Ingérer des données à l'aide de connecteurs SOAR

La fonctionnalité de la plate-forme SOAR Google Security Operations utilise des connecteurs pour ingérer les alertes provenant de diverses sources de données dans la plate-forme. Un connecteur est un élément d'un package d'intégration que vous pouvez télécharger depuis le Google SecOps Content Hub (Marketplace). Vous configurez les connecteurs à partir de Paramètres SOAR> Ingestion> Connecteurs.

Les connecteurs sont des applications basées sur Python qui extraient les alertes de produits tiers dans Google SecOps. Les connecteurs analysent et normalisent également les données brutes (alertes et événements) au format Google SecOps, qui sont ensuite présentées sous forme de demande dans la file d'attente des demandes.

Si vous exécutez un SIEM tiers (un emplacement central pour toutes vos alertes), un seul connecteur suffit. Vous pouvez également extraire des données de plusieurs sources à l'aide de plusieurs connecteurs. Chaque connecteur dispose d'un lien vers la documentation dédiée pour obtenir de l'aide supplémentaire.

Cas d'utilisation : configurer un connecteur d'e-mails

1. Accédez à Google SecOps Content Hub (Marketplace) > Integrations.
2. Recherchez et installez l'intégration de la messagerie.
3. Sélectionnez settings Configurer l'instance par défaut pour ouvrir la boîte de dialogue E-mail – Configurer l'instance.
4. Renseignez tous les paramètres obligatoires.
5. Facultatif : Accédez à Paramètres SOAR> Réponse> Configuration des intégrations pour configurer l'intégration à une autre instance pertinente (et non à l'environnement par défaut).
6. Accédez à Paramètres SOAR > Ingestion > Connecteurs.
7. Cliquez sur add Créer un connecteur.
8. Sélectionnez le connecteur IMAP Email, puis cliquez sur Créer.
9. Renseignez les champs obligatoires. Lorsque vous y êtes invité, cliquez sur Enregistrer, puis sur Oui.
10. Activez le connecteur et enregistrez-le à nouveau. Il s'exécute périodiquement pour extraire les nouveaux e-mails en fonction de la configuration.