Feeds nach Produkt konfigurieren

Unterstützt in:

Hinweise

Wenn Sie benutzerdefinierte IAM-Rollen verwenden, müssen Sie Folgendes tun:

  1. Rufen Sie IAM & Verwaltung > Rollen auf.
  2. Wählen Sie die vorhandene benutzerdefinierte Rolle aus und klicken Sie auf Rolle bearbeiten.
  3. Klicken Sie auf Berechtigungen hinzufügen.
  4. Geben Sie Folgendes ein:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Klicken Sie auf Speichern.

Log-Feeds konfigurieren

Damit Bedrohungen effektiv erkannt und untersucht werden können, ist in Google Security Operations die strukturierte Aufnahme von Logs erforderlich. Wenn Sie Logfeeds richtig konfigurieren, werden relevante Daten normalisiert und für Korrelation, Benachrichtigungen und Analysen zur Verfügung gestellt.

In diesem Dokument wird erläutert, wie Sie Logfeeds in Google SecOps einrichten und verwalten. Sie können mehrere Feeds pro Produktfamilie entsprechend dem Logtyp konfigurieren. Logtypen, die von Google als Baseline identifiziert wurden, sind als erforderlich gekennzeichnet.

Die Plattform bietet Einrichtungsanleitungen, erforderliche Verfahren und Erläuterungen zu Konfigurationsparametern. Einige Parameter sind vordefiniert, um die Konfiguration zu vereinfachen. Sie können beispielsweise mehrere Feeds für erforderliche und optionale Logtypen in einem Produkt wie CrowdStrike Falcon erstellen:

Seite „Mehrere Feeds konfigurieren“ aufrufen

Es gibt zwei Möglichkeiten, den Konfigurationsbildschirm für mehrere Feeds aufzurufen:

  • Content Hub> Content-Pakete
  • Einstellungen > Feeds

Feed für CrowdStrike EDR konfigurieren

So konfigurieren Sie einen Logfeed für CrowdStrike EDR:

  1. Klicken Sie unter Einstellungen > Feeds auf Neuen Feed hinzufügen.
    1. Klicken Sie auf das Produkt CrowdStrike Falcon:
    2. Wählen Sie den Logtyp CrowdStrike EDR aus.
  2. Alternativ können Sie im Content Hub > Inhaltspakete auf das Produkt CrowdStrike Falcon klicken:
    1. Klicken Sie auf Jetzt starten.
    2. Wählen Sie den Logtyp CrowdStrike EDR aus.

  3. Geben Sie Werte für die folgenden Felder an:

    Feld Beschreibung
    Source Type Amazon SQS
    Region Die AWS S3-Region, die dem URI zugeordnet ist.
    Queue Name Der Name der SQS-Warteschlange, aus der gelesen werden soll.
    Account Number Die SQS-Kontonummer.
    Source Deletion Option Gibt an, ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
    Queue Access Key ID Ein 20-stelliger alphanumerischer Zugriffsschlüssel für das Konto, z. B. AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Ein 40-stelliger alphanumerischer geheimer Zugriffsschlüssel für das Konto, z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Optional: Konfigurieren Sie die folgenden Parameter:

    • Feedname: Der eindeutige Name des Feeds wird automatisch ausgefüllt.
    • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
    • Aufnahme-Labels: Labels, die auf die Ereignisse aus diesem Feed angewendet werden.

  5. Klicken Sie auf Feed erstellen.

Sie können diesen Vorgang wiederholen, um zusätzliche Feeds für denselben Logtyp zu erstellen. Sie können auch Feeds für andere verfügbare Logtypen direkt auf dieser Seite konfigurieren. Rufen Sie nach Abschluss die Seite Feed Management (Feedverwaltung) auf, um eine detaillierte Zusammenfassung aller konfigurierten Protokolltypen zu sehen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten