Reorganizamos nossa estrutura de navegação para se alinhar diretamente aos seus fluxos de trabalho operacionais. Consulte as notas da versão do Google SecOps para mais informações.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Visão geral do Hub de Conteúdo

Compatível com:

Google SecOps

Permissões do Hub de Conteúdo

Para clientes que não migraram a instância do SOAR para Google Cloud, verifique se as permissões Marketplace e Integrações de resposta estão definidas na página Configurações do SOAR > Permissões.

Para todos os outros clientes, para acessar módulos no Hub de Conteúdo, é necessário configurar as seguintes permissões no módulo IAM.

Nome da permissão do IAM	Nome de exibição	Papel no IAM
`chronicle.googleapis.com/featuredContentSearchQueries.get`	Acessar conteúdo da consulta de pesquisa	`chronicle.reader`
`chronicle.googleapis.com/featuredContentSearchQueries.list`	Listar conteúdo da consulta de pesquisa	`chronicle.reader`
`chronicle.googleapis.com/featuredContentSearchQueries.install`	Instalar conteúdo da consulta de pesquisa	`chronicle.writer`
`chronicle.googleapis.com/featuredContentRules.list`	Listar regras de conteúdo em destaque	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.get`	Acessar conteúdo do painel	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.list`	Listar conteúdo do painel	`chronicle.reader`
`chronicle.googleapis.com/featuredContentNativeDashboards.install`	Instalar conteúdo do painel	`chronicle.writer`
`chronicle.googleapis.com/feedPacks.get`	Acessar pacotes de feeds	`chronicle.reader`
`chronicle.googleapis.com/feedPacks.list`	Listar pacotes de feeds	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.get`	Acessar playbook de conteúdo em destaque	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.list`	Listar playbook de conteúdo em destaque	`chronicle.reader`
`chronicle.googleapis.com/featuredContentPlaybooks.install`	Instalar playbook de conteúdo em destaque	`chronicle.writer`

Visão geral

O Hub de Conteúdo é uma plataforma centralizada para descobrir, implantar e gerenciar conteúdo no Google SecOps.

No Hub de Conteúdo, você pode fazer o seguinte:

Implantar pacotes de conteúdo completos (incluindo ingestão de registros, detecções especializadas e painéis) para permitir que sua instância do Google SecOps funcione com produtos da lista de suporte principal que definimos.
Instalar integrações de terceiros para playbooks e conectores do SOAR.
Visualizar e filtrar detecções especializadas, inspecionar atributos de regras individuais e as respectivas definições de regras (transparência de detecções especializadas). Acesse a página " Conjunto de regras" para ter recursos de gerenciamento completos.
Adicionar painéis para melhorar a visibilidade.
Adicionar consultas de pesquisa salvas à pesquisa do SIEM para reutilização rápida.
Instalar e executar Power Ups para estender os recursos do playbook.
Instalar e executar playbooks para fornecer respostas do SOAR.
Acessar casos de uso legados do SOAR na página Início.

Tipos de conteúdo

Há quatro tipos de conteúdo no Hub de Conteúdo:

Google: conteúdo desenvolvido, mantido e verificado pelo Google SecOps. Essa categoria inclui itens de conteúdo novos e atualizados.
Parceiro: conteúdo desenvolvido e mantido por um parceiro. Esse conteúdo é validado por verificações automatizadas de qualidade e validação do Google. Para conteúdos de parceiros, detalhes específicos do contato de suporte são fornecidos.
Comunidade: conteúdo desenvolvido e mantido por usuários da comunidade. Esse conteúdo é validado por verificações automatizadas de qualidade e validação do Google.
Personalizado: conteúdo que você cria e que é exibido apenas no seu hub de conteúdo. Este conteúdo é privado da sua instância e não é verificado pelo Google SecOps.

O que posso fazer na página "Início"?

A página Início é a principal página de destino do Hub de Conteúdo. Nela, você pode acessar o seguinte:

Pacotes de conteúdo, integrações de resposta, painéis, consultas de pesquisa, Power Ups e detecções especializadas.
Casos de uso legados do SOAR. O Google recomenda o uso dos novos pacotes de conteúdo em vez dos casos de uso legados, porque eles oferecem soluções mais abrangentes e integradas.

Você pode pesquisar simultaneamente em todos os tipos de conteúdo, incluindo pacotes de conteúdo, detecções, integrações de resposta e painéis. Esse recurso elimina a necessidade de navegar por guias individuais para encontrar recursos relacionados. A plataforma mostra os resultados com o número total de correspondências para cada tipo. Clique em qualquer um dos resultados para ver mais detalhes.

