Mengonfigurasi feed menurut produk

Didukung di:

Untuk memungkinkan deteksi dan investigasi ancaman yang efektif, Google Security Operations mengandalkan penyerapan log terstruktur. Mengonfigurasi feed log dengan benar akan memastikan bahwa data yang relevan dinormalisasi dan tersedia untuk korelasi, pemberitahuan, dan analisis.Dokumen ini menjelaskan cara menyiapkan dan mengelola feed log dalam Google SecOps. Anda dapat mengonfigurasi beberapa feed per keluarga produk sesuai dengan jenis log. Jenis log yang telah diidentifikasi Google sebagai dasar pengukuran ditandai sebagai wajib. Platform ini menyediakan petunjuk penyiapan, prosedur yang diperlukan, dan penjelasan parameter konfigurasi. Beberapa parameter telah ditetapkan sebelumnya untuk menyederhanakan proses konfigurasi. Misalnya, Anda dapat membuat beberapa feed berdasarkan jenis log yang diperlukan dan opsional dalam produk seperti CrowdStrike Falcon:

Mengakses halaman konfigurasi beberapa feed

Ada dua cara untuk membuka layar konfigurasi beberapa feed:

  • Hub Konten > Paket Konten
  • Setelan > Feed

Mengonfigurasi feed untuk CrowdStrike EDR

Prosedur ini berfokus pada konfigurasi feed untuk CrowdStrike EDR.

  1. Dari Setelan > Feed, klik produk CrowdStrike Falcon:
    1. Klik Tambahkan Feed Baru.
    2. Pilih CrowdStrike EDR.
  2. Atau, dari Content Hub > Content Packs:
    1. Pilih CrowdStrike Falcon.
    2. Klik Mulai.

  3. Tentukan nilai untuk kolom berikut:

    Kolom Deskripsi
    Region Region AWS S3 yang terkait dengan URI.
    Queue Name Nama antrean SQS yang akan dibaca.
    Account Number Nomor akun SQS.
    Source Deletion Option Menunjukkan apakah akan menghapus file dan direktori setelah transfer.
    Queue Access Key ID Kunci akses alfanumerik 20 karakter untuk akun, seperti AKIAOSFOODNN7EXAMPLE.
    Queue Secret Access Key Kunci akses rahasia alfanumerik 40 karakter untuk akun, seperti, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY.

  4. Opsional: Konfigurasikan parameter berikut:

    • Nama Feed: nama unik untuk feed, diisi otomatis, tetapi dapat diedit.
    • Jenis sumber: Amazon SQS dipilih sebelumnya, tetapi dapat diedit.
    • Namespace aset: namespace yang terkait dengan feed.
    • Label penyerapan: label yang diterapkan ke peristiwa dari feed ini.

  5. Klik Buat Feed.

Anda dapat mengulangi proses ini untuk membuat feed tambahan untuk jenis log yang sama. Anda juga dapat mengonfigurasi feed untuk jenis log lain yang tersedia langsung dari halaman ini. Setelah selesai, buka halaman Pengelolaan Feed untuk melihat ringkasan mendetail tentang semua jenis log yang dikonfigurasi.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.