Esta página foi traduzida pela API Cloud Translation.

Crie e faça a gestão de feeds através da IU de gestão de feeds

Compatível com:

Google secops SIEM

Este documento fornece informações sobre como criar, gerir e resolver problemas com feeds através da IU de gestão de feeds. A gestão dos feeds inclui a modificação, a ativação e a eliminação dos feeds.

Antes de começar

Cada feed de dados tem o seu próprio conjunto de pré-requisitos que têm de ser concluídos antes de configurar o feed no Google Security Operations. Para obter informações sobre os pré-requisitos específicos de um tipo de feed, consulte o artigo Configuração por tipo de origem. Pesquise o tipo de feed de dados que precisa de configurar e siga as instruções fornecidas.

Formatos de compressão suportados

Os formatos de compressão suportados para a ingestão de feeds incluem: .gz, .tar.gz, .tar, .targz e solr.gz. A tabela seguinte descreve os diferentes tamanhos de ficheiros que a transformação de feeds do Google SecOps suporta:

Operação	Tipo de entrada	Tamanho recomendado	Duração prevista	Tamanho máximo
Modelagem de dados	CSV	< 5 GB	< 7 min	10 GB
Modelagem de dados	CSV	< 5 GB	~30 min	10 GB
Modelagem de dados	CSV	A determinar	A determinar	2 GB
Modelagem de dados	XML / JSON	< 1 GB	< 10 min	2 GB
Modelagem de dados	XLS / XLSX	< 50 MB	~1 min	50 MB
Una ficheiros	Qualquer	< 1 GB	Varia em # ficheiros	100 GB
Descomprima ficheiros	Não ZIP	< 5 GB	Varia em # ficheiros	10 GB (não comprimidos)
Descomprima ficheiros	ZIP	-	Varia em # ficheiros	4 GB (não comprimido)

Formas de configurar feeds

Existem duas formas de os clientes do Google SecOps configurarem este feed na plataforma. Use o método mais adequado para o seu ambiente:

Definições de SIEM > Feeds
Content Hub > Pacotes de conteúdo

Veja os feeds configurados

A página Feeds mostra todos os feeds que configurou.

Aceda a Definições do SIEM > Feeds. A página principal apresenta todos os feeds configurados.
Passe o ponteiro do rato sobre cada linha para apresentar o menu more_vert Mais.
No menu, pode ver os detalhes do feed, editar, desativar ou eliminar o feed.

Configure vários feeds para uma família de produtos (apenas para clientes do Google SecOps)

Pode configurar vários feeds por família de produtos, com base no tipo de registo. Os tipos de registos que a Google identificou como base estão marcados como obrigatórios. A plataforma fornece instruções de configuração, procedimentos necessários e descrições de todos os parâmetros de configuração. Alguns parâmetros estão predefinidos para simplificar a configuração. Por exemplo, pode criar vários feeds nos tipos de registos obrigatórios e opcionais para o CrowdStrike Falcon. Para mais informações, consulte o artigo Configure vários feeds.

Adicione um feed

Para adicionar um feed à sua conta do Google SecOps, conclua os seguintes passos:

Use o seguinte procedimento para adicionar um feed através da página Definições do SIEM* {and_then} Feeds.

No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds. Os feeds de dados apresentados na página Feeds incluem todos os feeds que a Google configurou para a sua conta, além dos feeds que configurou.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed. Este passo não é relevante para clientes que usam a plataforma autónoma do SIEM do Google SecOps.
Adicione um nome do feed.
Na lista Tipo de origem, selecione o tipo de origem para importar dados para o Google SecOps. Pode selecionar entre os seguintes tipos de origens de feeds:
- Amazon Data Firehose
- Amazon S3
- Amazon S3 (pré-visualização)
- Amazon SQS
- Amazon SQS (pré-visualização)
- Armazenamento de blobs do Azure
- Armazenamento de blobs do Azure (pré-visualização)
- Google Cloud Pub/Sub
- Cloud Storage
- Cloud Storage (pré-visualização)
- Cloud Storage Event Driven (pré-visualização)
- Ficheiros HTTP(S) (não API)
- API de terceiros
- Webhook
Nota: quando usar o Amazon SQS, conceda explicitamente autorizações do Google SecOps para eliminar mensagens da fila do Amazon SQS.
Nota: quando usar feeds do Amazon SQS, certifique-se de que apenas um feed consome mensagens da fila. As mensagens lidas por outra aplicação ou feed não são carregadas no feed atual.
Nota: a utilização do Amazon SQS como tipo de origem do feed só é suportada para registos em contentores do Amazon S3.
Na lista Tipo de registo, selecione o tipo de registo que corresponde aos registos que quer carregar. Os registos disponíveis variam consoante o tipo de origem que selecionou anteriormente.

