Webhook einrichten

Unterstützt in:

Webhooks sind eine einfache Lösung zum Erfassen von Benachrichtigungen aus Ihrer Organisation in der SOAR-Plattform von Google Security Operations. 

Über Webhooks aufgenommene Benachrichtigungen werden auf der Plattform mit denselben Informationen angezeigt wie Benachrichtigungen, die über Connectors aufgenommen wurden.

Google empfiehlt, entweder einen Connector oder einen Webhook aus derselben Quelle zu verwenden, aber nicht beides, um doppelte Kundenservicetickets zu vermeiden.

Webhooks eignen sich am besten für Szenarien, die eine einfache Zuordnungslogik erfordern, während Connectors besser für erweiterte und flexible Zuordnungen geeignet sind.

Webhook zum Erfassen von Benachrichtigungen einrichten

Im folgenden Anwendungsfall wird CrowdStrike als Plattform für die Aufnahme von Benachrichtigungen verwendet.

So richten Sie einen Webhook zum Erfassen von Benachrichtigungen ein:

  1. Rufen Sie die SOAR-Einstellungen > „Ingestion“ (Aufnahme) > „Webhooks“ auf.
  2.  Klicken Sie auf Hinzufügen Eingehenden Webhook hinzufügen.
  3. Geben Sie einen Namen für den neuen Webhook ein und wählen Sie eine Umgebung aus.
  4. Klicken Sie auf Speichern.
    5. In diesem Beispiel wird CrowdStrike verwendet.
    Nach dem Speichern wird es auf der Hauptseite angezeigt.
  5. Kopieren Sie die Webhook-URL und notieren Sie sie für die spätere Verwendung. Sie benötigen sie, um sie als Webhook-Ziel in die CrowdStrike-Plattform einzugeben.

Kartendaten

  1. Klicken Sie im Bereich Data Mapping (Datenzuordnung) auf Upload JSON sample (JSON-Beispiel hochladen). Verwenden Sie dazu das Beispiel von CrowdStrike.
  2. Ordnen Sie die Google Security Operations-Felder den entsprechenden Feldern in den CrowdStrike-JSON-Feldern zu. Wählen Sie für das obligatorische Google SecOps-Benachrichtigungsfeld StartTime beispielsweise das CrowdStrike-Feld Detections.Last.Update aus. Sie wird im Ausdruck-Builder angezeigt. Weitere Informationen finden Sie unter Ausdrucks-Generator verwenden.
    Fügen Sie eine Funktion (auf der Seite) hinzu, um dieses Feld weiter zu verfeinern, z. B. Datumsformat.
  3. Sobald Detections.Last.Format im Ausdrucksgenerator angezeigt wird, klicken Sie auf Ausführen, um die Ergebnisse zu sehen.
    Start wird mit einem grünen Häkchen angezeigt. Das bedeutet, dass das Feld zugeordnet ist.
  4. Nachdem Sie alle erforderlichen Felder zugeordnet haben, klicken Sie auf Speichern und aktivieren Sie dann den Webhook.

Webhook testen

Im Bereich Testen können Sie die End-to-End-Funktionalität des Webhooks testen und erhalten detaillierte Fehlerbeschreibungen. 

  1. Kopieren Sie auf dem Tab Testing (Testen) die Webhook-URL.
  2. Laden Sie eine JSON-Datei mit den relevanten Daten hoch.
  3. Klicken Sie auf Ausführen. Die Ergebnisse werden zusammen mit der Ausgabe angezeigt.

Anwendungsfall: CrowdStrike-Plattform konfigurieren

In diesem Anwendungsfall werden die Schritte in CrowdStrike beschrieben, die erforderlich sind, damit der Webhook mit der Aufnahme von Benachrichtigungen in die Google SecOps-Plattform beginnt.

  1. Rufen Sie im CrowdStrike Falcon-Dashboard den Falcon Store auf und installieren Sie das Webhooks-Add-on.
  2. Konfigurieren Sie den Webhook mit dem Namen und der Webhook-URL, die Sie aus der Google SecOps-Plattform kopiert haben, und klicken Sie auf Save (Speichern).
  3. Gehen Sie zum Bereich Workflows.
  4. Klicken Sie auf Workflow erstellen.
  5. Wählen Sie einen Trigger aus, z. B. Neue Erkennung, und klicken Sie auf Weiter.
  6. Wählen Sie Aktion hinzufügen aus.
  7. Wählen Sie im Bereich Aktion anpassen im Menü Aktionstyp die Option Benachrichtigungen und im Menü Aktion die Option Webhook aufrufen aus.
  8. Wählen Sie den Namen aus, den Sie im ersten Schritt hinzugefügt haben, und alle erforderlichen Felder aus und klicken Sie dann auf Fertigstellen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten