Se você estiver usando papéis personalizados do IAM, faça o seguinte:
Acesse IAM e administrador > Papéis.
Selecione a função personalizada e clique em Editar função.
Clique em Adicionar permissões
Digite o seguinte:
chronicle.feedPacks.get
chronicle.feedPacks.list
Clique em Salvar.
Configurar feeds de registros
Para permitir a detecção e investigação eficazes de ameaças, o Google Security Operations depende da ingestão de registros estruturados. A configuração adequada dos feeds de registros garante que os dados relevantes sejam normalizados e disponibilizados para correlação, alertas e análise.
Este documento explica como configurar e gerenciar feeds de registros no Google SecOps.
É possível configurar vários feeds por família de produtos de acordo com o tipo de registro.
Os tipos de registros identificados pelo Google como um valor de referência são marcados como obrigatórios.
A plataforma oferece instruções de configuração, procedimentos necessários e explicações dos parâmetros de configuração.
Alguns parâmetros são predefinidos para simplificar o processo de configuração.
Por exemplo, é possível criar vários feeds nos tipos de registros obrigatórios e opcionais em um produto, como o CrowdStrike Falcon:
Acessar a página de configuração de vários feeds
Há duas maneiras de acessar a tela de configuração de vários feeds:
Central de conteúdo > Pacotes de conteúdo
Configurações > Feeds
Configurar o feed para o EDR da CrowdStrike
Siga estas etapas para configurar um feed de registros para o EDR da CrowdStrike.
Em Configurações > Feeds, clique em Adicionar novo feed
Clique no produto CrowdStrike Falcon:
Selecione o tipo de registro EDR do CrowdStrike.
Outra opção é acessar Central de conteúdo > Pacotes de conteúdo e clicar no produto CrowdStrike Falcon:
Clique em Primeiros passos.
Selecione o tipo de registro EDR do CrowdStrike.
Especifique valores para os seguintes campos:
Campo
Descrição
Source Type
Amazon SQS
Region
A região do AWS S3 associada ao URI.
Queue Name
O nome da fila do SQS de onde a leitura será feita.
Account Number
O número da conta do SQS.
Source Deletion Option
Indica se os arquivos e diretórios devem ser excluídos após a transferência.
Queue Access Key ID
Uma chave de acesso alfanumérica de 20 caracteres para a conta, como AKIAOSFOODNN7EXAMPLE.
Queue Secret Access Key
Uma chave de acesso secreta alfanumérica de 40 caracteres para a conta, como wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.
Opcional: configure os seguintes parâmetros:
Nome do feed: nome exclusivo pré-preenchido do feed.
Namespace do recurso: namespace associado ao feed.
Rótulos de ingestão: rótulos aplicados aos eventos deste feed.
Clique em Criar feed.
Repita esse processo para criar outros feeds do mesmo tipo de registro. Também é possível configurar feeds para outros tipos de registros disponíveis diretamente nesta página. Quando terminar, acesse a página Gerenciamento de feeds para conferir um resumo detalhado de todos os tipos de registros configurados.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-08-21 UTC."],[],[],null,["# Configure feeds by product\n==========================\n\nSupported in: \nGoogle secops [SIEM](/chronicle/docs/secops/google-secops-siem-toc)\n| **Note:** This feature is covered by [Pre-GA Offerings Terms](https://chronicle.security/legal/service-terms/) of the Google Security Operations Service Specific Terms. Pre-GA features might have limited support, and changes to pre-GA features might not be compatible with other pre-GA versions. For more information, see the [Google SecOps Technical Support Service guidelines](https://chronicle.security/legal/technical-support-services-guidelines/) and the [Google SecOps Service Specific Terms](https://chronicle.security/legal/service-terms/).\n\nBefore you begin\n----------------\n\nIf you are using IAM custom roles, you need to do the following:\n\n1. Go to **IAM \\& Admin \\\u003e Roles**.\n2. Select the existing custom role and click **Edit Role**.\n3. Click **Add permissions**.\n4. Enter the following:\n - **chronicle.feedPacks.get**\n - **chronicle.feedPacks.list**\n5. Click **Save**.\n\nConfigure log feeds\n-------------------\n\nTo enable effective threat detection and investigation, Google Security Operations relies on structured log ingestion. Properly configuring log feeds makes sure that relevant data is normalized and made available for correlation, alerting, and analysis.\n\nThis document explains how to set up and manage log feeds within Google SecOps.\nYou can configure multiple feeds per product family according to the log type.\nLog types identified by Google as a baseline, are marked as **required**.\n\nThe platform provides setup instructions, required procedures,\nand explanations of configuration parameters.\nSome parameters are predefined to simplify the configuration process.\nFor example, you can create multiple feeds under both required and optional log types\nwithin a product, such as CrowdStrike Falcon:\n\nAccess the multiple feeds configuration page\n--------------------------------------------\n\nThere are two ways to reach the multiple feeds configuration screen:\n\n- **Content Hub \\\u003e Content Packs**\n- **Settings \\\u003e Feeds**\n\n### Configure the feed for CrowdStrike EDR\n\nFollow these steps to configure a log feed for CrowdStrike EDR.\n\n1. From **Settings \\\u003e Feeds** , click **Add New Feed**\n 1. Click the **CrowdStrike Falcon** product:.\n 2. Select **CrowdStrike EDR** log type.\n2. Alternatively, from **Content Hub \\\u003e Content Packs** , click the **CrowdStrike Falcon** product:\n 1. Click **Get Started**.\n 2. Select **CrowdStrike EDR** log type.\n3. Specify values for the following fields:\n\n \u003cbr /\u003e\n\n4. Optional: Configure the following parameters:\n\n - Feed Name: prepopulated unique name for the feed.\n - Asset namespace: namespace associated with the feed.\n - Ingestion labels: labels applied to the events from this feed.\n5. Click **Create Feed**.\n\nYou can repeat this process to create additional feeds for the same log type. You can also configure feeds for other available log types directly from this page. When finished, go to the **Feed Management** page to view a detailed summary of all configured log types.\n\n**Need more help?** [Get answers from Community members and Google SecOps professionals.](https://security.googlecloudcommunity.com/google-security-operations-2)"]]
