの機能を拡張します。
- ハンドブックをインストールして実行し、SOAR レスポンスを提供します。
- 以前の SOAR のユースケースには、[ホーム] ページからアクセスできます。
コンテンツ タイプ
コンテンツ ハブには次の 4 種類のコンテンツがあります。
- Google: Google SecOps によって開発、保守、検証されたコンテンツ。このカテゴリには、新規のコンテンツ アイテムと更新されたコンテンツ アイテムの両方が含まれます。
- パートナー: パートナーが開発および管理しているコンテンツ。このコンテンツは、Google の自動品質チェックと検証チェックによって検証されます。パートナー コンテンツについては、具体的なサポートの連絡先情報が提供されます。
- コミュニティ: コミュニティ ユーザーが開発、管理しているコンテンツ。このコンテンツは、Google の自動品質チェックと検証チェックによって検証されます。
- カスタム: ユーザーが作成したコンテンツで、ユーザー自身のコンテンツ ハブにのみ表示されます。このコンテンツはインスタンス専用であり、Google SecOps によって検証されません。
ホームページではどのようなことができますか?
ホームページは、コンテンツ ハブのメイン ランディング ページです。ここから、次の機能を利用できます。
- コンテンツ パック、レスポンス統合、ダッシュボード、検索クエリ、パワーアップ、キュレーテッド検出。
- 以前の SOAR のユースケース。Google は、より包括的で統合されたソリューションを提供する新しいコンテンツ パックの使用を推奨しています。
コンテンツ パック、検出、レスポンス統合、ダッシュボードなど、すべてのコンテンツ タイプを同時に検索できます。この機能により、関連するアセットを見つけるために個々のタブを移動する必要がなくなります。プラットフォームには、各タイプの合計一致数を含む結果が表示されます。結果をクリックすると、詳細が表示されます。
たとえば、[検索] フィールドで「Crowdstrike」を検索すると、プラットフォームは次の結果を返します。
- コンテンツ パック(1): たとえば、Crowdstrike Falcon Comprehensive Pack。
- キュレーションされた検出(42): 「Crowdstrike Falcon: マルウェアが検出されました」や「Crowdstrike Falcon: センサーの改ざん」など、上位 4 つのカードが表示されます。[42 件の結果をすべて表示] をクリックして、[検出] タブに直接移動します。
- レスポンス統合(2): たとえば、Crowdstrike Falcon(レスポンス) - 「ホストを隔離」などのハンドブック アクションに使用されます。
- ダッシュボード(3)
コンテンツ パック ページではどのようなことができますか?
[コンテンツ パック] ページでは、単一フィードと複数フィードを構成し、他のすべての Content Hub オプションにアクセスできます。
[コンテンツ パック] ページですべてのデータをオンボーディングする手順は次のとおりです。
- 必要なログタイプに基づいて、プロダクト ファミリーの複数のフィードを構成します。
- フィードを設定したら、必要に応じてコンテンツ パックの残りのコンポーネント(バックグラウンドで自動的にダウンロードされます)を構成できます。
- ハンドブックを使用する前に、[Configure Integrations] をクリックしてインスタンスを設定し、ハンドブックが機能するようにする必要があります。詳細については、インテグレーション インスタンスを構成するをご覧ください。
- ダウンロードしたハンドブックを表示または変更したり、シミュレータを使用して実行したりするには、[ハンドブックを表示] をクリックします。詳細については、プレイブック シミュレータの使用をご覧ください。ハンドブック名をコピーして、[ハンドブック] ページの [デフォルト] フォルダで検索する必要があります。
- [すべての検出ルールを表示] をクリックして、キュレーションされた検出機能] ページを開きます。
- [すべての検索クエリを表示] をクリックして、[SIEM 検索] ページを開きます。
- [すべてのダッシュボードを表示] をクリックして、[ダッシュボード] ページを開きます。
[キュレーションされた検出機能] ページではどのようなことができますか?
[キュレートされた検出] ページでは、ルールロジックやコードなど、Google SecOps でサポートされているすべての検出ルール定義を表示できます。
キュレーテッド検出(ルール)を表示して変更するには、次の操作を行います。
- 更新する必要なルールセットを見つけて、[表示と管理] をクリックします。
- [概要] タブに表示されたサイドバーで、[ルールを管理] をクリックします。[キュレートされた検出] ページで、ルールセット全体が表示されます。
- または、表示されたサイドバーで [ルールの定義] タブをクリックします。ルールのロジックが表示されます。ここからルールを変更することはできませんが、[ルール] ページで新しいルールを作成できます。[ルールのパフォーマンスを表示] をクリックして [検出] ページに移動し、ルールを管理します。
[回答の統合] ページではどのようなことができますか?
[レスポンス統合] ページでは、リリースノートなどの統合の詳細を確認したり、個々のレスポンス統合を構成したりできます。これらは、SOAR コネクタとハンドブックに使用できます。
更新によって問題が発生した場合や、カスタムコードの変更を元に戻す必要がある場合は、インテグレーションを以前のバージョンにロールバックすることもできます。
統合をインストールして構成するには:
- 必要な統合を見つけて [インストール] をクリックします。
- インストールが正常に完了したら、同じ統合の [構成] をクリックして設定を開始します。詳細については、インテグレーション インスタンスを構成するをご覧ください。
[ダッシュボード] ページではどのようなことができますか?
[ダッシュボード] ページでは、プリインストールされたダッシュボードの詳細を表示したり、新しいダッシュボードを追加したりできます。事前インストールされたダッシュボードやコンテンツ ハブから追加されたダッシュボードを表示または管理するには、[ダッシュボード] ページに移動します。注: コンテンツ ハブから追加されたダッシュボードには、[Marketplace](マーケットプレイス)というラベルが付けられます。
ハンドブックとブロックのページではどのようなことができますか?
[ハンドブックとブロック] ページでは、ハンドブックとハンドブック ブロック(ネストされたハンドブック)の両方を表示してインストールできます。さまざまなフィルタやカテゴリに基づいてプレイブックを表示できます。たとえば、インスタンスにすでにインストールされている統合を含むプレイブックのみを表示したり、特定の統合を含むプレイブックのみを表示したりできます。
ハンドブックまたはハンドブック ブロックを表示してインストールするには:
- 必要なハンドブックまたはブロックを見つけて、[詳細を表示] をクリックします。
- 開いたサイドドロワーで情報を確認し、[追加] をクリックします。
- プレイブックまたはブロックを追加する環境を選択します。
- リンクをクリックすると、追加したハンドブックが表示されたハンドブック デザイナー ページにリダイレクトされます。同じプレイブックを複数回追加できます。各ハンドブックには昇順の番号がタイトルとして付けられます。
詳細については、ハンドブック ページをご覧ください。
検索クエリ ページではどのようなことができますか?
[検索クエリ] ページでは、検索クエリの詳細を表示したり、新しいクエリを追加したりできます。検索クエリを追加すると、保存済みの検索に追加され、インスタンス内で共有されます。保存したクエリを表示または管理するには、[SIEM 検索] ページに移動します。
Power Ups ページではどのようなことができますか?
[Power Ups] ページでは、ハンドブックで使用する Google SecOps Power Ups の詳細を表示、インストール、構成できます。設定手順については、Power Up を使用するをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。