웹훅 설정

웹훅은 조직의 알림을 Google Security Operations SOAR 플랫폼으로 수집하는 경량 솔루션입니다. 

커넥터를 사용하여 수집된 알림과 동일한 정보가 플랫폼에 표시됩니다.

중복 케이스가 생성되지 않도록 동일한 소스의 커넥터 또는 웹훅 중 하나만 사용하는 것이 좋습니다.

웹훅은 기본 매핑 로직이 필요한 시나리오에 가장 적합하며, 커넥터는 고급 및 유연한 매핑에 더 적합합니다.

알림을 수집하도록 웹훅 설정

다음 사용 사례에서는 CrowdStrike를 알림을 수집하는 플랫폼으로 사용하는 데 중점을 둡니다.

알림을 수집하는 웹훅을 설정하려면 다음 단계를 따르세요.

1. SOAR 설정 > 수집 > 웹훅으로 이동합니다.
2.   추가 수신 웹훅 추가를 클릭합니다.
3. 새 웹훅의 이름을 입력하고 환경을 선택합니다.
4. 저장을 클릭합니다.
이 예시에서는 CrowdStrike를 사용합니다.
저장하면 기본 페이지에 표시됩니다.

5. 웹훅 URL을 복사하고 나중에 사용할 수 있도록 기록해 둡니다. 웹훅 대상으로 CrowdStrike 플랫폼에 입력해야 합니다.
   

지도 데이터

1. 데이터 매핑 섹션에서 JSON 샘플 업로드를 클릭합니다(CrowdStrike에서 가져온 샘플 사용).
2. Google Security Operations 필드를 CrowdStrike JSON 필드의 해당 필드에 매핑합니다. 예를 들어 필수 Google SecOps 알림 필드 StartTime의 경우 CrowdStrike 필드 Detections.Last.Update를 선택합니다. 이 값은 표현식 빌더에 표시됩니다. 자세한 내용은 표현식 빌더 사용하기를 참고하세요.
   이 필드를 추가로 세부 조정하기 위해 측면에 함수 (예: 날짜 형식)를 추가합니다.
3. Detections.Last.Format이 표현식 빌더에 표시되면 실행을 클릭하여 결과를 확인합니다.
   시작에 녹색 체크표시가 표시되어 필드가 매핑되었음을 나타냅니다.
4. 필요한 필드를 모두 매핑한 후 저장을 클릭하고 웹훅을 사용 설정합니다.

웹훅 테스트

테스트 영역에서는 웹훅의 엔드 투 엔드 기능을 테스트하고 자세한 오류 설명을 제공합니다. 

1. 테스트 탭에서 웹훅 URL을 복사합니다.
2. 관련 데이터가 포함된 JSON 파일을 업로드합니다.
3. 실행을 클릭합니다. 결과가 출력과 함께 표시됩니다.

사용 사례: CrowdStrike 플랫폼 구성

이 사용 사례에서는 웹훅이 Google SecOps 플랫폼으로 알림을 수집하기 시작하도록 CrowdStrike의 단계를 안내합니다.

1. CrowdStrike Falcon 대시보드에서 Falcon 스토어로 이동하여 Webhooks 부가기능을 설치합니다.
2. Google SecOps 플랫폼에서 복사한 이름과 웹훅 URL로 웹훅을 구성하고 저장을 클릭합니다.
   
3. 워크플로 섹션으로 이동합니다.
4. 워크플로 만들기를 클릭합니다.
5. 새 감지와 같은 트리거를 선택하고 다음을 클릭합니다.
6. 작업 추가를 선택합니다.
7. 작업 맞춤설정 섹션의 작업 유형 메뉴에서 알림을 선택하고 작업 메뉴에서 웹훅 호출을 선택합니다.
8. 초기 단계에서 추가한 이름과 모든 필수 입력란을 선택한 다음 Finish를 클릭합니다.