Menyiapkan webhook

Didukung di:

Webhook adalah solusi ringan untuk menyerap pemberitahuan dari organisasi Anda ke dalam platform Google Security Operations SOAR. 

Peringatan yang di-webhook muncul di platform dengan informasi yang sama seperti peringatan yang dimasukkan menggunakan konektor.

Google merekomendasikan penggunaan konektor atau webhook dari sumber yang sama, tetapi tidak keduanya, untuk menghindari pembuatan kasus duplikat.

Webhook paling cocok untuk skenario yang memerlukan logika pemetaan dasar, sedangkan konektor lebih cocok untuk pemetaan tingkat lanjut dan fleksibel.

Menyiapkan webhook untuk menyerap pemberitahuan

Kasus penggunaan berikut berfokus pada penggunaan CrowdStrike sebagai platform untuk menyerap pemberitahuan.

Untuk menyiapkan webhook guna menerima pemberitahuan, ikuti langkah-langkah berikut:

  1. Buka SOAR Settings > Ingestion > Webhooks.
  2.  Klik tambahkan Tambahkan Webhook masuk.
  3. Masukkan nama untuk webhook baru, lalu pilih lingkungan.
  4. Klik Simpan.
    5. Contoh ini menggunakan CrowdStrike.
    Setelah disimpan, item tersebut akan muncul di halaman utama.
  5. Salin URL webhook dan catat untuk digunakan nanti. Anda akan memerlukannya untuk memasukkannya di platform CrowdStrike sebagai tujuan webhook.

Data peta

  1. Di bagian Pemetaan Data, klik Upload contoh JSON (gunakan contoh yang diambil dari CrowdStrike).
  2. Petakan kolom Google Security Operations dengan kolom yang sesuai di kolom JSON CrowdStrike. Misalnya, kolom pemberitahuan Google SecOps wajib diisi StartTime, pilih kolom CrowdStrike Detections.Last.Update. Ini muncul di Pembuat Ekspresi. Untuk mengetahui informasi selengkapnya, lihat Menggunakan Pembuat Ekspresi.
    Tambahkan fungsi (di samping) untuk lebih menyempurnakan kolom ini, misalnya, Format Tanggal.
  3. Setelah Detections.Last.Format muncul di Pembuat Ekspresi, klik Jalankan untuk melihat hasilnya.
    Mulai ditampilkan dengan tanda centang hijau, yang menunjukkan bahwa kolom dipetakan.
  4. Setelah Anda memetakan semua kolom yang diperlukan, klik Simpan, lalu aktifkan webhook.

Menguji webhook

Area Pengujian memungkinkan Anda menguji fungsi webhook secara menyeluruh, dan memberikan deskripsi error mendetail. 

  1. Di tab Pengujian, salin URL webhook.
  2. Upload file JSON dengan data yang relevan.
  3. Klik Run. Hasil akan ditampilkan bersama dengan output.

Kasus penggunaan: Mengonfigurasi platform CrowdStrike

Kasus penggunaan ini akan memandu Anda melalui langkah-langkah di CrowdStrike agar webhook mulai menyerap pemberitahuan ke dalam platform Google SecOps.

  1. Di dasbor CrowdStrike Falcon, buka Falcon store dan instal add-on Webhook.
  2. Konfigurasi webhook dengan nama dan URL webhook yang Anda salin dari platform Google SecOps, lalu klik Simpan.
  3. Buka bagian Alur Kerja.
  4. Klik Buat Alur Kerja.
  5. Pilih pemicu, seperti Deteksi baru, lalu klik Berikutnya.
  6. Pilih Add Action.
  7. Di bagian Sesuaikan tindakan, pilih Notifikasi dari menu Jenis tindakan, lalu pilih Panggil webhook dari menu Tindakan.
  8. Pilih nama yang Anda tambahkan pada langkah awal dan semua kolom yang diperlukan, lalu klik Selesai.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.