按产品配置 Feed

支持的语言:

为了实现有效的威胁检测和调查,Google Security Operations 依赖于结构化日志提取。正确配置日志 Feed 可确保相关数据经过标准化处理,并可用于关联、提醒和分析。本文档介绍了如何在 Google SecOps 中设置和管理日志 Feed。您可以根据日志类型为每个产品系列配置多个 Feed。 Google 确定为基准的日志类型标记为必需。 该平台提供设置说明、所需程序和配置参数说明。系统预定义了一些参数,以简化配置流程。例如,您可以在 CrowdStrike Falcon 等产品中创建多个必需日志类型和可选日志类型下的 Feed:

访问多个 Feed 配置页面

您可以通过以下两种方式进入多 Feed 配置界面:

  • 内容中心 > 内容包
  • 设置 > Feed

为 CrowdStrike EDR 配置 Feed

此过程重点介绍如何为 CrowdStrike EDR 配置 Feed。

  1. “设置”>“Feed”中,点击 CrowdStrike Falcon 产品:
    1. 点击添加新 Feed
    2. 选择 CrowdStrike EDR
  2. (可选)在内容中心 > 内容包中:
    1. 选择 CrowdStrike Falcon
    2. 点击开始使用

  3. 为以下字段指定值:

    字段 说明
    Region 与 URI 关联的 AWS S3 区域。
    Queue Name 要从中读取数据的 SQS 队列名称。
    Account Number SQS 账号。
    Source Deletion Option 指示是否在传输后删除文件和目录。
    Queue Access Key ID 相应账号的 20 字符字母数字访问密钥,例如 AKIAOSFOODNN7EXAMPLE
    Queue Secret Access Key 相应账号的 40 字符字母数字私有访问密钥,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  4. 可选:配置以下参数:

    • Feed 名称:Feed 的唯一名称,系统会预先填充,但您可以修改。
    • 来源类型:系统会预先选择 Amazon SQS,但您可以修改。
    • 素材资源命名空间:与 Feed 关联的命名空间。
    • 提取标签:应用于此 Feed 中事件的标签。

  5. 点击创建 Feed

您可以重复此流程,为同一日志类型创建其他 Feed。您还可以直接在此页面上为其他可用的日志类型配置 Feed。完成后,前往 Feed 管理页面,查看所有已配置的日志类型的详细摘要。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。