Configurer un webhook

Compatible avec :

Les Webhooks sont une solution légère pour ingérer les alertes de votre organisation dans la plate-forme Google Security Operations SOAR. 

Les alertes ingérées par webhook s'affichent sur la plate-forme avec les mêmes informations que celles ingérées à l'aide de connecteurs.

Pour éviter de créer des demandes en double, Google vous recommande d'utiliser un connecteur ou un webhook provenant de la même source, mais pas les deux.

Les Webhooks sont plus adaptés aux scénarios qui nécessitent une logique de mappage de base, tandis que les connecteurs sont plus adaptés au mappage avancé et flexible.

Configurer un webhook pour ingérer les alertes

Le cas d'utilisation suivant se concentre sur l'utilisation de CrowdStrike comme plate-forme d'ingestion des alertes.

Pour configurer un webhook afin d'ingérer des alertes, procédez comme suit :

  1. Accédez à Paramètres SOAR> Ingestion> Webhooks.
  2.  Cliquez sur add Ajouter un webhook entrant.
  3. Saisissez un nom pour le nouveau webhook et choisissez un environnement.
  4. Cliquez sur Enregistrer.
    5. Cet exemple utilise CrowdStrike.
    Une fois enregistrée, elle apparaît sur la page principale.
  5. Copiez l'URL du webhook et notez-la pour une utilisation ultérieure. Vous en aurez besoin pour l'indiquer comme destination du webhook dans la plate-forme CrowdStrike.

Données cartographiques

  1. Dans la section Mappage des données, cliquez sur Importer un exemple JSON (utilisez l'exemple extrait de CrowdStrike).
  2. Mappez les champs Google Security Operations avec les champs correspondants dans les champs JSON CrowdStrike. Par exemple, pour le champ obligatoire StartTime de l'alerte Google SecOps, sélectionnez le champ Detections.Last.Update de CrowdStrike. Cette option apparaît dans le générateur d'expressions. Pour en savoir plus, consultez Utiliser le générateur d'expressions.
    Ajoutez une fonction (sur le côté) pour affiner ce champ, par exemple Format de la date.
  3. Une fois que Detections.Last.Format s'affiche dans le générateur d'expressions, cliquez sur Exécuter pour afficher les résultats.
    Le champ Début s'affiche avec une coche verte, ce qui indique qu'il est mappé.
  4. Une fois que vous avez mappé tous les champs nécessaires, cliquez sur Enregistrer, puis activez le webhook.

Tester le webhook

La section Test vous permet de tester la fonctionnalité de bout en bout du webhook et fournit des descriptions détaillées des erreurs. 

  1. Dans l'onglet Testing (Test), copiez l'URL du webhook.
  2. Importez un fichier JSON contenant les données concernées.
  3. Cliquez sur Exécuter. Les résultats s'affichent avec la sortie.

Cas d'utilisation : configurer la plate-forme CrowdStrike

Ce cas d'utilisation vous guide à travers les étapes de CrowdStrike pour que le webhook commence à ingérer les alertes dans la plate-forme Google SecOps.

  1. Dans le tableau de bord CrowdStrike Falcon, accédez au Falcon Store et installez le module complémentaire Webhooks.
  2. Configurez le webhook avec le nom et l'URL du webhook que vous avez copiés depuis la plate-forme Google SecOps, puis cliquez sur Enregistrer.
  3. Accédez à la section Workflows.
  4. Cliquez sur Create a Workflow (Créer un workflow).
  5. Sélectionnez un déclencheur, tel que Nouvelle détection, puis cliquez sur Suivant.
  6. Sélectionnez Ajouter une action.
  7. Dans la section Personnaliser l'action, sélectionnez Notifications dans le menu Type d'action, puis Appeler le webhook dans le menu Action.
  8. Sélectionnez le nom que vous avez ajouté lors de la première étape et tous les champs nécessaires, puis cliquez sur Terminer.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.