Configurer les flux par produit

Compatible avec :

Pour détecter et examiner efficacement les menaces, Google Security Operations s'appuie sur l'ingestion de journaux structurés. La configuration correcte des flux de journaux permet de normaliser les données pertinentes et de les rendre disponibles pour la corrélation, les alertes et l'analyse.Ce document explique comment configurer et gérer les flux de journaux dans Google SecOps. Vous pouvez configurer plusieurs flux par famille de produits en fonction du type de journal. Les types de journaux que Google a identifiés comme référence sont marqués comme obligatoires. La plate-forme fournit des instructions de configuration, les procédures requises et des explications sur les paramètres de configuration. Certains paramètres sont prédéfinis pour simplifier le processus de configuration. Par exemple, vous pouvez créer plusieurs flux pour les types de journaux obligatoires et facultatifs dans un produit tel que CrowdStrike Falcon :

Accéder à la page de configuration de plusieurs flux

Il existe deux façons d'accéder à l'écran de configuration de plusieurs flux :

  • Plate-forme de contenu > Packs de contenu
  • Paramètres > Flux

Configurer le flux pour CrowdStrike EDR

Cette procédure se concentre sur la configuration du flux pour CrowdStrike EDR.

  1. Dans Paramètres > Flux, cliquez sur le produit CrowdStrike Falcon :
    1. Cliquez sur Add New Feed (Ajouter un flux).
    2. Sélectionnez CrowdStrike EDR.
  2. Vous pouvez également accéder à Hub de contenu > Packs de contenu :
    1. Sélectionnez CrowdStrike Falcon.
    2. Cliquez sur Commencer.

  3. Indiquez les valeurs des champs suivants :

    Champ Description
    Region Région AWS S3 associée à l'URI.
    Queue Name Nom de la file d'attente SQS à partir de laquelle lire les données.
    Account Number Numéro de compte SQS.
    Source Deletion Option Indique s'il faut supprimer les fichiers et les répertoires après le transfert.
    Queue Access Key ID Clé d'accès alphanumérique de 20 caractères pour le compte, par exemple AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Clé d'accès secrète alphanumérique de 40 caractères pour le compte, par exemple wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. (Facultatif) Configurez les paramètres suivants :

    • Nom du flux : nom unique du flux, prérempli, mais modifiable.
    • Le type de source Amazon SQS est présélectionné, mais peut être modifié.
    • Espace de noms de l'élément : espace de noms associé au flux.
    • Libellés d'ingestion : libellés appliqués aux événements de ce flux.

  5. Cliquez sur Créer un flux.

Vous pouvez répéter cette procédure pour créer d'autres flux pour le même type de journaux. Vous pouvez également configurer des flux pour d'autres types de journaux disponibles directement sur cette page. Une fois l'opération terminée, accédez à la page Gestion des flux pour afficher un récapitulatif détaillé de tous les types de journaux configurés.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.