使用 SOAR 连接器注入数据

支持的平台:

Google Security Operations SOAR 平台功能使用连接器将各种数据源中的提醒注入到平台中。连接器是集成软件包中的一项内容,您可以从 Google SecOps Content Hub(Marketplace)下载。您可以在 SOAR 设置 > 注入 > 连接器中配置连接器。

连接器是基于 Python 的应用,可将第三方产品的提醒拉取到 Google SecOps 中。连接器还会将原始数据(提醒和事件)解析并规范化为 Google SecOps 格式,然后以支持请求的形式显示在支持请求队列中。

如果您使用的是第三方 SIEM(用于集中处理所有提醒),则只需一个连接器。您还可以使用多个连接器从多个来源提取数据。每个连接器都有一个专门的文档链接,可提供更多帮助。

使用场景:设置电子邮件连接器

  1. 前往 Google SecOps Content Hub (Marketplace) > Integrations(集成)。
  2. 搜索并安装电子邮件集成。
  3. 依次选择 设置 配置默认实例,打开电子邮件 - 配置实例对话框。
  4. 填写所有必需参数。
  5. 可选:前往 SOAR 设置 > 响应 > 集成设置,将集成配置为其他相关实例(而非默认环境)。
  6. 前往 SOAR 设置 > 注入 > 连接器
  7. 点击 添加 Create New Connector
  8. 选择 IMAP 电子邮件连接器,然后点击创建
  9. 填写必填字段。出现提示时,点击保存,然后点击
  10. 启用连接器并再次保存。这样一来,它就会根据配置定期运行,以提取所有新电子邮件。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。