Google SecOps Content Hub 개요

다음에서 지원:

콘텐츠 허브 권한

SOAR 인스턴스를 Google Cloud로 이전하지 않은 고객의 경우 마켓플레이스대응 통합 권한이 SOAR 설정 > 권한 페이지에서 설정되어 있는지 확인하세요.

다른 모든 고객의 경우 콘텐츠 허브 내의 모듈에 액세스하려면 IAM 모듈에서 다음 권한을 구성해야 합니다.

IAM 권한 이름 표시 이름 IAM의 역할
chronicle.googleapis.com/featuredContentSearchQueries.get 검색어 콘텐츠 가져오기 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list 검색어 콘텐츠 나열 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install 검색어 콘텐츠 설치 chronicle.writer
chronicle.googleapis.com/featuredContentRules.list 추천 콘텐츠 규칙 나열 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get 대시보드 콘텐츠 가져오기 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list 대시보드 콘텐츠 나열 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install 대시보드 콘텐츠 설치 chronicle.writer
chronicle.googleapis.com/feedPacks.get 피드 팩 가져오기 chronicle.reader
chronicle.googleapis.com/feedPacks.list 피드 팩 나열 chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get 추천 콘텐츠 플레이북 가져오기 chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list 추천 콘텐츠 플레이북 나열 chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install 추천 콘텐츠 플레이북 설치 chronicle.writer

개요

콘텐츠 허브는 Google SecOps 내에서 콘텐츠를 검색, 배포, 관리할 수 있는 중앙 집중식 플랫폼 역할을 합니다.

콘텐츠 허브에서 다음 작업을 할 수 있습니다.

  • 로그 수집, 선별된 감지, 대시보드를 포함한 엔드 투 엔드 콘텐츠 팩을 배포하여 Google SecOps 인스턴스가 Google에서 정의한 지원되는 제품 목록의 제품과 호환되도록 합니다.
  • SOAR 플레이북 및 커넥터용 서드 파티 통합을 설치합니다.
  • 선별된 감지를 보고 필터링하고, 개별 규칙 속성 및 각 규칙 정의 (선별된 감지 투명성)를 검사합니다. 전체 관리 기능을 사용하려면 규칙 집합 페이지로 이동합니다.
  • 대시보드를 추가하여 가시성을 높입니다.
  • 빠르게 재사용할 수 있도록 저장된 검색어를 SIEM 검색에 추가합니다.
  • 강화를 설치하고 실행하여 플레이북 기능을 확장합니다.
  • 플레이북을 설치하고 실행하여 SOAR 응답을 제공합니다.
  • 페이지에서 기존 SOAR 사용 사례에 액세스합니다.

콘텐츠 유형

콘텐츠 허브에는 네 가지 유형의 콘텐츠가 있습니다.

  • Google: Google SecOps에서 개발, 유지관리, 확인한 콘텐츠입니다. 이 카테고리에는 신규 콘텐츠 항목과 업데이트된 콘텐츠 항목이 모두 포함됩니다.
  • 파트너: 파트너가 개발하고 유지관리한 콘텐츠입니다. 이 콘텐츠는 Google의 자동화된 품질 및 유효성 검사 체크를 통해 검증됩니다. 파트너 콘텐츠의 경우 특정 지원 연락처 세부정보가 제공됩니다.
  • 커뮤니티: 커뮤니티 사용자가 개발하고 유지관리한 콘텐츠입니다. 이 콘텐츠는 Google의 자동화된 품질 및 유효성 검사 체크를 통해 검증됩니다.
  • 커스텀: 사용자가 만든 콘텐츠로, 사용자 자신의 콘텐츠 허브에만 표시됩니다. 이 콘텐츠는 인스턴스에 비공개이며 Google SecOps에서 확인하지 않습니다.

홈페이지에서 무엇을 할 수 있나요?

페이지는 콘텐츠 허브의 기본 방문 페이지입니다. 여기에서 다음 항목에 액세스할 수 있습니다.

  • 콘텐츠 팩, 대응 통합, 대시보드, 검색어, 강화, 선별된 감지
  • 기존 SOAR 사용 사례 Google에서는 기존 사용 사례 대신 새로운 콘텐츠 팩을 사용하는 것이 좋습니다. 콘텐츠 팩은 더 포괄적이고 통합된 솔루션을 제공하기 때문입니다.

콘텐츠 팩, 감지, 대응 통합, 대시보드를 비롯한 모든 콘텐츠 유형을 동시에 검색할 수 있습니다. 이 기능을 사용하면 관련 애셋을 찾기 위해 개별 탭을 탐색할 필요가 없습니다. 플랫폼에는 각 유형의 총 일치 항목 수가 포함된 결과가 표시됩니다. 결과를 클릭하여 자세한 내용을 확인할 수 있습니다.

예를 들어 검색 필드에서 Crowdstrike 를 검색하면 플랫폼에서 다음을 반환합니다.

  • 콘텐츠 팩 (1): 예를 들어 Crowdstrike Falcon 종합 팩입니다.
  • 선별된 감지 (42): 'Crowdstrike Falcon: 멀웨어 감지됨' 및 'Crowdstrike Falcon: 센서 변조'와 같은 상위 4개 카드가 표시됩니다. 결과 42개 모두 보기 를 클릭하여 감지 탭으로 바로 이동합니다.
  • 대응 통합 (2): 예를 들어 Crowdstrike Falcon (대응)은 '호스트 격리'와 같은 플레이북 작업에 사용됩니다.
  • 대시보드 (3)

콘텐츠 팩 페이지에서 무엇을 할 수 있나요?