Nota: para o tipo de registo AWS CLOUDTRAIL, certifique-se de que os registos estão no formato JSON e que o nome do ficheiro termina com uma extensão .json (não comprimida) ou uma extensão .json.gz (comprimida).

Se selecionar Cloud Storage como tipo de origem, use a opção Obter conta de serviço para obter uma conta de serviço exclusiva. Veja um exemplo de configuração de feeds do Google Cloud Storage.
Clicar em Seguinte.
Especifique os parâmetros necessários no separador Parâmetros de entrada. As opções apresentadas aqui variam consoante a origem e o tipo de registo selecionados no separador Definir propriedades. Mantenha o ponteiro sobre o ícone de ponto de interrogação de cada campo para obter informações adicionais sobre o que tem de facultar.
Opcional: pode especificar um espaço de nomes no separador Definir propriedades. Para mais informações sobre os espaços de nomes, consulte o artigo Trabalhe com espaços de nomes de recursos.
Clicar em Seguinte.
Reveja a nova configuração do feed no separador Finalizar.
Clique em Enviar. O Google SecOps conclui uma verificação de validação do novo feed. Se o feed passar na verificação, é gerado um nome para o feed, este é enviado para o Google SecOps e o Google SecOps começa a tentar obter dados.

Exemplo de configuração do feed do Google Cloud Storage

No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds.
Clique em Adicionar novo feed.
Na página seguinte, clique em Configurar um único feed. Este passo não se aplica se estiver a usar a plataforma autónoma Google SecOps SIEM.
Selecione Cloud Storage para Tipo de origem.
Selecione o Tipo de registo. Por exemplo, para criar um feed para os registos de auditoria do Google Kubernetes Engine, selecione Registos de auditoria do Google Kubernetes Engine como o Tipo de registo.
Clique em Obter conta de serviço. O Google SecOps fornece uma conta de serviço exclusiva que o Google SecOps usa para carregar dados.
Opcional: configure a conta de serviço. Para mais informações, consulte o artigo Conceda acesso à conta de serviço do Google SecOps.
Clicar em Seguinte.
Com base na configuração do Cloud Storage que criou, especifique valores para os seguintes campos:
- URI do contentor de armazenamento
  
  Nota: não use um caráter universal como parte de um nome de diretório. Por exemplo, s3://cs-myprod/data-*/more-data é inválido. No entanto, pode usar um carater universal para fazer corresponder o nome de um diretório completo. Por exemplo, s3://cs-myprod/data/more-data é válido.
  Nota: para tipos de feeds baseados em eventos do Cloud Storage (pré-visualização), configure uma subscrição do Pub/Sub para o Cloud Storage, conforme descrito em Configurar o Pub/Sub.
- Opção de eliminação da fonte
Para saber como configurar contentores do Cloud Storage, consulte o artigo Criar contentores.

Nota: os feeds de contentores do Cloud Storage não funcionam com nomes de pastas vazios.
Clique em Seguinte e, de seguida, em Enviar. Aviso: tem de ativar a lista de autorizações e adicionar os intervalos de IP para todos os tipos de registos que carregam dados de APIs de terceiros.

Lista de permissões de IPs

Esta secção descreve os requisitos de inclusão na lista de autorizações para feeds de terceiros e o serviço de transferência de armazenamento (STS).

Adicione feeds de API de terceiros à lista de autorizações

Ative a lista de autorizações e adicione os intervalos de IPs da Google para todos os tipos de registos que carregam dados de APIs de terceiros.

Ative o acesso STS para o Amazon S3 e o armazenamento do Azure

O STA é usado pelos seguintes feeds do Google Cloud Storage para transferir dados de armazenamentos de blobs do Amazon S3 e do Azure Storage para o Google SecOps:

Amazon S3 (pré-visualização)
Amazon SQS (pré-visualização)
Armazenamento de blobs do Azure (pré-visualização)

O STS envia pedidos de transferência de dados para os serviços de armazenamento do Amazon S3 e Azure a partir de um conjunto de intervalos de endereços IP do STS definidos. Estes intervalos de endereços IP do STS são publicados no seguinte ficheiro JSON: https://www.gstatic.com/storage-transfer-service/ipranges.json

Para usar estes tipos de origens de feeds STS, pode ter de ativar o acesso aos seus contentores de objetos da Amazon S3 e do Azure Storage para consultas originadas de um endereço IP definido nos intervalos de endereços IP do STS.

Pode ter de ajustar as restrições de acesso por IP para permitir que o STS aceda aos seus serviços de armazenamento do Amazon S3 e do Azure:

Extraia os intervalos de IP mais recentes do ficheiro JSON.

Recomendamos que leia os dados deste ficheiro JSON, pelo menos, semanalmente para manter a sua configuração de segurança atualizada. Quando é adicionado um novo intervalo ao ficheiro, o sistema aguarda, pelo menos, 7 dias antes de usar esse intervalo para pedidos do STS.

Para ver um exemplo de um script Python que obtenha intervalos de IP a partir de um ficheiro JSON, consulte o artigo Endereços IP para domínios predefinidos.
Compare o intervalo de IP atual creationTime com o intervalo de IP creationTime lido do ficheiro JSON anterior. Se forem diferentes, atualize as restrições de acesso por IP nos contentores de objetos do Amazon S3 e do Azure Storage.
- Para o Amazon S3
  
  Para atualizar as restrições de acesso por IP no seu blobstore do Amazon S3:
  
  Se o seu projeto da AWS usar restrições de IP para aceder ao armazenamento, tem de adicionar os intervalos de IP usados pelos trabalhadores da STS à sua lista de IPs permitidos.
  
  Nota: se estiver a usar agentes em vez de uma transferência sem agente, adicione os endereços IP dos computadores dos agentes à sua lista de IPs permitidos.
  
  Para adicionar estes intervalos como IPs permitidos, use o campo Condition num bucket policy, conforme descrito na documentação do AWS S3: Gerir o acesso com base em endereços IP específicos.
- Para o armazenamento do Azure
  
  Para atualizar as restrições de acesso por IP no seu blobstore do Azure Storage:
  
  Se restringir o acesso aos seus recursos do Azure através de uma firewall do Azure Storage, tem de adicionar os intervalos de IP usados pelos trabalhadores do STS à sua lista de IPs permitidos.
  
  Para adicionar estes intervalos como IPs permitidos, siga estas instruções: Configure firewalls e redes virtuais do Azure Storage.

Elimine ficheiros de origem

A opção de eliminação da origem permite-lhe eliminar objetos de origem do feed (ficheiros e pastas) do armazenamento após uma transferência bem-sucedida. Esta opção só está disponível para tipos de origens de feeds selecionados, incluindo o Cloud Storage. Estes tipos de origens de feeds incluem o campo OPÇÃO DE ELIMINAÇÃO DA ORIGEM nos respetivos fluxos de trabalho Adicionar novo e Editar feed.

Opções de eliminação de fontes

Para os tipos de fontes de feeds suportados, incluindo o Cloud Storage, o campo OPÇÃO DE ELIMINAÇÃO DA FONTE oferece estas opções:
- Nunca eliminar ficheiros
- Elimine ficheiros transferidos e diretórios vazios
- Elimine ficheiros transferidos
O Microsoft Azure Blob Storage (AZURE_BLOBSTORE) não suporta a eliminação de ficheiros de origem. No campo OPÇÃO DE ELIMINAÇÃO DA ORIGEM, selecione apenas a opção Nunca eliminar ficheiros.
Para as seguintes origens de feeds ("feedSourceType"): GOOGLE_CLOUD_STORAGE_V2, GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN, AMAZON_S3_V2, AMAZON_SQS_V2 e AZURE_BLOBSTORE_V2, o campo OPÇÃO DE ELIMINAÇÃO DA ORIGEM oferece duas opções:
- NUNCA: nunca elimina ficheiros após transferências.
- ON_SUCCESS: elimina todos os ficheiros e diretórios vazios após a transferência.

