Daten mit SOAR-Connectors aufnehmen

Die SOAR-Plattform von Google Security Operations verwendet Connectors, um Benachrichtigungen aus verschiedenen Datenquellen in die Plattform aufzunehmen. Ein Connector ist ein Element in einem Integrationspaket, das Sie aus dem Google SecOps Content Hub (Marketplace) herunterladen können. Sie konfigurieren Connectors über SOAR-Einstellungen> Erfassung > Connectors.

Connectors sind Python-basierte Anwendungen, mit denen Benachrichtigungen aus Drittanbieterprodukten in Google SecOps abgerufen werden. Connectors parsen und normalisieren die Rohdaten (Benachrichtigungen und Ereignisse) in ein Google SecOps-Format, das dann als Fall in der Fallwarteschlange angezeigt wird.

Wenn Sie ein SIEM eines Drittanbieters verwenden (ein zentraler Ort für alle Ihre Benachrichtigungen), reicht ein Connector aus. Sie können auch Daten aus mehreren Quellen mit mehreren Connectors abrufen. Jeder Connector hat einen eigenen Dokumentationslink, über den Sie weitere Hilfe erhalten.

Anwendungsfall: E‑Mail-Connector einrichten

1. Rufen Sie den Google SecOps Content Hub (Marketplace) > Integrationen auf.
2. Suchen Sie nach der E‑Mail-Integration und installieren Sie sie.
3. Wählen Sie Einstellungen Standardinstanz konfigurieren aus, um das Dialogfeld E-Mail – Instanz konfigurieren zu öffnen.
4. Füllen Sie alle erforderlichen Parameter aus.
5. Optional: Gehen Sie zu SOAR Settings> „Response“ > „Integrations Setup“, um die Integration für eine andere, relevante Instanz (nicht die Standardumgebung) zu konfigurieren.
6. Rufen Sie die SOAR-Einstellungen>Aufnahme>Connectors auf.
7. Klicken Sie auf Hinzufügen Neuen Connector erstellen.
8. Wählen Sie den IMAP-E-Mail-Connector aus und klicken Sie auf Erstellen.
9. Füllen Sie die Pflichtfelder aus. Wenn Sie dazu aufgefordert werden, klicken Sie auf Speichern und dann auf Ja.
10. Aktivieren Sie den Connector und speichern Sie ihn noch einmal. Dadurch wird sie regelmäßig ausgeführt, um gemäß der Konfiguration neue E‑Mails abzurufen.