Webhook を設定する

Webhook は、組織のアラートを Google Security Operations SOAR プラットフォームに取り込むための軽量ソリューションです。

Webhook で取り込まれたアラートは、コネクタを使用して取り込まれたアラートと同じ情報でプラットフォームに表示されます。

ケースの重複を防ぐため、同じソースのコネクタまたは Webhook のいずれかを使用し、両方は使用しないことをおすすめします。

Webhook は基本的なマッピング ロジックが必要なシナリオに最適ですが、コネクタは高度で柔軟なマッピングに適しています。

アラートを取り込むように Webhook を設定する

次のユースケースでは、アラートを取り込むプラットフォームとして CrowdStrike を使用することに焦点を当てています。

アラートを取り込むように Webhook を設定する手順は次のとおりです。

1. [SOAR 設定] > [取り込み] > [Webhook] に移動します。
2. [ add Add incoming Webhook] をクリックします。
3. 新しい Webhook の名前を入力し、環境を選択します。
4. [保存] をクリックします。
この例では CrowdStrike を使用します。
保存すると、メインページに表示されます。

5. Webhook URL をコピーして、後で使用できるようにメモしておきます。Webhook の宛先として CrowdStrike プラットフォームに入力する必要があります。
   

データをマッピングする

1. [データ マッピング] セクションで、[JSON サンプルをアップロード] をクリックします（CrowdStrike から取得したサンプルを使用します）。
2. Google Security Operations のフィールドを CrowdStrike JSON フィールドの対応するフィールドにマッピングします。たとえば、必須の Google SecOps アラート フィールド StartTime の場合は、CrowdStrike フィールド Detections.Last.Update を選択します。これは式ビルダーに表示されます。詳細については、式ビルダーを使用するをご覧ください。
   （横にある）関数を追加して、このフィールドをさらに絞り込みます（例: 日付の形式）。
3. 式ビルダーに Detections.Last.Format が表示されたら、[実行] をクリックして結果を表示します。
   [開始] に緑色のチェックマークが表示され、フィールドがマッピングされていることを示します。
4. 必要なフィールドをすべてマッピングしたら、[保存] をクリックして、Webhook を有効にします。

Webhook をテストする

[テスト] 領域では、Webhook のエンドツーエンドの機能をテストし、エラーの詳細な説明を確認できます。

1. [Testing] タブで、Webhook URL をコピーします。
2. 関連するデータを含む JSON ファイルをアップロードします。
3. [実行] をクリックします。結果は出力とともに表示されます。

ユースケース: CrowdStrike プラットフォームを構成する

このユースケースでは、Webhook の CrowdStrike でアラートの Google SecOps プラットフォームへの取り込みを開始する手順について説明します。

1. CrowdStrike Falcon ダッシュボードで、Falcon ストアに移動して Webhooks アドオンをインストールします。
2. Google SecOps プラットフォームからコピーした名前と Webhook URL を使用して Webhook を構成し、[保存] をクリックします。
   
3. [ワークフロー] セクションに移動します。
4. [ワークフローを作成] をクリックします。
5. [新しい検出] などのトリガーを選択し、[次へ] をクリックします。
6. [操作を追加] を選択します。
7. [アクションをカスタマイズ] セクションで、[アクション タイプ] メニューから [通知] を選択し、[アクション] メニューから [Webhook を呼び出す] を選択します。
8. 最初の手順で追加した名前と必要なすべてのフィールドを選択し、[完了] をクリックします。