Configure um feed push do Pub/Sub

Para configurar um feed push do Pub/Sub, faça o seguinte:

Crie um feed push do Pub/Sub.
Especifique o URL do ponto final numa subscrição do Pub/Sub.

Crie um feed de envio do Pub/Sub

No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed.
Na lista Tipo de origem, selecione Envio do Google Cloud Pub/Sub.
Selecione o Tipo de registo. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registo.
Clicar em Seguinte.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
- Espaço de nomes do recurso: o espaço de nomes do recurso.
- Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Precisa deste URL do ponto final para criar uma subscrição push no Pub/Sub.
Opcional: clique no botão Feed ativado para desativar o feed. O feed está ativado por predefinição.
Clique em Concluído.

Especifique o URL do ponto final

Depois de criar um feed de envio do Pub/Sub, especifique o URL do ponto final da seguinte forma: No Pub/Sub, crie uma subscrição de envio e especifique o ponto final HTTPS. Selecione Ativar autenticação e uma conta de serviço.

Crie uma subscrição push no Pub/Sub. Para mais informações sobre como criar uma subscrição push, consulte o artigo Crie subscrições push.
Especifique o URL do ponto final, que está disponível no Google Cloud feed push do Pub/Sub.
Selecione Ativar autenticação e selecione uma conta de serviço.

Configure um feed do Amazon Data Firehose

Para configurar um feed do Amazon Data Firehose, faça o seguinte:

Crie um feed do Amazon Data Firehose e copie o URL do ponto final e a chave secreta.
Crie uma chave de API para autenticar no Google SecOps. Também pode reutilizar a sua chave de API existente para fazer a autenticação no Google SecOps.
Especifique o URL do ponto final no Amazon Data Firehose.

Crie um feed do Amazon Data Firehose

No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed.
Na lista Tipo de origem, selecione Amazon Data Firehose.
Selecione o Tipo de registo. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registo.
Clicar em Seguinte.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
- Espaço de nomes do recurso: o espaço de nomes do recurso.
- Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
Copie e armazene a chave secreta, uma vez que não pode voltar a ver este segredo. Pode gerar novamente uma nova chave secreta, mas a regeneração da chave secreta torna a chave secreta anterior obsoleta.
No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Precisa deste URL do ponto final quando especifica as definições de destino para a sua stream de entrega no Amazon Data Firehose.
Opcional: clique no botão Feed ativado para desativar o feed. O feed está ativado por predefinição.
Clique em Concluído.

Crie uma chave da API para o feed do Amazon Data Firehose

Para criar uma chave da API para o feed do Amazon Data Firehose, faça o seguinte: 1. Aceda à página Credenciais da Google Cloud consola. 1. Clique em Criar credenciais e, de seguida, selecione Chave de API. 1. Restrinja o acesso da chave da API à API Chronicle.

Especifique o URL do ponto final

No Amazon Data Firehose, especifique o ponto final HTTPS e a chave de acesso da seguinte forma:

Anexe a chave da API ao URL do ponto final do feed e especifique este URL como o URL do ponto final HTTP no seguinte formato:
```
  ENDPOINT_URL?key=API_KEY
```
Substitua o seguinte:
- ENDPOINT_URL: o URL do ponto final do feed.
- API_KEY: a chave da API para autenticar no Google SecOps.
Para a chave de acesso, especifique a chave secreta que obteve quando criou o feed do Amazon Data Firehose.

Configure um feed de webhook HTTPS

Para configurar um feed de webhook HTTPS, faça o seguinte:

Crie um feed de webhook HTTPS e copie o URL do ponto final e a chave secreta.
Crie uma chave da API especificada com o URL do ponto final. Também pode reutilizar a sua chave API existente para autenticar no Google SecOps.
Especifique o URL do ponto final na sua aplicação.

Pré-requisitos

Certifique-se de que um Google Cloud projeto para o Google SecOps está configurado e que a API Chronicle está ativada para o projeto.
Associe uma instância do Google SecOps a Google Cloud serviços.

