Feeds nach Produkt konfigurieren

Unterstützt in:

Damit Bedrohungen effektiv erkannt und untersucht werden können, ist in Google Security Operations die strukturierte Aufnahme von Logs erforderlich. Wenn Sie Logfeeds richtig konfigurieren, werden relevante Daten normalisiert und für Korrelation, Benachrichtigungen und Analysen zur Verfügung gestellt.In diesem Dokument wird beschrieben, wie Sie Logfeeds in Google SecOps einrichten und verwalten. Sie können mehrere Feeds pro Produktfamilie entsprechend dem Logtyp konfigurieren. Logtypen, die Google als Baseline identifiziert hat, sind als erforderlich gekennzeichnet. Die Plattform bietet Einrichtungsanleitungen, erforderliche Verfahren und Erläuterungen zu Konfigurationsparametern. Einige Parameter sind vordefiniert, um die Konfiguration zu vereinfachen. Sie können beispielsweise mehrere Feeds für erforderliche und optionale Logtypen in einem Produkt wie CrowdStrike Falcon erstellen:

Seite „Mehrere Feeds konfigurieren“ aufrufen

Es gibt zwei Möglichkeiten, den Konfigurationsbildschirm für mehrere Feeds aufzurufen:

  • Content Hub> Content-Pakete
  • Einstellungen > Feeds

Feed für CrowdStrike EDR konfigurieren

In dieser Anleitung wird beschrieben, wie Sie den Feed für CrowdStrike EDR konfigurieren.

  1. Klicken Sie unter Einstellungen > Feeds auf das Produkt CrowdStrike Falcon:
    1. Klicken Sie auf Neuen Feed hinzufügen.
    2. Wählen Sie CrowdStrike EDR aus.
  2. Optional: Content Hub > Content-Sets:
    1. Wählen Sie CrowdStrike Falcon aus.
    2. Klicken Sie auf Jetzt starten.

  3. Geben Sie Werte für die folgenden Felder an:

    Feld Beschreibung
    Region Die AWS S3-Region, die dem URI zugeordnet ist.
    Queue Name Der Name der SQS-Warteschlange, aus der gelesen werden soll.
    Account Number Die SQS-Kontonummer.
    Source Deletion Option Gibt an, ob Dateien und Verzeichnisse nach der Übertragung gelöscht werden sollen.
    Queue Access Key ID Ein 20-stelliger alphanumerischer Zugriffsschlüssel für das Konto, z. B. AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Ein 40-stelliger alphanumerischer geheimer Zugriffsschlüssel für das Konto, z. B. wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Optional: Konfigurieren Sie die folgenden Parameter:

    • Feedname: Eindeutiger Name für den Feed. Er wird automatisch ausgefüllt, kann aber bearbeitet werden.
    • Quelltyp: Amazon SQS ist vorausgewählt, kann aber bearbeitet werden.
    • Asset-Namespace: Der Namespace, der dem Feed zugeordnet ist.
    • Aufnahme-Labels: Labels, die auf die Ereignisse aus diesem Feed angewendet werden.

  5. Klicken Sie auf Feed erstellen.

Sie können diesen Vorgang wiederholen, um zusätzliche Feeds für denselben Logtyp zu erstellen. Sie können auch Feeds für andere verfügbare Logtypen direkt auf dieser Seite konfigurieren. Wenn Sie fertig sind, rufen Sie die Seite Feed Management (Feedverwaltung) auf, um eine detaillierte Zusammenfassung aller konfigurierten Protokolltypen zu sehen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten