内容中心概览

支持平台:

内容中心的权限

对于尚未将其 SOAR 实例迁移到 Google Cloud的客户,请确保在 SOAR 设置 > 权限 页面中设置了 MarketplaceResponse Integrations 权限。

对于所有其他客户,如需访问内容中心内的模块,您必须在 IAM 模块中配置以下权限。

IAM 权限名称 显示名称 IAM 中的角色
chronicle.googleapis.com/featuredContentSearchQueries.get 获取搜索查询内容 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.list 列出搜索查询内容 chronicle.reader
chronicle.googleapis.com/featuredContentSearchQueries.install 安装搜索查询内容 chronicle.writer
chronicle.googleapis.com/featuredContentRules.list 列出精选内容规则 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.get 获取信息中心内容 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.list 列出信息中心内容 chronicle.reader
chronicle.googleapis.com/featuredContentNativeDashboards.install 安装信息中心内容 chronicle.writer
chronicle.googleapis.com/feedPacks.get 获取 Feed 包 chronicle.reader
chronicle.googleapis.com/feedPacks.list 列出 Feed 包 chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.get 获取精选内容 playbook chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.list 列出精选内容 playbook chronicle.reader
chronicle.googleapis.com/featuredContentPlaybooks.install 安装精选内容 playbook chronicle.writer

概览

内容中心是一个集中式平台,用于发现、部署和管理 Google SecOps 中的内容。

在内容中心,您可以执行以下操作:

  • 部署端到端内容包(包括日志注入、精选检测和信息中心),使您的 Google SecOps 实例能够与我们定义的热门支持列表中的产品配合使用。
  • 为 SOAR playbook 和连接器安装第三方集成。
  • 查看和过滤精选检测,检查各个规则属性 和相应的规则定义(精选检测透明度)。前往“ 规则集”页面,以使用完整管理功能。
  • 添加信息中心以提高可见性。
  • 将保存的搜索查询添加到 SIEM 搜索,以便快速重复使用。
  • 安装并运行增强工具,以扩展 playbook 功能。
  • 安装并运行 playbook,以提供 SOAR 响应。
  • 首页 上访问旧版 SOAR 用例。

内容类型

内容中心包含四种类型的内容:

  • Google:由 Google SecOps 开发、维护和验证的内容。此类别包括新增的和更新的内容项。
  • 合作伙伴:由合作伙伴开发和维护的内容。 此类内容通过了 Google 的自动质量和验证检查。对于合作伙伴内容,我们提供了具体的支持联系信息。
  • 社区:由社区用户开发和维护的内容 。此类内容通过了 Google 的自动质量和验证检查。
  • 自定义:由您创建的内容,且仅在您自己的 内容中心显示。此类内容是您的实例的私有内容,未经 Google SecOps 验证。

我可以在首页上执行哪些操作?

首页 是内容中心的主着陆页。您可以在这里访问以下内容:

  • 内容包、响应集成、信息中心、搜索查询、增强工具和精选检测。
  • 旧版 SOAR 用例。Google 建议您使用新的内容包,而不是旧版用例,因为前者提供了更全面、更集成的解决方案。

您可以同时搜索所有内容类型,包括内容包、检测、响应集成和信息中心。 借助此功能,您无需浏览各个标签页即可找到相关资产。 平台会显示结果,并显示每种类型的匹配总数。您可以点击任何结果以查看更多详细信息。

例如,如果您在搜索 字段中搜索 Crowdstrike ,平台会返回以下内容:

  • 内容包 (1):例如,Crowdstrike Falcon Comprehensive Pack。
  • 精选检测 (42):系统会显示前四个卡片,例如“Crowdstrike Falcon:检测到恶意软件”和“Crowdstrike Falcon:传感器篡改”。 点击查看全部 42 个结果 ,即可直接前往检测 标签页。
  • 响应集成 (2):例如,Crowdstrike Falcon(响应)- 用于 playbook 操作,例如“隔离主机”。
  • 信息中心 (3)

我可以在“内容包”页面中执行哪些操作?

