Google SecOps Content Hub の概要

以下でサポートされています。

コンテンツ ハブは、Google SecOps 内のコンテンツの検出、デプロイ、管理を行うための一元的なプラットフォームとして機能します。

コンテンツ ハブでは、次の操作を行うことができます。

  • エンドツーエンドのコンテンツ パック(ログの取り込み、キュレーションされた検出、ダッシュボードなど)をデプロイして、Google SecOps インスタンスが Google が定義した上位のサポート対象リストのプロダクトと連携できるようにします。
  • SOAR プレイブックとコネクタ用のサードパーティ統合をインストールします。
  • キュレートされた検出結果を表示してフィルタし、個々のルール属性とそれぞれのルール定義を検査します(キュレートされた検出結果の透明性)。完全な管理機能については、ルールセット ページに移動してください。
  • ダッシュボードを追加して、可視性を高めます。
  • 保存した検索クエリを SIEM 検索に追加して、すばやく再利用します。
  • パワーアップをインストールして実行し、ハンドブックの機能を拡張します。
  • 以前の SOAR のユースケースには、[ホーム] ページからアクセスできます。

ホームページではどのようなことができますか?

[ホーム] ページは、コンテンツ ハブのメイン ランディング ページです。ここから、次の項目にアクセスできます。

  • コンテンツ パック、対応統合、ダッシュボード、検索クエリ、Power Up、キュレートされた検出。
  • 以前の SOAR のユースケース。Google は、より包括的で統合されたソリューションを提供する新しいコンテンツ パックの使用を推奨しています。

コンテンツ パック ページではどのようなことができますか?

[コンテンツ パック] ページでは、単一フィードと複数フィードを構成し、他のすべての Content Hub オプションにアクセスできます。

[コンテンツ パック] ページですべてのデータをオンボーディングする手順は次のとおりです。

  1. 必要なログタイプに基づいて、プロダクト ファミリーの複数のフィードを構成します。
  2. フィードを設定したら、必要に応じてコンテンツ パックの残りのコンポーネント(バックグラウンドで自動的にダウンロードされます)を構成できます。
    1. ハンドブックを使用する前に、[インテグレーションを構成] をクリックしてインスタンスを設定し、ハンドブックが機能するようにする必要があります。詳細については、インテグレーション インスタンスを構成するをご覧ください。
    2. ダウンロードしたハンドブックを表示または変更したり、シミュレータを使用して実行したりするには、[ハンドブックを表示] をクリックします。詳細については、ハンドブック シミュレータの使用をご覧ください。ハンドブック名をコピーして、[ハンドブック] ページの [Default] フォルダで検索する必要があります。
    3. [すべての検出ルールを表示] をクリックして、[キュレーションされた検出機能] ページを開きます。
    4. [すべての検索クエリを表示] をクリックして、[SIEM 検索] ページを開きます。
    5. [すべてのダッシュボードを表示] をクリックして、[ダッシュボード] ページを開きます。

[キュレーションされた検出機能] ページではどのようなことができますか?

[キュレーションされた検出機能] ページでは、ルール ロジックやコードなど、Google SecOps でサポートされているすべての検出ルール定義を表示できます。

キュレートされた検出(ルール)を表示して変更するには、次の操作を行います。

  1. 更新する必要なルールセットを見つけて、[表示と管理] をクリックします。
  2. [概要] タブに表示されたサイドバーで、[ルールを管理] をクリックします。[キュレートされた検出] ページで、ルールセット全体が表示されます。
  3. または、表示されたサイドバーで、[ルールの定義] タブをクリックします。ルールのロジックが表示されます。ここからルールを変更することはできませんが、[ルール] ページで新しいルールを作成できます。[ルールのパフォーマンスを表示] をクリックして [検出] ページに移動し、ルールを管理します。

[Response Integrations] ページではどのようなことができますか?

[Response Integrations] ページでは、リリースノートなどの統合の詳細を表示し、個々のレスポンス統合を構成できます。これらは、SOAR コネクタとハンドブックに使用できます。

統合をインストールして構成するには:

  1. 必要な統合を見つけて [インストール] をクリックします。
  2. インストールが正常に完了したら、同じ統合の [構成] をクリックして設定を開始します。詳細については、インテグレーション インスタンスを構成するをご覧ください。

[ダッシュボード] ページではどのようなことができますか?

[ダッシュボード] ページでは、プリインストールされたダッシュボードの詳細を表示したり、新しいダッシュボードを追加したりできます。事前インストールされたダッシュボードやコンテンツ ハブから追加されたダッシュボードを表示または管理するには、[ダッシュボード] ページに移動します。注: コンテンツ ハブから追加されたダッシュボードには、[Marketplace](マーケットプレイス)というラベルが付けられます。

検索クエリ ページではどのようなことができますか?

[検索クエリ] ページでは、検索クエリの詳細を表示したり、新しいクエリを追加したりできます。検索クエリを追加すると、保存済みの検索に追加され、インスタンス内で共有されます。保存済みクエリを表示または管理するには、SIEM 検索ページに移動します。

パワーアップ ページではどのようなことができますか?

[Power Ups] ページでは、プレイブックで使用する Google SecOps Power Ups の詳細を表示、インストール、構成できます。設定手順については、Power Up を使用するをご覧ください。

さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。