按产品配置 Feed

支持的语言:

准备工作

如果您使用的是 IAM 自定义角色,则需要执行以下操作:

  1. 前往 IAM 和管理 > 角色
  2. 选择现有的自定义角色,然后点击修改角色
  3. 点击添加权限
  4. 输入以下内容:
    • chronicle.feedPacks.get
    • chronicle.feedPacks.list
  5. 点击保存

配置日志 Feed

为了实现有效的威胁检测和调查,Google Security Operations 依赖于结构化日志提取。正确配置日志 Feed 可确保相关数据经过规范化处理,并可用于关联、提醒和分析。

本文档介绍了如何在 Google SecOps 中设置和管理日志 Feed。 您可以根据日志类型为每个产品系列配置多个 Feed。 Google 确定为基准的日志类型标记为必需

该平台提供设置说明、所需程序和配置参数说明。系统预定义了一些参数,以简化配置流程。例如,您可以在产品(例如 CrowdStrike Falcon)中创建多个必需和可选日志类型下的 Feed:

访问多个 Feed 配置页面

您可以通过以下两种方式进入多 Feed 配置界面:

  • 内容中心 > 内容包
  • 设置 > Feed

为 CrowdStrike EDR 配置 Feed

请按照以下步骤为 CrowdStrike EDR 配置日志 Feed。

  1. 设置 > Feed 中,点击添加新 Feed
    1. 点击 CrowdStrike Falcon 产品:
    2. 选择 CrowdStrike EDR 日志类型。
  2. 或者,依次前往内容中心 > 内容包,然后点击 CrowdStrike Falcon 产品:
    1. 点击开始使用
    2. 选择 CrowdStrike EDR 日志类型。
  3. 为以下字段指定值:

    字段 说明
    Source Type Amazon SQS
    Region 与 URI 关联的 AWS S3 区域。
    Queue Name 要从中读取数据的 SQS 队列名称。
    Account Number SQS 账号。
    Source Deletion Option 指示是否在传输后删除文件和目录。
    Queue Access Key ID 相应账号的 20 字符字母数字访问密钥,例如 AKIAOSFOODNN7EXAMPLE
    Queue Secret Access Key 相应账号的 40 字符字母数字私有访问密钥,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  4. 可选:配置以下参数:

    • Feed 名称:预填充的 Feed 唯一名称。
    • 素材资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于此 Feed 中事件的标签。
  5. 点击创建 Feed

您可以重复此流程,为同一日志类型创建其他 Feed。您还可以直接在此页面上为其他可用的日志类型配置 Feed。完成后,前往Feed 管理页面,查看所有已配置的日志类型的详细摘要。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。