Configurar feeds por produto

Compatível com:

Para permitir a detecção e investigação eficazes de ameaças, o Google Security Operations depende da ingestão de registros estruturados. A configuração adequada dos feeds de registros garante que os dados relevantes sejam normalizados e disponibilizados para correlação, alertas e análise.Este documento explica como configurar e gerenciar feeds de registros no Google SecOps. É possível configurar vários feeds por família de produtos de acordo com o tipo de registro. Os tipos de registros que o Google identificou como um valor de referência são marcados como obrigatórios. A plataforma oferece instruções de configuração, procedimentos necessários e explicações dos parâmetros de configuração. Alguns parâmetros são predefinidos para simplificar o processo de configuração. Por exemplo, é possível criar vários feeds nos tipos de registros obrigatórios e opcionais em um produto como o CrowdStrike Falcon:

Acessar a página de configuração de vários feeds

Há duas maneiras de acessar a tela de configuração de vários feeds:

  • Central de conteúdo > Pacotes de conteúdo
  • Configurações > Feeds

Configurar o feed para o EDR da CrowdStrike

Este procedimento se concentra na configuração do feed para o EDR da CrowdStrike.

  1. Em Configurações > Feeds, clique no produto CrowdStrike Falcon:
    1. Clique em Adicionar novo feed.
    2. Selecione EDR da CrowdStrike.
  2. Se quiser, em Central de conteúdo > Pacotes de conteúdo:
    1. Selecione CrowdStrike Falcon.
    2. Clique em Primeiros passos.

  3. Especifique valores para os seguintes campos:

    Campo Descrição
    Region A região do AWS S3 associada ao URI.
    Queue Name O nome da fila do SQS de onde a leitura será feita.
    Account Number O número da conta do SQS.
    Source Deletion Option Indica se os arquivos e diretórios devem ser excluídos após a transferência.
    Queue Access Key ID Uma chave de acesso alfanumérica de 20 caracteres para a conta, como AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Uma chave de acesso secreta alfanumérica de 40 caracteres para a conta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opcional: configure os seguintes parâmetros:

    • Nome do feed: nome exclusivo do feed, pré-preenchido, mas editável.
    • Tipo de origem: Amazon SQS é pré-selecionado, mas pode ser editado.
    • Namespace do recurso: namespace associado ao feed.
    • Rótulos de ingestão: rótulos aplicados aos eventos deste feed.

  5. Clique em Criar feed.

Repita esse processo para criar outros feeds do mesmo tipo de registro. Também é possível configurar feeds para outros tipos de registros disponíveis diretamente nesta página. Quando terminar, acesse a página Gerenciamento de feeds para conferir um resumo detalhado de todos os tipos de registros configurados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.