Google SecOps Content Hub 總覽
內容中心權限
如果客戶尚未將 SOAR 執行個體遷移至 Google Cloud,請務必在「SOAR 設定」>「權限」頁面中設定「Marketplace」和「回應整合」權限。
對於所有其他客戶,如要存取內容中樞內的模組,您必須在 IAM 模組中設定下列權限。
| IAM 權限名稱 | 顯示名稱 | IAM 中的角色 |
|---|---|---|
chronicle.googleapis.com/featuredContentSearchQueries.get |
取得搜尋查詢內容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.list |
列出搜尋查詢內容 | chronicle.reader |
chronicle.googleapis.com/featuredContentSearchQueries.install |
安裝搜尋查詢內容 | chronicle.writer |
chronicle.googleapis.com/featuredContentRules.list |
列出精選內容規則 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.get
|
取得資訊主頁內容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.list |
列出資訊主頁內容 | chronicle.reader |
chronicle.googleapis.com/featuredContentNativeDashboards.install |
安裝資訊主頁內容 | chronicle.writer |
chronicle.googleapis.com/feedPacks.get |
取得動態消息套件 | chronicle.reader |
chronicle.googleapis.com/feedPacks.list |
列出動態饋給套件 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.get |
取得精選內容教戰手冊 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.list |
列出精選內容教戰手冊 | chronicle.reader |
chronicle.googleapis.com/featuredContentPlaybooks.install |
安裝精選內容教戰手冊 | chronicle.writer |
總覽
內容中心是集中式平台,可供您在 Google SecOps 中探索、部署及管理內容。
在內容中心,您可以執行下列操作:
- 部署端對端內容套件 (包括記錄檔擷取、精選偵測規則和資訊主頁),讓 Google SecOps 執行個體與我們定義的頂端支援清單中的產品搭配運作。
- 安裝 SOAR 應對手冊和連接器的第三方整合服務。
- 查看及篩選精選偵測規則、檢查個別規則屬性和相應的規則定義 (精選偵測規則透明度)。如要使用完整管理功能,請前往「規則集」頁面。
- 新增資訊主頁,提高曝光率。
- 將已儲存的搜尋查詢新增至 SIEM 搜尋,以便快速重複使用。
- 安裝並執行增強工具,擴充應對手冊功能。
- 安裝及執行應對手冊,提供 SOAR 回應。
- 在「首頁」存取舊版 SOAR 應用實例。
內容類型
內容中心有四種內容:
- Google:由 Google SecOps 開發、維護及驗證的內容。這個類別包含新內容項目和更新的內容項目。
- 合作夥伴:由合作夥伴開發及維護的內容。 這類內容會透過 Google 的自動品質和驗證檢查進行驗證。如果是合作夥伴內容,系統會提供專屬支援聯絡資訊。
- 社群:由社群使用者開發及維護的內容。這類內容會透過 Google 的自動品質和驗證檢查進行驗證。
- 自訂:你建立的內容,只會顯示在你的內容中心。這項內容僅供您的執行個體使用,Google SecOps 不會驗證。
首頁有哪些功能?
「首頁」是內容中心的預設到達網頁。你可以在這裡存取下列項目:
- 內容套件、回應整合、資訊主頁、搜尋查詢、增強項目和精選偵測規則。
- 舊版 SOAR 應用實例。Google 建議使用新的內容套件,而非舊版用途,因為新套件提供更全面整合的解決方案。
「內容套件」頁面有哪些功能?
在「內容包」頁面,你可以設定單一和多個動態饋給,並存取所有其他內容中心選項。
如要匯入「內容套件」頁面上的所有資料,請按照下列步驟操作:
- 根據所需記錄類型,為產品系列設定多個動態饋給。
- 設定動態消息後,你可以選擇設定內容套件的其餘元件 (系統會在背景自動下載)。
「精選偵測」頁面有哪些功能?
在「精選偵測」頁面中,您可以查看 Google SecOps 中所有支援的偵測規則定義,包括規則邏輯和程式碼。
如要查看及修改精選偵測 (規則),請按照下列步驟操作:
- 找出要更新的必要規則集,然後按一下「查看與管理」。
- 在「總覽」分頁中開啟的側欄中,按一下「管理規則」。系統會將您導向「精選偵測項目」頁面,查看整套規則。
- 或者,在隨即開啟的側邊欄中,按一下「規則定義」分頁標籤。 系統會顯示規則邏輯。您無法在此修改規則,但可以在「規則」頁面中建立新規則。按一下「查看規則成效」,即可前往「偵測」頁面管理規則。
「回覆整合」頁面有哪些功能?
在「回應整合」頁面中,您可以查看整合詳細資料,包括版本資訊,以及設定個別回應整合。這些憑證可用於 SOAR 連接器和應對手冊。
如果更新導致問題,或需要還原自訂程式碼變更,您也可以將整合項目復原為先前版本。
如要安裝及設定整合功能,請按照下列步驟操作:
- 找到所需整合服務,然後按一下「安裝」。
- 安裝完成後,請點選相同整合服務的「設定」,開始設定。 詳情請參閱「設定整合執行個體」。
「資訊主頁」頁面有哪些功能?
在「資訊主頁」頁面中,您可以查看預先安裝的資訊主頁詳細資料,以及新增資訊主頁。如要查看或管理任何資訊主頁 (預先安裝或從內容中心新增),請前往「資訊主頁」頁面。注意:透過內容中樞新增的資訊主頁會標示為 Marketplace。
「應對手冊和區塊」頁面有哪些功能?
您可以在「教戰手冊和區塊」頁面中查看及安裝教戰手冊和教戰手冊區塊 (巢狀教戰手冊)。 您可以根據各種篩選條件和類別顯示劇本。舉例來說,您可以只顯示已在執行個體中安裝整合功能的劇本,也可以選擇只顯示具有特定整合功能的劇本。
如要查看及安裝劇本或劇本區塊,請按照下列步驟操作:
- 找出所需應對手冊或模塊,然後按一下「查看詳細資料」。
- 在開啟的側邊抽屜中查看資訊,然後按一下「新增」。
- 選取要新增劇本或區塊的環境。
- 按一下連結,系統就會將您重新導向至應對手冊設計工具頁面,並顯示您剛才新增的應對手冊。 您可以多次新增相同的劇本。每個應對手冊都會以遞增數字做為標題。
詳情請參閱「劇本」頁面。
「搜尋查詢」頁面有哪些功能?
在「搜尋查詢」頁面中,您可以查看搜尋查詢詳細資料及新增查詢。新增搜尋查詢後,系統會將其加入已儲存的搜尋查詢,並在執行個體中分享。如要查看或管理已儲存的查詢,請前往「SIEM Search」頁面。
「Power-Ups」頁面有哪些功能?
您可以在「增強項目」頁面查看詳細資料、安裝及設定 Google SecOps 增強項目,以便在應對手冊中使用。 如需設定操作說明,請參閱「使用 Power-Ups」。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。