内容包 页面中,您可以配置单个和多个 Feed, 并访问所有其他内容中心选项。

如需在内容包 页面中引入所有数据,请按以下步骤操作:

  1. 根据所需的日志类型,为产品系列配置多个 Feed
  2. 设置 Feed 后,您可以选择配置内容包的其余组件(在后台自动下载)。
    1. 您必须先点击配置集成 并设置实例,然后才能使用任何 playbook,以便 playbook 正常运行。如需了解更多 信息,请参阅配置集成实例
    2. 如需查看或更改下载的 playbook 或使用模拟器运行该 playbook,请点击 查看 playbook。如需了解详情,请参阅 使用 playbook 模拟器。 您需要复制 playbook 名称,然后在Playbook 页面中的“默认”文件夹中搜索该名称。
    3. 点击查看所有检测规则 以打开精选检测 页面。
    4. 点击查看所有搜索查询 以打开 SIEM 搜索 页面。
    5. 点击查看所有信息中心 以打开信息中心 页面。

我可以在“精选检测”页面中执行哪些操作?

精选检测 页面中,您可以查看 Google SecOps 中所有受支持的检测规则定义,包括规则逻辑和代码。

如需查看和修改精选检测(规则),请执行以下操作:

  1. 找到要更新的所需规则集,然后点击查看和管理
  2. 概览 标签页上打开的侧边栏中,点击管理规则 。系统会将您定向到 整个规则集,该规则集位于**精选检测**页面上。
  3. 或者,在打开的侧边栏中,点击标有规则定义 的标签页。 系统会显示规则逻辑。您无法在此处修改规则,但可以创建 新规则,请访问 规则 页面。点击查看规则效果 ,即可转到检测 页面来管理规则。

我可以在“响应集成”页面中执行哪些操作?

响应集成页面中,您可以查看集成详细信息(包括版本说明), 并配置各个响应集成。这些集成可用于 SOAR 连接器和 playbook。

如果更新导致问题,或者您需要恢复自定义代码更改,您还可以将集成回滚到之前的版本

如需安装和配置集成,请执行以下操作:

  1. 找到所需的集成,然后点击安装
  2. 安装成功后,点击同一集成上的配置 以开始设置。 如需了解详情,请参阅配置集成实例

我可以在“信息中心”页面中执行哪些操作?

信息中心 页面中,您可以查看预安装的信息中心的详细信息并添加新信息中心。如需查看或管理任何信息中心(预安装的或从内容中心添加的),请前往信息中心 页面。注意:通过内容中心添加的信息中心会标记为 Marketplace

我可以在“Playbook 和块”页面中执行哪些操作?

Playbook 和块 页面中,您可以查看和安装 playbook 和 playbook 块(嵌套 playbook)。 您可以根据各种过滤条件和类别显示 playbook。例如,您可以仅显示包含您已在实例上安装的集成的 playbook,也可以选择仅显示具有特定集成的 playbook。

如需查看和安装 playbook 或 playbook 块,请执行以下操作:

  1. 找到所需的 playbook 或块,然后点击查看详情
  2. 在打开的侧边抽屉式导航栏中,浏览信息,然后点击添加
  3. 选择要将 playbook 或块添加到哪个环境。
  4. 点击相应链接,系统会将您重定向到 Playbook 设计器页面,并显示您刚刚添加的 playbook。 您可以多次添加同一 playbook。每个 playbook 的标题都将按升序编号。

如需了解详情,请参阅 Playbook 页面。

我可以在“搜索查询”页面中执行哪些操作?

搜索查询 页面中,您可以查看搜索查询详细信息并添加新查询。添加搜索查询后,该查询会添加到已保存的搜索中,并在实例内共享。如需查看或管理已保存的查询,请前往 SIEM 搜索 页面。

我可以在“增强工具”页面中执行哪些操作?

增强工具 页面中,您可以查看详细信息、安装和配置 Google SecOps 增强工具,以在 playbook 中使用。 如需查看设置说明,请参阅使用增强工具

需要更多帮助?获得社区成员和 Google SecOps 专业人士的解答。