Google SecOps Content Hub 概览
Content Hub 的权限
对于尚未将 SOAR 实例迁移到 Google Cloud的客户,请确保在 SOAR 设置 > 权限页面中设置应用商店和响应集成权限。
对于所有其他客户,如需访问内容中心的模块,您必须在 IAM 模块中配置以下权限。
| IAM 权限名称 | 显示名称 | IAM 中的角色 |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
获取搜索查询内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
列出搜索查询内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
安装搜索查询内容 | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
列出精选内容规则 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
获取信息中心内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
列出信息中心内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
安装信息中心内容 | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
获取 Feed 包 | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
列出 Feed 包 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
获取精选内容创作指南 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
列表精选内容创作指南 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
安装精选内容创作指南 | chronicle.writer |
概览
内容中心是一个集中式平台,用于在 Google SecOps 中发现、部署和管理内容。
在内容中心,您可以执行以下操作:
- 部署端到端内容包(包括日志注入、精选检测和信息中心),使您的 Google SecOps 实例能够与我们定义的支持产品列表中的顶级产品搭配使用。
- 为 SOAR playbook 和连接器安装第三方集成。
- 查看和过滤精选检测结果,检查各个规则属性和相应的规则定义(精选检测结果透明度)。前往“规则集”页面,以获得完整的管理功能。
- 添加信息中心以提高曝光度。
- 将已保存的搜索查询添加到 SIEM 搜索中,以便快速重复使用。
- 安装并运行增强工具,以扩展 playbook 功能。
- 安装并运行 playbook 以提供 SOAR 响应。
- 在首页上访问旧版 SOAR 用例。
内容类型
内容中心包含四种类型的内容:
- Google:由 Google SecOps 开发、维护和验证的内容。此类别包括新内容项和更新的内容项。
- 合作伙伴:由合作伙伴开发和维护的内容。 此内容通过了 Google 的自动质量和验证检查。对于合作伙伴内容,我们提供了具体支持联系方式。
- 社区:由社区用户开发和维护的内容。此内容通过了 Google 的自动质量和验证检查。
- 自定义:您创建的内容,仅在您自己的内容中心显示。此内容仅供您的实例使用,未经 Google SecOps 验证。
我可以在首页上执行哪些操作?
首页是内容中心的主要着陆页。您可以在此处执行以下操作:
- 内容包、响应集成、信息中心、搜索查询、增强工具和精选检测。
- 旧版 SOAR 用例。Google 建议使用新的内容包,而不是旧版使用情形,因为它们可提供更全面、更集成的解决方案。
您可以同时搜索所有类型的内容,包括内容包、检测、响应集成和信息中心。 借助此功能,您无需再逐个浏览各个标签页来查找相关素材资源。 平台会显示结果,其中包含每种类型的匹配总数。您可以点击任一结果查看更多详细信息。
例如,如果您在搜索字段中搜索 Crowdstrike,平台会返回以下结果:
- 内容包 (1):例如,Crowdstrike Falcon Comprehensive Pack。
- 精选检测结果 (42):显示前四张卡片,例如“Crowdstrike Falcon:检测到恶意软件”和“Crowdstrike Falcon:传感器篡改”。 点击查看全部 42 个结果,直接前往检测结果标签页。
- 响应集成 (2):例如,Crowdstrike Falcon(响应)- 用于执行“隔离主机”等 playbook 操作。
- 信息中心 (3)
我可以在“内容包”页面上执行哪些操作?
在内容包页面上,您可以配置单个和多个 Feed,并访问所有其他内容中心选项。
如需在内容包页面上载所有数据,请按以下步骤操作:
- 根据您需要的日志类型,为产品系列配置多个 Feed。
- 设置 Feed 后,您可以选择性地配置内容包的其余组件(在后台自动下载)。
我可以在“精选检测”页面上执行哪些操作?
在精选检测页面上,您可以查看 Google SecOps 中所有受支持的检测规则定义,包括规则逻辑和代码。
如需查看和修改精选检测(规则),请执行以下操作:
- 找到要更新的必需规则集,然后点击查看和管理。
- 在概览标签页上打开的侧边栏中,点击管理规则。系统会将您引导至精选检测页面上的整个规则集。
- 或者,在随即打开的侧边栏中,点击显示规则定义的标签页。 系统随即会显示规则逻辑。您无法在此处修改规则,但可以在规则页面中创建新规则。点击查看规则效果,系统会转到检测页面,以便您管理规则。
我可以在“回答集成”页面上执行哪些操作?
在响应集成页面上,您可以查看集成详情(包括版本说明),并配置各个响应集成。这些变量可用于 SOAR 连接器和 playbook。
如果更新导致问题,或者您需要恢复自定义代码更改,也可以将集成回滚到之前的版本。
如需安装和配置集成,请执行以下操作:
- 找到所需的集成,然后点击安装。
- 成功安装后,点击同一集成上的配置,开始设置。 如需了解详情,请参阅配置集成实例。
我可以在“信息中心”页面中执行哪些操作?
在信息中心页面上,您可以查看预安装信息中心的详细信息,并添加新的信息中心。如需查看或管理任何信息中心(无论是预安装的还是从内容中心添加的),请前往信息中心页面。注意:通过内容中心添加的信息中心会标记为Marketplace。
我可以在“策略方案和代码块”页面上执行哪些操作?
在 playbook 和模块页面上,您可以查看和安装 playbook 和 playbook 模块(嵌套 playbook)。 您可以根据各种过滤条件和类别显示剧本。例如,您可以仅显示包含您已在实例上安装的集成的 playbook,也可以选择仅显示具有特定集成的 playbook。
如需查看和安装 playbook 或 playbook 块,请执行以下操作:
- 找到所需的 playbook 或模块,然后点击查看详情。
- 在随即打开的侧边抽屉式导航栏中,查看相关信息,然后点击添加。
- 选择要向哪个环境添加 playbook 或块。
- 点击该链接,系统会将您重定向到 Playbook 设计器页面,并显示您刚刚添加的 playbook。 您可以多次添加同一剧本。每个剧本都将按升序编号。
如需了解详情,请参阅 playbook 页面。
我可以在“搜索查询”页面上执行哪些操作?
在搜索查询页面上,您可以查看搜索查询详情并添加新查询。添加搜索查询后,该查询会添加到已保存的搜索中,并在实例内共享。如需查看或管理已保存的查询,请前往 SIEM 搜索页面。
我可以在“Power Up”页面上执行哪些操作?
在增强工具页面上,您可以查看详细信息、安装和配置 Google SecOps 增强工具,以便在剧本中使用它们。 如需查看设置说明,请参阅使用增强功能。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。