Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Configurer un webhook

Compatible avec :

Google secops SOAR

Les webhooks sont une solution légère permettant d'ingérer des alertes de votre organisation dans la plate-forme Google Security Operations SOAR.

Les alertes ingérées par webhook s'affichent dans la plate-forme avec les mêmes informations que celles ingérées à l'aide de connecteurs.

Pour éviter de créer des cas en double, Google vous recommande d'utiliser un connecteur ou un webhook de la même source, mais pas les deux.

Les webhooks sont plus adaptés aux scénarios qui nécessitent une logique de mappage de base, tandis que les connecteurs sont plus adaptés à un mappage avancé et flexible.

Configurer un webhook pour ingérer des alertes

Le cas d'utilisation suivant se concentre sur l'utilisation de CrowdStrike comme plate-forme pour ingérer des alertes.

Pour configurer un webhook afin d'ingérer des alertes, procédez comme suit :

Accédez à SOAR Settings > Ingestion > Webhooks (Paramètres SOAR > Ingestion > Webhooks).
Cliquez sur add Add incoming Webhook (Ajouter un webhook entrant).
Saisissez un nom pour le nouveau webhook, puis choisissez un environnement.
Cliquez sur Enregistrer.

Copiez l'URL du webhook et notez-la pour une utilisation ultérieure. Vous en aurez besoin pour la saisir dans la plate-forme CrowdStrike en tant que destination du webhook.

Mapper des données

Dans la section Data Mapping (Mappage des données), cliquez sur Upload JSON sample (Importer un exemple JSON) (utilisez l'exemple extrait de CrowdStrike).
Mappez les champs Google Security Operations avec les champs correspondants dans les champs JSON CrowdStrike. Par exemple, pour le champ d'alerte Google SecOps obligatoire champ StartTime, sélectionnez le champ CrowdStrike Detections.Last.Update. Il s'affiche dans le créateur d'expressions. Pour en savoir plus, consultez Utiliser le créateur d'expressions.
Ajoutez une fonction (sur le côté) pour affiner ce champ, par exemple, Date Format (Format de date).
Une fois que Detections.Last.Format s'affiche dans le créateur d'expressions, cliquez sur Exécuter pour afficher les résultats.
Start (Démarrer) s'affiche avec une coche verte, indiquant que le champ est mappé.
Une fois que vous avez mappé tous les champs nécessaires, cliquez sur Enregistrer , puis activez le webhook.

Remarque concernant l'affichage de l'horodatage de l'événement : lorsque vous ingérez des données d'événement à l'aide de webhooks, l'affichage des champs d'horodatage dans la liste des détails de l'alerte peut varier. La plate-forme tente de mettre en forme les champs qui semblent être liés à l'heure, en supposant que la valeur est fournie en millisecondes d'époque.

Si un champ d'horodatage (souvent celui contenant "time" dans son nom, tel que @timestamp) est envoyé dans un format autre que les millisecondes d'époque (par exemple, MM/DD/YYYY HH:MM:SS ou YYYY-MM-DDTHH:MM:SSz), la vue de liste peut ne pas afficher l'heure comme prévu. En effet, le système tente de l'interpréter comme des millisecondes depuis l'époque.

Vous pouvez afficher la valeur brute d'origine telle qu'elle est envoyée dans le webhook en double-cliquant sur le champ d'horodatage dans la liste des événements.

Pour obtenir des résultats d'affichage plus cohérents sur l'ensemble de la plate-forme, nous vous recommandons de configurer le système source pour qu'il envoie des valeurs temporelles en millisecondes d'époque dans la mesure du possible.

Tester le webhook

La zone Testing (Test) vous permet de tester la fonctionnalité de bout en bout du webhook et fournit des descriptions détaillées des erreurs.

Dans l'onglet Testing (Test), copiez l'URL de webhook.
Importez un fichier JSON contenant les données pertinentes.
Cliquez sur Exécuter. Les résultats s'affichent avec la sortie.

Cas d'utilisation : configurer la plate-forme CrowdStrike

Ce cas d'utilisation vous explique les étapes à suivre dans CrowdStrike pour que le webhook commence à ingérer des alertes dans la plate-forme Google SecOps.

Dans le tableau de bord CrowdStrike Falcon, accédez à la boutique Falcon et installez le module complémentaire Webhooks.
Configurez le webhook avec le nom et l'URL de webhook que vous avez copiés à partir de la plate-forme Google SecOps, puis cliquez sur Enregistrer.
Accédez à la section Workflows (Workflows).
Cliquez sur Create a Workflow (Créer un workflow).
Sélectionnez un déclencheur, tel que New detection (Nouvelle détection), puis cliquez sur Suivant.
Sélectionnez Ajouter une action.
Dans la section Customize action (Personnaliser l'action), sélectionnez Notifications dans le menu Action type (Type d'action), puis sélectionnez Call webhook dans le menu Action (Appeler le webhook).
Sélectionnez le nom que vous avez ajouté à l'étape initiale et tous les champs nécessaires, puis cliquez sur Terminer.

Vous avez encore besoin d'aide ? Obtenez des réponses auprès des membres de la communauté et des professionnels Google SecOps.