Importare dati utilizzando i connettori SOAR

La funzionalità della piattaforma SOAR di Google Security Operations utilizza connettori per importare avvisi da una serie di origini dati nella piattaforma. Un connettore è un elemento di un pacchetto di integrazione che puoi scaricare da Google SecOps Content Hub (Marketplace). Configura i connettori da Impostazioni SOAR > Inserimento > Connettori.

I connettori sono applicazioni basate su Python che recuperano gli avvisi da prodotti di terze parti in Google SecOps. I connettori analizzano e normalizzano anche i dati non elaborati (avvisi ed eventi) in un formato Google SecOps, che viene poi presentato come caso nella coda dei casi.

Se utilizzi un SIEM di terze parti (un luogo centrale per tutti gli avvisi), è sufficiente un connettore. Puoi anche estrarre dati da più origini con diversi connettori. Ogni connettore ha un link alla documentazione dedicata per ulteriore assistenza.

Caso d'uso: configurare un connettore email

1. Vai a Google SecOps Content Hub (Marketplace) > Integrazioni.
2. Cerca e installa l'integrazione email.
3. Seleziona impostazioni Configura istanza predefinita per aprire la finestra di dialogo Email - Configura istanza.
4. Completa tutti i parametri obbligatori.
5. (Facoltativo) Vai a Impostazioni SOAR > Risposta > Configurazione integrazioni per configurare l'integrazione con un'altra istanza pertinente (non l'ambiente predefinito).
6. Vai a Impostazioni SOAR > Inserimento > Connettori.
7. Fai clic su Aggiungi Crea nuovo connettore.
8. Seleziona il connettore IMAP Email e fai clic su Crea.
9. Compila i campi richiesti. Quando richiesto, fai clic su Salva e poi su Sì.
10. Attiva il connettore e salvalo di nuovo. In questo modo, viene eseguito periodicamente per recuperare le nuove email in base alla configurazione.