使用 SOAR 連接器擷取資料

支援的平台:

Google Security Operations 平台功能會使用連接器,將各種資料來源的快訊擷取到平台中。連結器是整合套件中的項目,可從內容中心下載。您可以從「SOAR 設定」>「擷取」>「連接器」設定連接器。

連接器是以 Python 為基礎的應用程式,可將第三方產品的快訊提取至 Google SecOps。連接器也會將原始資料 (快訊和事件) 剖析及正規化為 Google SecOps 格式,然後以案件形式顯示在案件佇列中。

如果您使用第三方 SIEM (所有快訊的集中位置),一個連結器就已足夠。您也可以使用多個連接器從多個來源提取資料。每個連接器都有專屬的文件連結,可提供額外協助。

用途:設定電子郵件連接器

  1. 前往「內容中心」>「整合」
  2. 搜尋並安裝電子郵件整合服務。
  3. 依序選取「設定」設定預設執行個體,開啟「電子郵件 - 設定執行個體」對話方塊。
  4. 填寫所有必填參數。
  5. 選用:依序前往「SOAR Settings」>「Response」>「Integrations Setup」,將整合設定為其他相關執行個體 (而非預設環境)。
  6. 依序前往「SOAR 設定」>「擷取」>「連接器」
  7. 按一下「新增」「建立新的連結器」。
  8. 選取 IMAP 電子郵件連接器,然後按一下「建立」
  9. 填寫必填欄位。提示出現時,依序點選「儲存」和「是」
  10. 啟用連結器,然後再次儲存。這樣一來,系統就會定期執行這項作業,並根據設定擷取任何新郵件。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。