Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Webhook einrichten

Unterstützt in:

Google secops SOAR

Webhooks sind eine einfache Lösung, um Warnungen aus Ihrer Organisation in die Google Security Operations SOAR-Plattform aufzunehmen.

Über Webhooks aufgenommene Warnungen enthalten in der Plattform dieselben Informationen wie Warnungen, die über Connectors aufgenommen wurden.

Google empfiehlt, entweder einen Connector oder einen Webhook aus derselben Quelle zu verwenden, aber nicht beides, um doppelte Fälle zu vermeiden.

Webhooks eignen sich am besten für Szenarien, die eine einfache Zuordnungslogik erfordern, während Connectors besser für erweiterte und flexible Zuordnungen geeignet sind.

Webhook zum Aufnehmen von Warnungen einrichten

In diesem Anwendungsfall wird CrowdStrike als Plattform verwendet, über die Warnungen aufgenommen werden.

So richten Sie einen Webhook zum Aufnehmen von Warnungen ein:

Rufen Sie SOAR-Einstellungen > Aufnahme > Webhooks auf.
Klicken Sie auf Hinzufügen Eingehenden Webhook hinzufügen.
Geben Sie einen Namen für den neuen Webhook ein und wählen Sie eine Umgebung aus.
Klicken Sie auf Speichern.

Kopieren Sie die Webhook-URL und notieren Sie sie für die spätere Verwendung. Sie müssen sie in der CrowdStrike-Plattform als Webhook-Ziel eingeben.

Daten zuordnen

Klicken Sie im Bereich Datenzuordnung auf JSON-Beispiel hochladen (verwenden Sie das Beispiel aus CrowdStrike).
Ordnen Sie die Google Security Operations-Felder den entsprechenden Feldern in den CrowdStrike-JSON-Feldern zu. Wählen Sie beispielsweise für das obligatorische Google SecOps-Warnfeld StartTime das CrowdStrike-Feld Detections.Last.Update aus. Dieses wird im Ausdrucks-Generator angezeigt. Weitere Informationen finden Sie unter Ausdrucks-Generator verwenden.
Fügen Sie eine Funktion (auf der Seite) hinzu, um dieses Feld weiter zu verfeinern, z. B. Datumsformat.
Sobald Detections.Last.Format im Ausdrucks-Generator angezeigt wird, klicken Sie auf Ausführen , um die Ergebnisse zu sehen.
Start wird mit einem grünen Häkchen angezeigt, was darauf hinweist, dass das Feld zugeordnet ist.
Nachdem Sie alle erforderlichen Felder zugeordnet haben, klicken Sie auf Speichern und aktivieren Sie dann den Webhook.

Hinweis zur Anzeige des Ereigniszeitstempels: Beim Aufnehmen von Ereignisdaten über Webhooks kann die Anzeige von Zeitstempelfeldern in der Liste mit den Warnungsdetails variieren. Die Plattform versucht, Felder zu formatieren, die zeitbezogen zu sein scheinen, wobei davon ausgegangen wird, dass der Wert in Epochenmillisekunden angegeben ist.

Wenn ein Zeitstempelfeld (oft eines, das „time“ im Namen enthält, z. B. @timestamp) in einem anderen Format als Epochenmillisekunden gesendet wird (z. B. MM/DD/YYYY HH:MM:SS oder YYYY-MM-DDTHH:MM:SSz), wird die Zeit in der Listenansicht möglicherweise nicht wie erwartet angezeigt. Das liegt daran, dass das System versucht, es als Millisekunden seit der Epoche zu interpretieren.

Sie können den ursprünglichen Rohwert, wie er im Webhook gesendet wurde, aufrufen, indem Sie in der Ereignisliste auf das Zeitstempelfeld doppelklicken.

Um die Anzeigeergebnisse auf der gesamten Plattform möglichst einheitlich zu gestalten, empfehlen wir, das Quellsystem so zu konfigurieren, dass Zeitwerte nach Möglichkeit in Epochenmillisekunden gesendet werden.

Webhook testen

Im Bereich Testen können Sie die End-to-End-Funktionalität des Webhooks testen und erhalten detaillierte Fehlerbeschreibungen.

Kopieren Sie auf dem Tab Testen die Webhook-URL.
Laden Sie eine JSON-Datei mit den relevanten Daten hoch.
Klicken Sie auf Ausführen. Die Ergebnisse werden zusammen mit der Ausgabe angezeigt.

Anwendungsfall: CrowdStrike-Plattform konfigurieren

In diesem Anwendungsfall werden die Schritte in CrowdStrike beschrieben, die erforderlich sind, damit der Webhook Warnungen in die Google SecOps-Plattform aufnehmen kann.

Rufen Sie im CrowdStrike Falcon-Dashboard den Falcon Store auf und installieren Sie das Webhooks-Add-on.
Konfigurieren Sie den Webhook mit dem Namen und der Webhook-URL, die Sie aus der Google SecOps-Plattform kopiert haben und klicken Sie auf Speichern.
Rufen Sie den Bereich Workflows auf.
Klicken Sie auf Workflow erstellen.
Wählen Sie einen Trigger aus, z. B. Neue Erkennung, und klicken Sie auf Weiter.
Wählen Sie Aktion hinzufügen aus.
Wählen Sie im Bereich Aktion anpassen im Menü Aktionstyp die Option Benachrichtigungen und im Menü Aktion die Option Webhook aufrufen aus.
Wählen Sie den Namen aus, den Sie im ersten Schritt hinzugefügt haben, und alle erforderlichen Felder aus und klicken Sie dann auf Fertigstellen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten