Mengonfigurasi feed menurut produk

Didukung di:

Sebelum memulai

Jika menggunakan peran khusus IAM, Anda harus melakukan hal berikut:

  1. Buka IAM & Admin > Roles.
  2. Pilih peran khusus yang ada, lalu klik Edit Peran.
  3. Klik Add permissions.
  4. Masukkan info berikut:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Klik Simpan.

Mengonfigurasi feed log

Untuk mengaktifkan deteksi dan investigasi ancaman yang efektif, Google Security Operations mengandalkan penyerapan log terstruktur. Mengonfigurasi feed log dengan benar memastikan bahwa data yang relevan dinormalisasi dan tersedia untuk korelasi, pemberitahuan, dan analisis.

Dokumen ini menjelaskan cara menyiapkan dan mengelola feed log di Google SecOps. Anda dapat mengonfigurasi beberapa feed per keluarga produk sesuai dengan jenis log. Jenis log yang diidentifikasi oleh Google sebagai dasar, ditandai sebagai wajib.

Platform ini memberikan petunjuk penyiapan, prosedur yang diperlukan, dan penjelasan parameter konfigurasi. Beberapa parameter telah ditentukan sebelumnya untuk menyederhanakan proses konfigurasi. Misalnya, Anda dapat membuat beberapa feed dalam jenis log wajib dan opsional dalam suatu produk, seperti CrowdStrike Falcon:

Mengakses halaman konfigurasi beberapa feed

Ada dua cara untuk membuka layar konfigurasi beberapa feed:

  • Hub Konten > Paket Konten
  • Setelan > Feed

Mengonfigurasi feed untuk CrowdStrike EDR

Ikuti langkah-langkah berikut untuk mengonfigurasi feed log untuk CrowdStrike EDR.

  1. Dari Setelan > Feed, klik Tambahkan Feed Baru
    1. Klik produk CrowdStrike Falcon:.
    2. Pilih jenis log CrowdStrike EDR.
  2. Atau, dari Content Hub > Content Packs, klik produk CrowdStrike Falcon:
    1. Klik Mulai.
    2. Pilih jenis log CrowdStrike EDR.

  3. Tentukan nilai untuk kolom berikut:

    Kolom Deskripsi
    Source Type Amazon SQS
    Region Region AWS S3 yang terkait dengan URI.
    Queue Name Nama antrean SQS yang akan dibaca.
    Account Number Nomor akun SQS.
    Source Deletion Option Menunjukkan apakah akan menghapus file dan direktori setelah transfer.
    Queue Access Key ID Kunci akses alfanumerik 20 karakter untuk akun, seperti AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Kunci akses rahasia alfanumerik 40 karakter untuk akun, seperti wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opsional: Konfigurasikan parameter berikut:

    • Nama Feed: nama unik yang telah diisi otomatis untuk feed.
    • Namespace aset: namespace yang terkait dengan feed.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.

  5. Klik Buat Feed.

Anda dapat mengulangi proses ini untuk membuat feed tambahan untuk jenis log yang sama. Anda juga dapat mengonfigurasi feed untuk jenis log lain yang tersedia langsung dari halaman ini. Setelah selesai, buka halaman Pengelolaan Feed untuk melihat ringkasan mendetail dari semua jenis log yang dikonfigurasi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.