Google SecOps Content Hub 개요

다음에서 지원:

콘텐츠 허브는 Google SecOps 내에서 콘텐츠를 검색, 배포, 관리하기 위한 중앙 집중식 플랫폼 역할을 합니다.

콘텐츠 허브에서 다음 작업을 할 수 있습니다.

  • 로그 수집, 선별된 감지, 대시보드를 포함한 엔드 투 엔드 콘텐츠 팩을 배포하여 Google SecOps 인스턴스가 Google에서 정의한 지원되는 상위 목록의 제품과 작동하도록 합니다.
  • SOAR 플레이북 및 커넥터용 서드 파티 통합을 설치합니다.
  • 선별된 감지를 확인하고 필터링하며 개별 규칙 속성과 각 규칙 정의를 검사합니다 (선별된 감지 투명성). 전체 관리 기능을 사용하려면 규칙 세트 페이지로 이동하세요.
  • 대시보드를 추가하여 가시성을 높이세요.
  • 빠르게 재사용할 수 있도록 저장된 검색어를 SIEM 검색에 추가합니다.
  • 강화 기능을 설치하고 실행하여 플레이북 기능을 확장하세요.
  • 페이지에서 기존 SOAR 사용 사례에 액세스합니다.

홈페이지에서 무엇을 할 수 있나요?

페이지는 콘텐츠 허브의 기본 방문 페이지입니다. 여기에서 다음 항목에 액세스할 수 있습니다.

  • 콘텐츠 팩, 응답 통합, 대시보드, 검색어, 파워업, 선별된 감지
  • 기존 SOAR 사용 사례 새 콘텐츠 팩은 더 포괄적이고 통합된 솔루션을 제공하므로 기존 사용 사례 대신 새 콘텐츠 팩을 사용하는 것이 좋습니다.

콘텐츠 팩 페이지에서 무엇을 할 수 있나요?

콘텐츠 팩 페이지에서 단일 및 다중 피드를 구성하고 다른 모든 콘텐츠 허브 옵션에 액세스할 수 있습니다.

콘텐츠 팩 페이지에서 모든 데이터를 온보딩하려면 다음 단계를 따르세요.

  1. 필요한 로그 유형에 따라 제품군에 여러 피드를 구성합니다.
  2. 피드를 설정한 후에는 콘텐츠 팩의 나머지 구성요소 (백그라운드에서 자동으로 다운로드됨)를 선택적으로 구성할 수 있습니다.
    1. 플레이북을 사용하려면 먼저 통합 구성을 클릭하고 플레이북이 작동하도록 인스턴스를 설정해야 합니다. 자세한 내용은 통합 인스턴스 구성을 참고하세요.
    2. 다운로드한 플레이북을 보거나 변경하거나 시뮬레이터를 사용하여 실행하려면 플레이북 보기를 클릭합니다. 자세한 내용은 플레이북 시뮬레이터 사용을 참고하세요. 플레이북 이름을 복사하여 플레이북 페이지의 기본 폴더에서 검색해야 합니다.
    3. 모든 감지 규칙 보기를 클릭하여 선별된 감지 페이지를 엽니다.
    4. 모든 검색어 보기를 클릭하여 SIEM 검색 페이지를 엽니다.
    5. 모든 대시보드 보기를 클릭하여 대시보드 페이지를 엽니다.

선별된 감지 페이지에서 무엇을 할 수 있나요?

선별된 감지 페이지에서 규칙 로직과 코드를 비롯해 Google SecOps에서 지원되는 모든 감지 규칙 정의를 볼 수 있습니다.

선별된 감지 (규칙)를 보고 수정하려면 다음 단계를 따르세요.

  1. 업데이트할 필수 규칙 세트를 찾아 보기 및 관리를 클릭합니다.
  2. 개요 탭에서 열리는 사이드바에서 규칙 관리를 클릭합니다. 선별된 탐지 페이지의 전체 규칙 세트로 이동합니다.
  3. 또는 열린 사이드바에서 규칙 정의 탭을 클릭합니다. 그러면 규칙 논리가 표시됩니다. 여기에서 규칙을 수정할 수는 없지만 규칙 페이지에서 새 규칙을 만들 수 있습니다. 규칙 성능 보기를 클릭하여 감지 페이지로 이동하여 규칙을 관리합니다.

'응답 통합' 페이지에서 무엇을 할 수 있나요?

응답 통합 페이지에서 출시 노트를 비롯한 통합 세부정보를 확인하고 개별 응답 통합을 구성할 수 있습니다. SOAR 커넥터 및 플레이북에 사용할 수 있습니다.

통합을 설치하고 구성하려면 다음 단계를 따르세요.

  1. 필요한 통합을 찾아 설치를 클릭합니다.
  2. 설치가 완료되면 동일한 통합에서 구성을 클릭하여 설정을 시작합니다. 자세한 내용은 통합 인스턴스 구성을 참고하세요.

대시보드 페이지에서 무엇을 할 수 있나요?

대시보드 페이지에서 사전 설치된 대시보드의 세부정보를 확인하고 새 대시보드를 추가할 수 있습니다. 사전 설치된 대시보드 또는 콘텐츠 허브에서 추가된 대시보드를 보거나 관리하려면 대시보드 페이지로 이동합니다. 참고: 콘텐츠 허브를 통해 추가된 대시보드에는 마켓이라는 라벨이 지정됩니다.

검색어 페이지에서 무엇을 할 수 있나요?

검색어 페이지에서 검색어 세부정보를 확인하고 새 검색어를 추가할 수 있습니다. 검색어를 추가하면 저장된 검색어에 추가되고 인스턴스 내에서 공유됩니다. 저장된 쿼리를 보거나 관리하려면 SIEM 검색 페이지로 이동하세요.

파워업 페이지에서 무엇을 할 수 있나요?

파워업 페이지에서 세부정보를 확인하고, 플레이북에서 사용할 Google SecOps 파워업을 설치하고 구성할 수 있습니다. 설정 안내는 파워업 사용을 참고하세요.

도움이 더 필요하신가요? 커뮤니티 회원 및 Google SecOps 전문가로부터 답변을 받으세요.