内容中心概览
内容中心的权限
对于尚未将其 SOAR 实例迁移到 Google Cloud的客户,请确保在 SOAR 设置 > 权限 页面中设置了 Marketplace 和 Response Integrations 权限。
对于所有其他客户,如需访问内容中心内的模块,您必须在 IAM 模块中配置以下权限。
| IAM 权限名称 | 显示名称 | IAM 中的角色 |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
获取搜索查询内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
列出搜索查询内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
安装搜索查询内容 | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
列出精选内容规则 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
获取信息中心内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
列出信息中心内容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
安装信息中心内容 | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
获取 Feed 包 | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
列出 Feed 包 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
获取精选内容 playbook | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
列出精选内容 playbook | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
安装精选内容 playbook | chronicle.writer |
概览
内容中心是一个集中式平台,用于发现、部署和管理 Google SecOps 中的内容。
在内容中心,您可以执行以下操作:
- 部署端到端内容包(包括日志注入、精选检测和信息中心),使您的 Google SecOps 实例能够与我们定义的热门支持列表中的产品配合使用。
- 为 SOAR playbook 和连接器安装第三方集成。
- 查看和过滤精选检测,检查各个规则属性 和相应的规则定义(精选检测透明度)。前往“ 规则集”页面,以使用完整管理功能。
- 添加信息中心以提高可见性。
- 将保存的搜索查询添加到 SIEM 搜索,以便快速重复使用。
- 安装并运行增强工具,以扩展 playbook 功能。
- 安装并运行 playbook,以提供 SOAR 响应。
- 在首页 上访问旧版 SOAR 用例。
内容类型
内容中心包含四种类型的内容:
- Google:由 Google SecOps 开发、维护和验证的内容。此类别包括新增的和更新的内容项。
- 合作伙伴:由合作伙伴开发和维护的内容。 此类内容通过了 Google 的自动质量和验证检查。对于合作伙伴内容,我们提供了具体的支持联系信息。
- 社区:由社区用户开发和维护的内容 。此类内容通过了 Google 的自动质量和验证检查。
- 自定义:由您创建的内容,且仅在您自己的 内容中心显示。此类内容是您的实例的私有内容,未经 Google SecOps 验证。
我可以在首页上执行哪些操作?
首页 是内容中心的主着陆页。您可以在这里访问以下内容:
- 内容包、响应集成、信息中心、搜索查询、增强工具和精选检测。
- 旧版 SOAR 用例。Google 建议您使用新的内容包,而不是旧版用例,因为前者提供了更全面、更集成的解决方案。
您可以同时搜索所有内容类型,包括内容包、检测、响应集成和信息中心。 借助此功能,您无需浏览各个标签页即可找到相关资产。 平台会显示结果,并显示每种类型的匹配总数。您可以点击任何结果以查看更多详细信息。
例如,如果您在搜索 字段中搜索 Crowdstrike ,平台会返回以下内容:
- 内容包 (1):例如,Crowdstrike Falcon Comprehensive Pack。
- 精选检测 (42):系统会显示前四个卡片,例如“Crowdstrike Falcon:检测到恶意软件”和“Crowdstrike Falcon:传感器篡改”。 点击查看全部 42 个结果 ,即可直接前往检测 标签页。
- 响应集成 (2):例如,Crowdstrike Falcon(响应)- 用于 playbook 操作,例如“隔离主机”。
- 信息中心 (3)
我可以在“内容包”页面中执行哪些操作?
在内容包 页面中,您可以配置单个和多个 Feed, 并访问所有其他内容中心选项。
如需在内容包 页面中引入所有数据,请按以下步骤操作:
- 根据所需的日志类型,为产品系列配置多个 Feed。
- 设置 Feed 后,您可以选择配置内容包的其余组件(在后台自动下载)。
- 您必须先点击配置集成 并设置实例,然后才能使用任何 playbook,以便 playbook 正常运行。如需了解更多 信息,请参阅配置集成实例。
- 如需查看或更改下载的 playbook 或使用模拟器运行该 playbook,请点击 查看 playbook。如需了解详情,请参阅 使用 playbook 模拟器。 您需要复制 playbook 名称,然后在Playbook 页面中的“默认”文件夹中搜索该名称。
- 点击查看所有检测规则 以打开精选检测 页面。
- 点击查看所有搜索查询 以打开 SIEM 搜索 页面。
- 点击查看所有信息中心 以打开信息中心 页面。
我可以在“精选检测”页面中执行哪些操作?
在精选检测 页面中,您可以查看 Google SecOps 中所有受支持的检测规则定义,包括规则逻辑和代码。
如需查看和修改精选检测(规则),请执行以下操作:
- 找到要更新的所需规则集,然后点击查看和管理 。
- 在概览 标签页上打开的侧边栏中,点击管理规则 。系统会将您定向到 整个规则集,该规则集位于**精选检测**页面上。
- 或者,在打开的侧边栏中,点击标有规则定义 的标签页。 系统会显示规则逻辑。您无法在此处修改规则,但可以创建 新规则,请访问 规则 页面。点击查看规则效果 ,即可转到检测 页面来管理规则。
我可以在“响应集成”页面中执行哪些操作?
在响应集成页面中,您可以查看集成详细信息(包括版本说明), 并配置各个响应集成。这些集成可用于 SOAR 连接器和 playbook。
如果更新导致问题,或者您需要恢复自定义代码更改,您还可以将集成回滚到之前的版本。
如需安装和配置集成,请执行以下操作:
- 找到所需的集成,然后点击安装 。
- 安装成功后,点击同一集成上的配置 以开始设置。 如需了解详情,请参阅配置集成实例。
我可以在“信息中心”页面中执行哪些操作?
在信息中心 页面中,您可以查看预安装的信息中心的详细信息并添加新信息中心。如需查看或管理任何信息中心(预安装的或从内容中心添加的),请前往信息中心 页面。注意:通过内容中心添加的信息中心会标记为 Marketplace 。
我可以在“Playbook 和块”页面中执行哪些操作?
在Playbook 和块 页面中,您可以查看和安装 playbook 和 playbook 块(嵌套 playbook)。 您可以根据各种过滤条件和类别显示 playbook。例如,您可以仅显示包含您已在实例上安装的集成的 playbook,也可以选择仅显示具有特定集成的 playbook。
如需查看和安装 playbook 或 playbook 块,请执行以下操作:
- 找到所需的 playbook 或块,然后点击查看详情 。
- 在打开的侧边抽屉式导航栏中,浏览信息,然后点击添加 。
- 选择要将 playbook 或块添加到哪个环境。
- 点击相应链接,系统会将您重定向到 Playbook 设计器页面,并显示您刚刚添加的 playbook。 您可以多次添加同一 playbook。每个 playbook 的标题都将按升序编号。
如需了解详情,请参阅 Playbook 页面。
我可以在“搜索查询”页面中执行哪些操作?
在搜索查询 页面中,您可以查看搜索查询详细信息并添加新查询。添加搜索查询后,该查询会添加到已保存的搜索中,并在实例内共享。如需查看或管理已保存的查询,请前往 SIEM 搜索 页面。
我可以在“增强工具”页面中执行哪些操作?
在增强工具 页面中,您可以查看详细信息、安装和配置 Google SecOps 增强工具,以在 playbook 中使用。 如需查看设置说明,请参阅使用增强工具。
需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。