Por exemplo, se você pesquisar Crowdstrike no campo Pesquisar, a plataforma vai retornar o seguinte:

Pacotes de conteúdo (1): por exemplo, o pacote abrangente do Crowdstrike Falcon.
Detecções selecionadas (42): os quatro principais cards são exibidos, como "Crowdstrike Falcon: malware detectado" e "Crowdstrike Falcon: adulteração do sensor". Clique em Ver todos os 42 resultados para acessar diretamente a guia Detecções.
Integrações de resposta (2): por exemplo, Crowdstrike Falcon (resposta) – usado para ações de playbook como "Isolar host".
Painéis (3)

O que posso fazer na página "Pacotes de conteúdo"?

Na página Pacotes de conteúdo, você pode configurar feeds únicos e múltiplos, e acessar todas as outras opções do Hub de Conteúdo.

Para integrar todos os dados na página Pacotes de conteúdo, siga estas etapas:

Configure vários feeds para famílias de produtos com base no tipo de registro necessário.
Depois de configurar o feed, você pode configurar os componentes restantes do pacote de conteúdo (baixado automaticamente em segundo plano).
1. Antes de usar qualquer playbook, clique em Configurar integrações e configure uma instância para que os playbooks funcionem. Para mais informações, consulte Configurar instâncias de integração.
2. Para visualizar ou fazer mudanças no playbook baixado ou executá-lo usando o simulador, clique em Visualizar playbooks. Para mais informações, consulte Trabalhar com o simulador de playbook. É necessário copiar o nome do playbook e pesquisar por ele na pasta "Padrão" na página Playbooks.
3. Clique em Ver todas as regras de detecção para abrir a página Detecções selecionadas.
4. Clique em Ver todas as consultas de pesquisa para abrir a página Pesquisa do SIEM.
5. Clique em Ver todos os painéis para abrir a página Painéis.

O que posso fazer na página "Detecções selecionadas"?

Na página Detecções selecionadas, você pode conferir todas as definições de regras de detecção compatíveis no Google SecOps, incluindo a lógica e o código da regra.

Para visualizar e modificar detecções especializadas (regras), faça o seguinte:

Encontre o conjunto de regras que você quer atualizar e clique em Visualizar e gerenciar.
Na barra lateral que aparece na guia Visão geral, clique em Gerenciar regra. Você será direcionado para o conjunto de regras inteiro na página Detecções selecionadas.
Como alternativa, na barra lateral que aparece, clique na guia Definição de regra. Isso mostra a lógica da regra. Não é possível modificar a regra aqui, mas você pode criar uma nova na página Regras. Clique em Visualizar desempenho da regra para acessar a página Detecções e gerenciar a regra.

O que posso fazer na página "Integrações de resposta"?

Na página Integrações de resposta, você pode conferir detalhes da integração, incluindo o Notas de lançamento, e configurar as integrações de resposta individuais. Elas podem ser usadas para conectores do SOAR e para playbooks.

Também é possível reverter uma integração para uma versão anterior se uma atualização causar problemas ou se você precisar reverter mudanças de código personalizadas.

Para instalar e configurar uma integração:

Encontre a integração necessária e clique em Instalar.
Após a instalação, clique em Configurar na mesma integração para iniciar a configuração. Para mais informações, consulte Configurar instâncias de integração.

O que posso fazer na página "Painéis"?

Na página Painéis, você pode conferir detalhes dos painéis pré-instalados e adicionar novos. Para visualizar ou gerenciar qualquer painel, pré-instalado ou adicionado no Hub de Conteúdo, acesse a página Painéis. Observação: os painéis adicionados pelo Hub de Conteúdo são marcados como Marketplace.

O que posso fazer na página "Playbooks e blocos"?

Na página Playbooks e blocos, você pode visualizar e instalar playbooks e blocos de playbook (playbooks aninhados). É possível mostrar playbooks de acordo com vários filtros e categorias. Por exemplo, você pode mostrar apenas playbooks que contenham integrações já instaladas na sua instância ou escolher mostrar apenas playbooks com integrações específicas.

Para visualizar e instalar um playbook ou bloco de playbook:

Encontre o playbook ou bloco necessário e clique em Visualizar detalhes.
Na gaveta lateral que aparece, confira as informações e clique em Adicionar.
Selecione o ambiente em que você quer adicionar o playbook ou bloco.
Clique no link para ser redirecionado à página do designer de playbook com o playbook que você acabou de adicionar. É possível adicionar o mesmo playbook várias vezes. Cada playbook será intitulado com um número crescente.

Para mais informações, consulte a página Playbooks.

O que posso fazer na página "Consultas de pesquisa"?

Na página Consultas de pesquisa, você pode conferir detalhes da consulta de pesquisa e adicionar novas consultas. Depois de adicionar uma consulta de pesquisa, ela é adicionada às pesquisas salvas e compartilhada na instância. Para visualizar ou gerenciar consultas salvas, acesse a página Pesquisa do SIEM.

O que posso fazer na página "Power Ups"?

Na página Power Ups , você pode conferir detalhes, instalar e configurar Power Ups do Google SecOps para uso em playbooks. Para instruções de configuração, consulte Usar Power Ups.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.