콘텐츠 팩 페이지에서 단일 및 다중 피드를 구성하고 다른 모든 콘텐츠 허브 옵션에 액세스할 수 있습니다.

콘텐츠 팩 페이지에서 모든 데이터를 온보딩하려면 다음 단계를 따르세요.

  1. 필요한 로그 유형에 따라 제품군에 대해 여러 피드를 구성합니다.
  2. 피드를 설정한 후에는 콘텐츠 팩의 나머지 구성요소를 선택적으로 구성할 수 있습니다 (백그라운드에서 자동으로 다운로드됨).
    1. 플레이북을 사용하려면 먼저 통합 구성 을 클릭하고 플레이북이 작동하도록 인스턴스를 설정해야 합니다. 자세한 내용은 통합 인스턴스 구성을 참고하세요.
    2. 다운로드한 플레이북을 보거나 변경하거나 시뮬레이터를 사용하여 실행하려면 플레이북 보기를 클릭합니다. 자세한 내용은 플레이북 시뮬레이터 사용을 참고하세요. 플레이북 이름을 복사하여 플레이북 페이지의 기본 폴더에서 검색해야 합니다.
    3. 모든 감지 규칙 보기 를 클릭하여 선별된 감지 페이지를 엽니다.
    4. 모든 검색어 보기를 클릭하여 SIEM 검색 페이지를 엽니다.
    5. 모든 대시보드 보기를 클릭하여 대시보드 페이지를 엽니다.

선별된 감지 페이지에서 무엇을 할 수 있나요?

선별된 감지 페이지에서 규칙 로직 및 코드를 비롯한 Google SecOps에서 지원되는 모든 감지 규칙 정의를 볼 수 있습니다.

선별된 감지 (규칙)를 보고 수정하려면 다음 단계를 따르세요.

  1. 업데이트할 규칙 집합을 찾아 보기 및 관리 를 클릭합니다.
  2. 개요 탭에서 열리는 사이드바에서 규칙 관리 를 클릭합니다. **선별된 감지** 페이지에서 전체 규칙 집합으로 이동합니다.
  3. 또는 열리는 사이드바에서 규칙 정의 라고 표시된 탭을 클릭합니다. 그러면 규칙 로직이 표시됩니다. 여기에서 규칙을 수정할 수는 없지만 **규칙** 페이지에서 새 규칙을 만들 수 있습니다. 규칙 성능 보기 를 클릭하여 감지 페이지로 이동하여 규칙을 관리합니다.

대응 통합 페이지에서 무엇을 할 수 있나요?

대응 통합 페이지에서 출시 노트를 비롯한 통합 세부정보를 보고 개별 대응 통합을 구성할 수 있습니다. 이러한 통합은 SOAR 커넥터 및 플레이북에 사용할 수 있습니다.

업데이트로 인해 문제가 발생하거나 커스텀 코드 변경사항을 되돌려야 하는 경우 통합을 이전 버전으로 롤백할 수도 있습니다.

통합을 설치하고 구성하려면 다음 단계를 따르세요.

  1. 필요한 통합을 찾아 설치 를 클릭합니다.
  2. 설치가 완료되면 동일한 통합에서 구성 을 클릭하여 설정을 시작합니다. 자세한 내용은 통합 인스턴스 구성을 참고하세요.

대시보드 페이지에서 무엇을 할 수 있나요?

대시보드 페이지에서 사전 설치된 대시보드의 세부정보를 보고 새 대시보드를 추가할 수 있습니다. 사전 설치되었거나 콘텐츠 허브에서 추가된 대시보드를 보거나 관리하려면 대시보드 페이지로 이동합니다. 참고: 콘텐츠 허브를 통해 추가된 대시보드는 Marketplace 로 라벨이 지정됩니다.

플레이북 및 블록 페이지에서 무엇을 할 수 있나요?

플레이북 및 블록 페이지에서 플레이북과 플레이북 블록 (중첩된 플레이북)을 모두 보고 설치할 수 있습니다. 다양한 필터와 카테고리에 따라 플레이북을 표시할 수 있습니다. 예를 들어 인스턴스에 이미 설치한 통합이 포함된 플레이북만 표시하거나 특정 통합이 포함된 플레이북만 표시하도록 선택할 수 있습니다.

플레이북 또는 플레이북 블록을 보고 설치하려면 다음 단계를 따르세요.

  1. 필요한 플레이북 또는 블록을 찾아 세부정보 보기 를 클릭합니다.
  2. 열리는 사이드 드로어에서 정보를 살펴보고 추가 를 클릭합니다.
  3. 플레이북 또는 블록을 추가할 환경을 선택합니다.
  4. 링크를 클릭하여 방금 추가한 플레이북이 표시된 플레이북 디자이너 페이지로 리디렉션됩니다. 동일한 플레이북을 여러 번 추가할 수 있습니다. 각 플레이북에는 오름차순 숫자가 제목으로 지정됩니다.

자세한 내용은 플레이북 페이지를 참고하세요.

검색어 페이지에서 무엇을 할 수 있나요?

검색어 페이지에서 검색어 세부정보를 보고 새 쿼리를 추가할 수 있습니다. 검색어를 추가하면 저장된 검색에 추가되고 인스턴스 내에서 공유됩니다. 저장된 쿼리를 보거나 관리하려면 SIEM 검색 페이지로 이동합니다.

강화 페이지에서 무엇을 할 수 있나요?

강화 페이지에서 플레이북에 사용할 Google SecOps 강화의 세부정보를 보고, 설치하고, 구성할 수 있습니다. 설정 안내는 강화 사용을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가에게 문의하여 답변을 받으세요.