Nota: os lotes de dados enviados através de feeds de webhook podem sofrer atrasos na carregamento se o tamanho do pedido ou os limites de QPS estiverem definidos como demasiado baixos. Quando chama o ponto final de envio HTTPS, o tamanho máximo do pedido é de 4 MB e o CPS máximo é de 15 mil.

Crie um feed de webhook HTTPS

No menu do Google SecOps, selecione Definições e, de seguida, clique em Feeds.
Clique em Adicionar novo.
No campo Nome do feed, introduza um nome para o feed.
Na lista Tipo de origem, selecione Webhook.
Selecione o Tipo de registo. Por exemplo, para criar um feed para o Open Cybersecurity Schema Framework, selecione Open Cybersecurity Schema Framework (OCSF) como o Tipo de registo.
Clicar em Seguinte.
Opcional: especifique valores para os seguintes parâmetros de entrada:
- Delimitador de divisão: o delimitador usado para separar linhas de registo, como \n.
- Espaço de nomes do recurso: o espaço de nomes do recurso.
- Etiquetas de carregamento: a etiqueta a aplicar aos eventos deste feed.
Clicar em Seguinte.
Reveja a nova configuração do feed no ecrã Finalizar e, de seguida, clique em Enviar.
Clique em Gerar chave secreta para gerar uma chave secreta para autenticar este feed.
Copie e armazene a chave secreta, uma vez que não pode voltar a ver este segredo. Pode gerar novamente uma nova chave secreta, mas a regeneração da chave secreta torna a chave secreta anterior obsoleta.
No separador Detalhes, copie o URL do ponto final do feed do campo Informações do ponto final. Tem de especificar este URL do ponto final na sua aplicação cliente.
Opcional: clique no botão Feed ativado para desativar o feed. O feed está ativado por predefinição.
Clique em Concluído.

Crie uma chave da API para o feed de webhook

Aceda à página Credenciais da Google Cloud consola.
Clique em Criar credenciais e, de seguida, selecione Chave de API.
Restrinja o acesso da chave da API à API Chronicle.

Especifique o URL do ponto final

Na aplicação cliente, especifique o ponto final do HTTPS, que está disponível no feed do webhook.
Ative a autenticação especificando a chave da API e a chave secreta como parte do cabeçalho personalizado no seguinte formato:

X-goog-api-key = API_KEY

X-Webhook-Access-Key = SECRET

Recomendamos que especifique a chave da API como um cabeçalho em vez de a especificar no URL. Se o seu cliente de webhook não suportar cabeçalhos personalizados, pode especificar a chave da API e a chave secreta através de parâmetros de consulta no seguinte formato:
```
  ENDPOINT_URL?key=API_KEY&secret=SECRET
```
Substitua o seguinte:
- ENDPOINT_URL: o URL do ponto final do feed.
- API_KEY: a chave da API para autenticar no Google SecOps.
- SECRET: a chave secreta que gerou para autenticar o feed.

Conceda acesso à conta de serviço do Google SecOps

Na Google Cloud consola, aceda à página Recipientes do Cloud Storage.

