Configurare un webhook

Supportato in:

I webhook sono una soluzione leggera per l'importazione degli avvisi dalla tua organizzazione nella piattaforma SOAR di Google Security Operations. 

Gli avvisi inseriti tramite webhook vengono visualizzati nella piattaforma con le stesse informazioni degli avvisi inseriti tramite i connettori.

Google consiglia di utilizzare un connettore o un webhook della stessa origine, ma non entrambi, per evitare di creare casi duplicati.

I webhook sono più adatti per scenari che richiedono una logica di mappatura di base, mentre i connettori sono più adatti per una mappatura avanzata e flessibile.

Configurare un webhook per l'importazione degli avvisi

Il seguente caso d'uso si concentra sull'utilizzo di CrowdStrike come piattaforma tramite cui importare gli avvisi.

Per configurare un webhook per l'importazione degli avvisi:

  1. Vai a Impostazioni SOAR > Inserimento > Webhook.
  2.  Fai clic su Aggiungi Aggiungi webhook in entrata.
  3. Inserisci un nome per il nuovo webhook e scegli un ambiente.
  4. Fai clic su Salva.
    5. Questo esempio utilizza CrowdStrike.
    Dopo il salvataggio, viene visualizzato nella pagina principale.
  5. Copia l'URL webhook e annotalo per utilizzarlo in un secondo momento. Ti servirà per inserirlo nella piattaforma CrowdStrike come destinazione del webhook.

Dati mappa

  1. Nella sezione Mappatura dei dati, fai clic su Carica esempio JSON (utilizza l'esempio tratto da CrowdStrike).
  2. Mappa i campi di Google Security Operations con i campi corrispondenti nei campi JSON di CrowdStrike. Ad esempio, per il campo obbligatorio dell'avviso Google SecOps StartTime, seleziona il campo CrowdStrike Detections.Last.Update. Questo viene visualizzato nello strumento di creazione espressioni. Per ulteriori informazioni, consulta la sezione Utilizzare il Generatore di espressioni.
    Aggiungi una funzione (a lato) per perfezionare ulteriormente questo campo, ad esempio Formato data.
  3. Una volta visualizzato Detections.Last.Format nel generatore di espressioni, fai clic su Esegui per visualizzare i risultati.
    Il campo Inizio viene visualizzato con un segno di spunta verde, a indicare che è mappato.
  4. Dopo aver mappato tutti i campi necessari, fai clic su Salva e poi attiva il webhook.

Testare il webhook

L'area Test ti consente di testare la funzionalità end-to-end del webhook e fornisce descrizioni dettagliate degli errori. 

  1. Nella scheda Test, copia l'URL webhook.
  2. Carica un file JSON con i dati pertinenti.
  3. Fai clic su Esegui. I risultati vengono visualizzati insieme all'output.

Caso d'uso: configura la piattaforma CrowdStrike

Questo caso d'uso ti guida attraverso i passaggi in CrowdStrike per l'webhook per iniziare a importare gli avvisi nella piattaforma Google SecOps.

  1. Nella dashboard di CrowdStrike Falcon, vai allo store Falcon e installa il componente aggiuntivo Webhook.
  2. Configura il webhook con il nome e l'URL webhook che hai copiato dalla piattaforma Google SecOps e fai clic su Salva.
  3. Vai alla sezione Flussi di lavoro.
  4. Fai clic su Crea un flusso di lavoro.
  5. Seleziona un trigger, ad esempio Nuovo rilevamento, e fai clic su Avanti.
  6. Seleziona Aggiungi azione.
  7. Nella sezione Personalizza azione, seleziona Notifiche dal menu Tipo di azione e seleziona Chiama webhook dal menu Azione.
  8. Seleziona il nome che hai aggiunto nel passaggio iniziale e tutti i campi necessari, poi fai clic su Fine.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.