Configura feeds por producto

Compatible con:

Para habilitar la detección y la investigación eficaces de amenazas, Google Security Operations se basa en la transferencia de registros estructurados. Configurar correctamente los feeds de registros garantiza que los datos pertinentes se normalicen y estén disponibles para la correlación, las alertas y el análisis.En este documento, se explica cómo configurar y administrar los feeds de registros en Google SecOps. Puedes configurar varios feeds por familia de productos según el tipo de registro. Los tipos de registros que Google identificó como referencia se marcan como obligatorios. La plataforma proporciona instrucciones de configuración, procedimientos obligatorios y explicaciones de los parámetros de configuración. Algunos parámetros están predefinidos para simplificar el proceso de configuración. Por ejemplo, puedes crear varios feeds en los tipos de registros obligatorios y opcionales dentro de un producto, como CrowdStrike Falcon:

Accede a la página de configuración de varios feeds

Existen dos formas de acceder a la pantalla de configuración de varios feeds:

  • Centro de contenido > Paquetes de contenido
  • Configuración > Feeds

Configura el feed para CrowdStrike EDR

Este procedimiento se centra en la configuración del feed para el EDR de CrowdStrike.

  1. En Settings > Feeds, haz clic en el producto CrowdStrike Falcon:
    1. Haz clic en Agregar feed nuevo.
    2. Selecciona CrowdStrike EDR.
  2. De manera opcional, en Content Hub > Paquetes de contenido, haz lo siguiente:
    1. Selecciona CrowdStrike Falcon.
    2. Haz clic en Comenzar.

  3. Especifica valores para los siguientes campos:

    Campo Descripción
    Region Es la región de AWS S3 asociada al URI.
    Queue Name Es el nombre de la cola de SQS desde la que se leerá.
    Account Number Es el número de cuenta de SQS.
    Source Deletion Option Indica si se deben borrar los archivos y directorios después de la transferencia.
    Queue Access Key ID Es una clave de acceso alfanumérica de 20 caracteres para la cuenta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Es una clave de acceso secreta alfanumérica de 40 caracteres para la cuenta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: Configura los siguientes parámetros:

    • Nombre del feed: Es el nombre único del feed, que se completa previamente, pero se puede editar.
    • Tipo de fuente: Amazon SQS está preseleccionado, pero se puede editar.
    • Espacio de nombres del activo: Es el espacio de nombres asociado con el feed.
    • Son las etiquetas de transmisión: etiquetas que se aplican a los eventos de este feed.

  5. Haz clic en Crear feed.

Puedes repetir este proceso para crear feeds adicionales para el mismo tipo de registro. También puedes configurar feeds para otros tipos de registros disponibles directamente desde esta página. Cuando termines, ve a la página Administración de feeds para ver un resumen detallado de todos los tipos de registros configurados.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.