Aceda aos contentores
Conceda acesso à conta de serviço aos objetos do Cloud Storage relevantes.
- Para conceder autorização de leitura a um ficheiro específico, conclua os seguintes passos:
  1. Selecione o ficheiro e clique em Editar acesso.
  2. Clique em Adicionar principal.
  3. No campo Novos membros, introduza o nome da conta de serviço do Google SecOps.
  4. Atribua uma função que contenha a autorização de leitura à conta de serviço do Google SecOps. Por exemplo, Storage Object Viewer (roles/storage.objectViewer). Isto só pode ser feito se não tiver ativado o acesso uniforme ao nível do contentor.
  5. Clique em Guardar.
- Para conceder autorização de leitura a vários ficheiros, conceda acesso ao nível do contentor da seguinte forma:
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE":
    1. Adicione a conta de serviço do Google SecOps como principal ao seu contentor de armazenamento e conceda-lhe a função do IAM Storage Object Viewer (roles/storage.objectViewer).
    2. Se configurar o feed para eliminar ficheiros de origem, tem de adicionar a conta de serviço do Google SecOps como principal no seu contentor e conceder-lhe a função do IAM Storage Object Admin (roles/storage.objectAdmin).
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE_V2":
    1. Conceda uma destas funções:
      - Visualizador de objetos de armazenamento (roles/storage.objectViewer) se a transferência for para outro contentor do Cloud Storage.
      - Criador de objetos de armazenamento (roles/storage.objectCreator) se a transferência for para um sistema de ficheiros.
    2. Conceda uma destas funções:
      - Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) se for necessária a autorização de eliminação de objetos.
      - Leitor de contentores antigos do Storage (roles/storage.legacyBucketReader) se não for necessária autorização de eliminação de objetos.
  - Para "feedSourceType": "GOOGLE_CLOUD_STORAGE_EVENT_DRIVEN":
    1. Conceda uma destas funções:
      - Visualizador de objetos de armazenamento (roles/storage.objectViewer) se a transferência for para outro contentor do Cloud Storage.
      - Criador de objetos de armazenamento (roles/storage.objectCreator) se a transferência for para um sistema de ficheiros.
    2. Conceda uma destas funções:
      - Storage Legacy Bucket Writer (roles/storage.legacyBucketWriter) se for necessária a autorização de eliminação de objetos.
      - Leitor de contentores antigos do Storage (roles/storage.legacyBucketReader) se não for necessária autorização de eliminação de objetos.

Configure os VPC Service Controls

Se os VPC Service Controls estiverem ativados, é necessária uma regra de entrada para conceder acesso ao contentor do Cloud Storage.

Os seguintes métodos do Cloud Storage têm de ser permitidos na regra de entrada:

google.storage.objects.list. Obrigatório para um feed de ficheiro único.
google.storage.objects.get. Obrigatório para feeds que requerem acesso a diretórios ou subdiretórios.
google.storage.objects.delete. Obrigatório para feeds que requerem a eliminação do ficheiro de origem.

Exemplo de regra de entrada

- ingressFrom:
  identities:
    - serviceAccount:8911409095528497-0-account@partnercontent.gserviceaccount.com
  sources:
  - accessLevel: "*"
  ingressTo:
  operations:
  - serviceName: storage.googleapis.com
    methodSelectors:
    - method: google.storage.objects.list
    - method: google.storage.objects.get
    - method: google.storage.objects.delete
  resources:
  - projects/PROJECT_ID

Estado do feed

Pode monitorizar o estado do feed na página inicial Feeds, onde os feeds podem ter os seguintes estados:

Ativo: o feed está configurado e pronto para carregar dados para a sua conta do Google SecOps.
InProgress: o Google SecOps tenta obter dados do terceiro configurado.
Concluído: os dados foram obtidos com êxito por este feed.
Arquivado: feed desativado.
Falha: o feed não está a conseguir obter dados com êxito. Isto deve-se provavelmente a um problema de configuração. Clique na pergunta para apresentar o erro de configuração. Depois de corrigir o erro e reenviar o feed, regresse à página Feeds para determinar se o feed está agora a funcionar.

Nota: a coluna Última execução bem-sucedida a na página Feeds mostra a última vez que os dados foram obtidos com êxito por esse feed. Para um novo feed, este campo está em branco. Os feeds push, como o Webhook e o Google Cloud pubsub, não preenchem esta coluna. Estes feeds de envio não têm um agendamento, o que significa que os dados são recebidos quando são enviados.

Edite feeds

Na página Feeds, pode editar um feed existente da seguinte forma:

Passe o ponteiro do rato sobre um feed existente e clique em more_vert na coluna do lado direito.
Clique em Editar feed. Agora, pode modificar os parâmetros de entrada do feed e reenviá-lo ao Google SecOps, que vai tentar usar o feed atualizado.

Nota: os feeds existentes apresentam [Não configurado] como nome do feed na página Feeds. Edite o feed para adicionar um nome.

Ative e desative feeds

Na coluna Estado, os feeds ativados estão etiquetados como Ativo, Em curso, Concluído ou Com falhas. Os campos desativados estão etiquetados como Arquivado. Para ver uma descrição, consulte o estado do feed.

Na página Feeds, pode ativar ou desativar qualquer um dos feeds existentes:

Passe o ponteiro do rato sobre um feed existente e clique em more_vert na coluna do lado direito.
Opcional: clique no botão Feed ativado para desativar o feed.
Opcional: clique no botão Desativar feed para desativar o feed. O feed está agora etiquetado como Arquivado.

Nota: quando desativa um feed, impede que sejam adicionados novos dados à fila de carregamento. As transferências existentes (ativas ou limitadas) continuam até serem concluídas. Para parar imediatamente a carregamento de dados, elimine o feed.

Elimine feeds

Na página Feeds, também pode eliminar um feed existente:

Passe o ponteiro do rato sobre um feed existente e clique em more_vert na coluna do lado direito.
Clique em Eliminar feed. É apresentada a janela ELIMINAR FEED. Para eliminar permanentemente o feed, clique em Sim, eliminá-lo.

Nota: quando elimina um feed, não são carregados novos dados. Podem existir dados já na fila que vão continuar a ser processados.

Controle a taxa de carregamento

Quando a taxa de carregamento de dados de um inquilino atinge um determinado limite, o Google Security Operations restringe a taxa de carregamento de novos feeds de dados para evitar que uma origem com uma taxa de carregamento elevada afete a taxa de carregamento de outra origem de dados. Neste caso, existe um atraso, mas não se perdem dados. O volume de carregamento e o histórico de utilização do inquilino determinam o limite.

Pode pedir um aumento do limite de velocidade contactando o apoio ao cliente do Google Cloud.

Resolução de problemas

Na página Feeds, pode ver detalhes como o tipo de origem, o tipo de registo, o ID do feed e o estado dos feeds existentes, da seguinte forma:

Passe o ponteiro do rato sobre um feed existente e clique em more_vert na coluna do lado direito.
Clique em Ver feed. É apresentada uma caixa de diálogo com os detalhes do feed. Para um feed com falhas, pode encontrar os detalhes do erro em Detalhes > Estado.

Para um feed com falhas, os detalhes incluem a causa do erro e os passos para o corrigir. A tabela seguinte descreve as mensagens de erro que pode encontrar quando trabalha com feeds de dados:

