Visão geral do Google SecOps Content Hub

Compatível com:

Permissões do Hub de conteúdo

Para clientes que não migraram a instância do SOAR para Google Cloud, verifique se as permissões de Marketplace e Integrações de resposta estão definidas na página Configurações do SOAR > Permissões.

Para todos os outros clientes, acesse os módulos na Central de conteúdo configurando as seguintes permissões no módulo do IAM.

Nome da permissão do IAM Nome de exibição Função no IAM
chronicle.googleapis.com/featuredContentSearchQueries.get Receber conteúdo da consulta de pesquisa chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list Listar conteúdo da consulta de pesquisa chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install Instalar conteúdo de consulta de pesquisa chronicle.writer
chronicle.googleapis.com/featuredContentRules.list Listar regras de conteúdo em destaque chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get Acessar conteúdo do painel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list Listar conteúdo do painel chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install Instalar conteúdo do painel chronicle.writer
chronicle.googleapis.com/feedPacks.get Receber pacotes de feed chronicle.reader
chronicle.googleapis.com/feedPacks.list Listar pacotes de feeds chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get Acessar o manual de conteúdo em destaque chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list Manual de conteúdo em destaque chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install Instalar o manual de conteúdo em destaque chronicle.writer

Visão geral

O Hub de conteúdo serve como uma plataforma centralizada para descobrir, implantar e gerenciar conteúdo no Google SecOps.

No Hub de conteúdo, você pode fazer o seguinte:

  • Implante pacotes de conteúdo de ponta a ponta (incluindo ingestão de registros, detecções especializadas e painéis) para permitir que sua instância do Google SecOps funcione com produtos da lista dos mais usados que definimos.
  • Instale integrações de terceiros para playbooks e conectores do SOAR.
  • Veja e filtre detecções especializadas, inspecione atributos de regras individuais e as respectivas definições de regras (transparência de detecções especializadas). Acesse a página "Conjunto de regras" para ter acesso a todos os recursos de gerenciamento.
  • Adicione painéis para aumentar sua visibilidade.
  • Adicione consultas de pesquisa salvas à pesquisa do SIEM para reutilização rápida.
  • Instale e execute Power-Ups para ampliar as capacidades do playbook.
  • Instale e execute playbooks para fornecer respostas do SOAR.
  • Acesse os casos de uso legados do SOAR na página Início.

Tipos de conteúdo

Há quatro tipos de conteúdo no Hub de conteúdo:

  • Google: conteúdo desenvolvido, mantido e verificado pela Google SecOps. Essa categoria inclui itens de conteúdo novos e atualizados.
  • Parceiro: conteúdo desenvolvido e mantido por um parceiro. Esse conteúdo é validado por verificações automatizadas de qualidade e validação do Google. Para conteúdo de parceiros, fornecemos detalhes de contato específicos do suporte.
  • Comunidade: conteúdo desenvolvido e mantido por usuários da comunidade. Esse conteúdo é validado por verificações automatizadas de qualidade e validação do Google.
  • Personalizado: conteúdo criado por você e que só aparece no seu Hub de conteúdo. Esse conteúdo é particular da sua instância e não é verificado pelo Google SecOps.

O que posso fazer na página inicial?

A página Início é a principal página de destino do hub de conteúdo. Nessa página, você pode acessar o seguinte:

  • Pacotes de conteúdo, integrações de resposta, painéis, consultas de pesquisa, Power Ups e detecções especializadas.
  • Casos de uso legados de SOAR. O Google recomenda usar os novos pacotes de conteúdo em vez dos casos de uso legados porque eles oferecem soluções mais abrangentes e integradas.

É possível pesquisar simultaneamente em todos os tipos de conteúdo, incluindo pacotes de conteúdo, detecções, integrações de resposta e painéis. Assim, não é preciso navegar por guias individuais para encontrar recursos relacionados. A plataforma mostra resultados com o número total de correspondências para cada tipo. Clique em qualquer um dos resultados para ver mais detalhes.

Por exemplo, se você pesquisar Crowdstrike no campo Pesquisar, a plataforma vai retornar o seguinte:

  • Pacotes de conteúdo (1): por exemplo, o pacote abrangente do Crowdstrike Falcon.
  • Detecções selecionadas (42): os quatro principais cards são exibidos, como "Crowdstrike Falcon: malware detectado" e "Crowdstrike Falcon: violação do sensor". Clique em Ver todos os 42 resultados para acessar diretamente a guia Detecções.
  • Integrações de resposta (2): por exemplo, Crowdstrike Falcon (Response), usado para ações de playbook como "Isolar host".
  • Painéis (3)

O que posso fazer na página "Pacotes de conteúdo"?

Na página Pacotes de conteúdo, é possível configurar feeds únicos e múltiplos e acessar todas as outras opções da Central de conteúdo.

Para integrar todos os dados na página Pacotes de conteúdo, siga estas etapas:

  1. Configure vários feeds para famílias de produtos com base no tipo de registro necessário.
  2. Depois de configurar o feed, você pode configurar os componentes restantes do pacote de conteúdo (baixados automaticamente em segundo plano).
    1. Antes de usar qualquer playbook, clique em Configurar integrações e configure uma instância para que os playbooks funcionem. Para mais informações, consulte Configurar instâncias de integração.
    2. Para ver ou fazer mudanças no playbook baixado ou executá-lo usando o simulador, clique em Ver playbooks. Para mais informações, consulte Como trabalhar com o simulador de playbook. Copie o nome do playbook e pesquise na pasta "Padrão" da página Playbooks.
    3. Clique em Ver todas as regras de detecção para abrir a página Detecções selecionadas.
    4. Clique em Ver todas as consultas de pesquisa para abrir a página Pesquisa do SIEM.
    5. Clique em Ver todos os painéis para abrir a página Painéis.

O que posso fazer na página "Detecções selecionadas"?

Na página Detecções selecionadas, é possível conferir todas as definições de regras de detecção compatíveis no Google SecOps, incluindo lógica e código de regras.

Para ver e modificar detecções especializadas (regras), faça o seguinte:

  1. Encontre o conjunto de regras obrigatório que você quer atualizar e clique em Ver e gerenciar.
  2. Na barra lateral que aparece na guia Visão geral, clique em Gerenciar regra. Você vai acessar o conjunto de regras completo na página Detecções selecionadas.
  3. Como alternativa, na barra lateral que aparece, clique na guia Definição da regra. Isso mostra a lógica da regra. Não é possível modificar a regra aqui, mas você pode criar uma nova na página Regras. Clique em Ver desempenho da regra para acessar a página Detecções e gerenciar a regra.

O que posso fazer na página "Integrações de respostas"?

Na página Integrações de resposta, é possível conferir os detalhes da integração, incluindo o Notas de lançamento, e configurar as integrações de resposta individuais. Eles podem ser usados para conectores de SOAR e playbooks.

Também é possível reverter uma integração para uma versão anterior se uma atualização causar problemas ou se você precisar reverter mudanças no código personalizado.

Para instalar e configurar uma integração:

  1. Encontre a integração necessária e clique em Instalar.
  2. Depois da instalação, clique em Configurar na mesma integração para iniciar a configuração. Para mais informações, consulte Configurar instâncias de integração.

O que posso fazer na página "Painéis"?

Na página Painéis, é possível conferir detalhes dos painéis pré-instalados e adicionar novos. Para acessar ou gerenciar qualquer painel, pré-instalado ou adicionado do Hub de conteúdo, acesse a página Painéis. Observação: os painéis adicionados pela Central de conteúdo são marcados como Marketplace.

O que posso fazer na página "Manuais e blocos"?

Na página Playbooks e blocos, é possível ver e instalar playbooks e blocos de playbook (playbooks aninhados). É possível mostrar os playbooks de acordo com vários filtros e categorias. Por exemplo, você pode mostrar apenas os playbooks que contêm integrações já instaladas na sua instância ou escolher mostrar apenas os playbooks com integrações específicas.

Para ver e instalar um playbook ou bloco de playbook:

  1. Encontre o playbook ou bloco necessário e clique em Ver detalhes.
  2. No painel lateral que aparece, confira as informações e clique em Adicionar.
  3. Selecione o ambiente em que você quer adicionar o manual ou o bloco.
  4. Clique no link para ser redirecionado à página do designer de playbook com o playbook que você acabou de adicionar em exibição. Você pode adicionar o mesmo playbook várias vezes. Cada playbook vai receber um título com um número crescente.

Para mais informações, consulte a página Playbooks.

O que posso fazer na página "Consultas de pesquisa"?

Na página Consultas de pesquisa, é possível conferir detalhes e adicionar novas consultas. Depois que você adiciona uma consulta de pesquisa, ela é adicionada às pesquisas salvas e compartilhada na instância. Para ver ou gerenciar consultas salvas, acesse a página Pesquisa do SIEM.

O que posso fazer na página "Power-ups"?

Na página Power-ups, é possível conferir detalhes, instalar e configurar os power-ups do Google SecOps para uso em playbooks. Para instruções de configuração, consulte Usar Power-Ups.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.