Google SecOps Content Hub 概览

Content Hub 是一个集中式平台，用于在 Google SecOps 中发现、部署和管理内容。

在内容中心，您可以执行以下操作：

• 部署端到端内容包（包括日志注入、精选检测和信息中心），使您的 Google SecOps 实例能够与我们定义的热门支持列表中的产品搭配使用。
• 为 SOAR playbook 和连接器安装第三方集成。
• 查看和过滤精选检测结果，检查各个规则属性和相应的规则定义（精选检测结果透明度）。前往“规则集”页面，以获取完整的管理功能。
• 添加信息中心以提高曝光度。
• 将已保存的搜索查询添加到 SIEM 搜索中，以便快速重复使用。
• 安装并运行增强工具，以扩展 playbook 功能。
• 在首页上访问旧版 SOAR 用例。

我可以在首页上执行哪些操作？

首页是内容中心的主要着陆页。在此处，您可以访问以下内容：

• 内容包、响应集成、信息中心、搜索查询、Power Up 和精选检测。
• 旧版 SOAR 用例。Google 建议使用新的内容包，而不是旧版使用情形，因为它们可提供更全面、更集成的解决方案。

我可以在“内容包”页面上执行哪些操作？

在内容包页面上，您可以配置单个和多个 Feed，并访问所有其他内容中心选项。

如需在内容包页面上载所有数据，请按以下步骤操作：

1. 根据您需要的日志类型，为产品系列配置多个 Feed。
2. 设置 Feed 后，您可以选择性地配置内容包的其余组件（在后台自动下载）。
   1. 您必须先点击配置集成并设置实例，然后才能使用任何 playbook。如需了解详情，请参阅配置集成实例。
   2. 如需查看或更改已下载的 playbook，或使用模拟器运行该 playbook，请点击查看 playbook。如需了解详情，请参阅使用剧本模拟器。 您需要复制 playbook 名称，然后在playbook 页面中的“默认”文件夹中搜索该名称。
   3. 点击查看所有检测规则，打开精选检测页面。
   4. 点击查看所有搜索查询，打开 SIEM 搜索页面。
   5. 点击查看所有信息中心以打开信息中心页面。

我可以在“精选检测”页面上执行哪些操作？

在精选检测页面上，您可以查看 Google SecOps 中所有受支持的检测规则定义，包括规则逻辑和代码。

如需查看和修改精选检测（规则），请执行以下操作：

1. 找到要更新的所需规则集，然后点击查看和管理。
2. 在概览标签页上打开的侧边栏中，点击管理规则。系统会将您引导至精选检测页面上的整个规则集。
3. 或者，在打开的侧边栏中，点击显示规则定义的标签页。 系统随即会显示规则逻辑。您无法在此处修改规则，但可以在规则页面中创建新规则。点击查看规则效果，系统会转到检测页面，以便您管理规则。

我可以在“响应集成”页面上执行哪些操作？

在响应集成页面上，您可以查看集成详情（包括版本说明），并配置各个响应集成。这些变量可用于 SOAR 连接器和 playbook。

如需安装和配置集成，请执行以下操作：

1. 找到所需的集成，然后点击安装。
2. 成功安装后，点击同一集成上的配置，开始设置。 如需了解详情，请参阅配置集成实例。

我可以在“信息中心”页面中执行哪些操作？

在信息中心页面上，您可以查看预安装信息中心的详细信息，并添加新的信息中心。如需查看或管理任何信息中心（无论是预安装的还是从内容中心添加的），请前往信息中心页面。注意：通过内容中心添加的信息中心会标记为应用商店。

我可以在“搜索查询”页面上执行哪些操作？

在搜索查询页面上，您可以查看搜索查询详情并添加新查询。添加搜索查询后，该查询会添加到已保存的搜索中，并在实例内共享。如需查看或管理已保存的查询，请前往 SIEM 搜索页面。

我可以在“增强功能”页面上执行哪些操作？

在增强功能页面上，您可以查看详细信息、安装和配置 Google SecOps 增强功能，以便在 playbook 中使用。 如需查看设置说明，请参阅使用增强功能。

需要更多帮助？从社区成员和 Google SecOps 专业人士那里获得解答。