Código de erro	Causa	Resolução de problemas
`ACCESS_DENIED`	A conta de autenticação fornecida na configuração do feed não tem as autorizações necessárias.	Verifique se a conta de autenticação fornecida na configuração do feed tem as autorizações necessárias. Consulte a documentação dos feeds para ver as autorizações necessárias. Para obter informações sobre as autorizações, consulte o artigo [Configuração por tipo de origem](/chronicle/docs/reference/feed-management-api#source-types).
`ACCESS_TOO_FREQUENT`	O feed falhou porque houve demasiadas tentativas de aceder à origem.	Contacte o apoio técnico da Google SecOps.
`CONNECTION_DROPPED`	Foi estabelecida uma ligação à origem, mas a ligação foi fechada antes de o feed estar concluído.	Este erro é transitório e a aplicação vai tentar novamente o pedido. Se o problema persistir, contacte o apoio técnico do Google SecOps.
`CONNECTION_FAILED`	A aplicação não consegue estabelecer ligação ao endereço IP e à porta de origem.	Verifique o seguinte: A origem está disponível. Uma firewall não está a bloquear a ligação. O endereço IP associado ao servidor está correto. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`DNS_ERROR`	Não é possível resolver o nome de anfitrião de origem.	O nome de anfitrião do servidor pode estar escrito incorretamente. Verifique o URL e confirme a ortografia.
`FILE_FAILED`	Foi estabelecida uma ligação à origem, mas ocorreu um problema com o ficheiro ou o recurso.	Verifique o seguinte: O ficheiro não está danificado. As autorizações ao nível do ficheiro estão corretas. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`FILE_NOT_FOUND`	Foi estabelecida uma ligação à origem, mas não é possível encontrar o ficheiro ou o recurso.	Verifique o seguinte: O ficheiro existe na origem. Os utilizadores adequados têm acesso ao ficheiro. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`GATEWAY_ERROR`	A API devolveu um erro de gateway à chamada feita pelo Google SecOps.	Valide os detalhes da origem do feed. A aplicação vai repetir o pedido.
`INTERNAL_ERROR`	Não é possível carregar dados devido a um erro interno.	Se o problema persistir, contacte o apoio técnico da Google SecOps.
`INVALID_ARGUMENT`	Foi estabelecida uma ligação à origem, mas o feed falhou devido a argumentos inválidos.	Verifique a configuração do feed. Consulte a documentação sobre feeds para saber mais acerca da configuração de feeds. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`INVALID_FEED_CONFIG`	A configuração do feed contém valores inválidos.	Reveja a configuração do feed para verificar se existem definições incorretas. Consulte a documentação dos feeds para ver a sintaxe correta.
`INVALID_REMOTE_RESPONSE`	Foi estabelecida uma ligação à origem, mas a resposta estava incorreta.	Verifique a configuração do feed. Saiba mais sobre a configuração de feeds. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`LOGIN_FAILED`	Foi estabelecida uma ligação à origem, mas as credenciais estavam incorretas ou em falta.	Introduza novamente as credenciais da origem para confirmar que estão corretas.
`NO_RESPONSE`	Foi estabelecida uma ligação à origem, mas a origem não respondeu.	Certifique-se de que a origem consegue suportar pedidos do Google SecOps. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`PERMISSION_DENIED`	Foi estabelecida uma ligação à fonte, mas ocorreu um problema com a autorização.	Verifique se os acessos e as autorizações necessários foram adicionados.
`REMOTE_SERVER_ERROR`	Foi estabelecida uma ligação à origem, mas a origem não respondeu com dados.	Certifique-se de que a origem está disponível e a responder com dados. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`REMOTE_SERVER_REPORTED_BAD_REQUEST`	Foi estabelecida uma ligação à origem, mas a origem rejeitou o pedido.	Verifique a configuração do feed. Consulte a documentação de feeds para ver mais detalhes. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`SOCKET_READ_TIMEOUT`	Foi estabelecida uma ligação à origem, mas o tempo limite da ligação foi excedido antes de a transferência de dados estar concluída.	Este erro é transitório e a aplicação vai tentar novamente o pedido. Se o problema persistir, contacte o apoio técnico do Google SecOps.
`TOO_MANY_ERRORS`	O tempo limite do feed foi excedido porque foram encontrados vários erros na origem.	Contacte o apoio técnico da Google SecOps.
`TRANSIENT_INTERNAL_ERROR`	O feed encontrou um erro interno temporário.	Este erro é transitório e a aplicação vai tentar novamente o pedido. Se o problema persistir, contacte o apoio técnico do Google SecOps.
`UNSAFE_CONNECTION`	A aplicação não conseguiu estabelecer uma ligação porque o endereço IP estava restrito.	Este erro é transitório e o Google SecOps vai tentar novamente o pedido. Se o problema persistir, contacte o apoio técnico do Google SecOps.
`HTTP_400`	O feed falhou devido a um pedido inválido.	Verifique a configuração do feed. Saiba mais sobre a configuração de feeds. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`HTTP_403`	Foi estabelecida uma ligação à fonte, mas ocorreu um problema com a autorização.	Verifique se os acessos e as autorizações necessários foram adicionados.
`HTTP_404`	Foi estabelecida uma ligação à origem, mas não é possível encontrar o ficheiro ou o recurso.	Verifique o seguinte: O ficheiro existe na origem. Os utilizadores adequados têm acesso ao ficheiro. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`HTTP_429`	O feed excedeu o tempo limite porque houve demasiadas tentativas de aceder à origem.	Contacte o apoio técnico da Google SecOps.
`HTTP_500`	Foi estabelecida uma ligação à origem, mas a origem não respondeu com dados.	Certifique-se de que a origem está disponível e a responder com dados. Se o problema persistir, contacte o apoio técnico da Google SecOps.
`HTTP_502`	O feed encontrou um erro de gateway.	Este erro é transitório e a aplicação vai tentar novamente o pedido. Se o problema persistir, contacte o apoio técnico do Google SecOps.
`HTTP_504`	O Google SecOps não consegue estabelecer ligação ao endereço IP e à porta de origem.	Este erro é transitório e a aplicação vai tentar novamente o pedido. Verifique o seguinte: A origem está disponível. Uma firewall não está a bloquear a ligação. O endereço IP associado ao servidor está correto. Se o problema persistir, contacte o apoio técnico da Google SecOps.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.