SOAR 커넥터를 사용하여 데이터 수집

Google Security Operations SOAR 플랫폼 기능은 커넥터를 사용하여 다양한 데이터 소스의 알림을 플랫폼에 수집합니다. 커넥터는 Google SecOps Content Hub (Marketplace)에서 다운로드할 수 있는 통합 패키지의 항목입니다. 커넥터는 SOAR 설정 > 수집 > 커넥터에서 구성합니다.

커넥터는 서드 파티 제품의 알림을 Google SecOps로 가져오는 Python 기반 애플리케이션입니다. 커넥터는 원시 데이터 (알림 및 이벤트)를 Google SecOps 형식으로 파싱하고 정규화하여 케이스 대기열에 케이스로 표시합니다.

서드 파티 SIEM (모든 알림의 중앙 위치)을 실행하는 경우 커넥터 하나로 충분합니다. 여러 커넥터를 사용하여 여러 소스에서 데이터를 가져올 수도 있습니다. 각 커넥터에는 추가 지원을 위한 전용 문서 링크가 있습니다.

사용 사례: 이메일 커넥터 설정

1. Google SecOps 콘텐츠 허브 (마켓플레이스) > 통합으로 이동합니다.
2. 이메일 통합을 검색하여 설치합니다.
3. 설정 기본 인스턴스 구성을 선택하여 이메일 - 인스턴스 구성 대화상자를 엽니다.
4. 모든 필수 매개변수를 입력합니다.
5. 선택사항: SOAR 설정 > 응답 > 통합 설정으로 이동하여 기본 환경이 아닌 관련 인스턴스와의 통합을 구성합니다.
6. SOAR 설정 > 수집 > 커넥터로 이동합니다.
7. 추가 새 커넥터 만들기를 클릭합니다.
8. IMAP 이메일 커넥터를 선택하고 만들기를 클릭합니다.
9. 필수 입력란을 작성합니다 메시지가 표시되면 저장을 클릭한 다음 예를 클릭합니다.
10. 커넥터를 사용 설정하고 다시 저장합니다. 이렇게 하면 구성에 따라 새 이메일을 가져오기 위해 주기적으로 실행됩니다.