依產品設定動態饋給

支援的國家/地區:

Google Security Operations 必須擷取結構化記錄,才能有效偵測及調查威脅。正確設定記錄動態饋給,可確保相關資料經過正規化,並用於關聯、快訊和分析。本文說明如何在 Google SecOps 中設定及管理記錄動態饋給。 您可以根據記錄類型,為每個產品系列設定多個動態饋給。 Google 認為屬於基準的記錄類型會標示為「必要」。 平台會提供設定說明、必要程序,以及設定參數的說明。系統會預先定義部分參數,簡化設定程序。舉例來說,您可以在 CrowdStrike Falcon 等產品中,為必要和選用記錄類型建立多個資訊提供:

前往多個動態消息設定頁面

你可以透過下列兩種方式前往多重動態饋給設定畫面:

  • 內容中心 > 內容包
  • 「設定」>「動態消息」

設定 CrowdStrike EDR 的動態饋給

本程序著重於設定 CrowdStrike EDR 的動態饋給。

  1. 依序點選「Settings」> Feeds,然後按一下「CrowdStrike Falcon」產品:
    1. 按一下「新增動態消息」
    2. 選取「CrowdStrike EDR」
  2. (選用) 依序前往「內容中心」>「內容包」
    1. 選取「CrowdStrike Falcon」
    2. 按一下「開始使用」

  3. 為下列欄位指定值:

    欄位 說明
    Region 與 URI 相關聯的 AWS S3 區域。
    Queue Name 要從中讀取的 SQS 佇列名稱。
    Account Number SQS 帳號。
    Source Deletion Option 指出是否要在轉移後刪除檔案和目錄。
    Queue Access Key ID 帳戶的 20 個英數字元存取金鑰,例如 AKIAOSFOODNN7EXAMPLE
    Queue Secret Access Key 帳戶的 40 個英數字元私密存取金鑰,例如 wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

  4. 選用:設定下列參數:

    • 動態饋給名稱:動態饋給的專屬名稱,系統會預先填入,但可編輯。
    • 來源類型:系統會預先選取「Amazon SQS」,但您可以編輯。
    • 資產命名空間:與動態饋給相關聯的命名空間。
    • 擷取標籤:套用至這個動態饋給事件的標籤。

  5. 按一下「建立動態饋給」

如要為同一種記錄類型建立其他動態饋給,請重複執行上述步驟。您也可以直接在這個頁面中,為其他可用的記錄類型設定動態饋給。完成後,請前往「動態饋給管理」頁面,查看所有已設定記錄類型的詳細摘要。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。