Configurare i feed per prodotto

Supportato in:

Per consentire un rilevamento e un'indagine efficaci delle minacce, Google Security Operations si basa sull'importazione di log strutturati. La configurazione corretta dei feed di log garantisce che i dati pertinenti vengano normalizzati e resi disponibili per la correlazione, l'invio di avvisi e l'analisi.Questo documento spiega come configurare e gestire i feed di log in Google SecOps. Puoi configurare più feed per famiglia di prodotti in base al tipo di log. I tipi di log identificati da Google come base di riferimento sono contrassegnati come obbligatori. La piattaforma fornisce istruzioni di configurazione, procedure richieste e spiegazioni dei parametri di configurazione. Alcuni parametri sono predefiniti per semplificare la procedura di configurazione. Ad esempio, puoi creare più feed per tipi di log obbligatori e facoltativi all'interno di un prodotto come CrowdStrike Falcon:

Accedere alla pagina di configurazione di più feed

Esistono due modi per accedere alla schermata di configurazione dei più feed:

  • Content Hub > Pacchetti di contenuti
  • Impostazioni > Feed

Configura il feed per EDR di CrowdStrike

Questa procedura si concentra sulla configurazione del feed per CrowdStrike EDR.

  1. In Impostazioni > Feed, fai clic sul prodotto CrowdStrike Falcon:
    1. Fai clic su Aggiungi nuovo feed.
    2. Seleziona CrowdStrike EDR.
  2. Se vuoi, da Hub dei contenuti > Pacchetti di contenuti:
    1. Seleziona CrowdStrike Falcon.
    2. Fai clic su Get Started.

  3. Specifica i valori per i seguenti campi:

    Campo Descrizione
    Region La regione AWS S3 associata all'URI.
    Queue Name Il nome della coda SQS da cui leggere.
    Account Number Il numero dell'account SQS.
    Source Deletion Option Indica se eliminare file e directory dopo il trasferimento.
    Queue Access Key ID Una chiave di accesso alfanumerica di 20 caratteri per l'account, ad esempio AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Una chiave di accesso segreta alfanumerica di 40 caratteri per l'account, ad esempio wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. (Facoltativo) Configura i seguenti parametri:

    • Nome del feed: nome univoco del feed, precompilato, ma modificabile.
    • Tipo di origine: Amazon SQS è preselezionato, ma può essere modificato.
    • Spazio dei nomi della risorsa: spazio dei nomi associato al feed.
    • Etichette di importazione: le etichette applicate agli eventi di questo feed.

  5. Fai clic su Crea feed.

Puoi ripetere questa procedura per creare altri feed per lo stesso tipo di log. Puoi anche configurare i feed per altri tipi di log disponibili direttamente da questa pagina. Al termine, vai alla pagina Gestione feed per visualizzare un riepilogo dettagliato di tutti i tipi di log configurati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.