Configurare i feed per prodotto

Supportato in:

Prima di iniziare

Se utilizzi ruoli personalizzati IAM, devi:

  1. Vai a IAM e amministrazione > Ruoli.
  2. Seleziona il ruolo personalizzato esistente e fai clic su Modifica ruolo.
  3. Fai clic su Aggiungi autorizzazioni.
  4. Inserisci:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. Fai clic su Salva.

Configurare i feed di log

Per consentire il rilevamento e l'analisi efficaci delle minacce, Google Security Operations si basa sull'importazione di log strutturati. La corretta configurazione dei feed di log garantisce che i dati pertinenti vengano normalizzati e resi disponibili per la correlazione, gli avvisi e l'analisi.

Questo documento spiega come configurare e gestire i feed di log in Google SecOps. Puoi configurare più feed per famiglia di prodotti in base al tipo di log. I tipi di log identificati da Google come base di riferimento sono contrassegnati come obbligatori.

La piattaforma fornisce istruzioni di configurazione, procedure richieste ed esplicazioni dei parametri di configurazione. Alcuni parametri sono predefiniti per semplificare la procedura di configurazione. Ad esempio, puoi creare più feed sia per i tipi di log obbligatori che per quelli facoltativi all'interno di un prodotto, come CrowdStrike Falcon:

Accedere alla pagina di configurazione di più feed

Esistono due modi per accedere alla schermata di configurazione di più feed:

  • Hub dei contenuti > Pacchetti di contenuti
  • Impostazioni > Feed

Configura il feed per CrowdStrike EDR

Segui questi passaggi per configurare un feed di log per CrowdStrike EDR.

  1. In Impostazioni > Feed, fai clic su Aggiungi nuovo feed.
    1. Fai clic sul prodotto CrowdStrike Falcon:
    2. Seleziona il tipo di log CrowdStrike EDR.
  2. In alternativa, da Content Hub > Pacchetti di contenuti, fai clic sul prodotto CrowdStrike Falcon:
    1. Fai clic su Get Started.
    2. Seleziona il tipo di log CrowdStrike EDR.

  3. Specifica i valori per i seguenti campi:

    Campo Descrizione
    Source Type Amazon SQS
    Region La regione AWS S3 associata all'URI.
    Queue Name Il nome della coda SQS da cui leggere.
    Account Number Il numero di account SQS.
    Source Deletion Option Indica se eliminare file e directory dopo il trasferimento.
    Queue Access Key ID Una chiave di accesso alfanumerica di 20 caratteri per l'account, ad esempio AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Una chiave di accesso segreta alfanumerica di 40 caratteri per l'account, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. (Facoltativo) Configura i seguenti parametri:

    • Nome feed: nome univoco precompilato per il feed.
    • Spazio dei nomi dell'asset: lo spazio dei nomi associato al feed.
    • Etichette di importazione: etichette applicate agli eventi di questo feed.

  5. Fai clic su Crea feed.

Puoi ripetere questa procedura per creare altri feed per lo stesso tipo di log. Puoi anche configurare i feed per altri tipi di log disponibili direttamente da questa pagina. Al termine, vai alla pagina Gestione feed per visualizzare un riepilogo dettagliato di tutti i tipi di log configurati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.