Configure um webhook

Compatível com:

Os Webhooks são uma solução simples para carregar alertas da sua organização para a plataforma SOAR do Google Security Operations. 

Os alertas carregados através de webhook são apresentados na plataforma com as mesmas informações que os alertas carregados através de conetores.

A Google recomenda a utilização de um conetor ou um webhook da mesma origem, mas não ambos, para evitar a criação de registos duplicados.

Os webhooks são ideais para cenários que requerem uma lógica de mapeamento básica, enquanto os conetores são melhores para um mapeamento avançado e flexível.

Configure um webhook para carregar alertas

O seguinte exemplo de utilização centra-se na utilização do CrowdStrike como a plataforma através da qual ingerir alertas.

Para configurar um webhook para carregar alertas, siga estes passos:

  1. Aceda a Definições do SOAR > Carregamento > Webhooks.
  2.  Clique em adicionar Adicionar webhook de entrada.
  3. Introduza um nome para o novo webhook e escolha um ambiente.
  4. Clique em Guardar.
    5. Este exemplo usa o CrowdStrike.
    Depois de guardar, aparece na página principal.
  5. Copie o URL do webhook e anote-o para utilização posterior. Precisa de o introduzir na plataforma CrowdStrike como destino do webhook.

Dados do mapa

  1. Na secção Mapeamento de dados, clique em Carregar exemplo JSON (use o exemplo retirado do CrowdStrike).
  2. Mapeie os campos do Google Security Operations com os campos correspondentes nos campos JSON do CrowdStrike. Por exemplo, para o campo obrigatório de alerta do Google SecOps StartTime, selecione o campo do CrowdStrike Detections.Last.Update. Isto aparece no criador de expressões. Para mais informações, consulte o artigo Use o criador de expressões.
    Adicione uma função (na lateral) para refinar ainda mais este campo, por exemplo, Formato de data.
  3. Quando o Detections.Last.Format aparecer no criador de expressões, clique em Executar para ver os resultados.
    O campo Início é apresentado com uma marca de verificação verde, o que indica que o campo está mapeado.
  4. Depois de mapear todos os campos necessários, clique em Guardar e, de seguida, ative o webhook.

Teste o webhook

A área Testes permite-lhe testar a funcionalidade integral do webhook e fornece descrições detalhadas dos erros. 

  1. No separador Testes, copie o URL do webhook.
  2. Carregue um ficheiro JSON com os dados relevantes.
  3. Clique em Executar. Os resultados são apresentados juntamente com o resultado.

Exemplo de utilização: configure a plataforma CrowdStrike

Este exemplo de utilização explica os passos no CrowdStrike para que o webhook comece a carregar alertas para a plataforma Google SecOps.

  1. No painel de controlo do CrowdStrike Falcon, aceda à Falcon Store e instale o suplemento Webhooks.
  2. Configure o webhook com o nome e o URL do webhook que copiou da plataforma Google SecOps e clique em Guardar.
  3. Aceda à secção Fluxos de trabalho.
  4. Clique em Criar um fluxo de trabalho.
  5. Selecione um acionador, como Nova deteção, e clique em Seguinte.
  6. Selecione Adicionar ação.
  7. Na secção Personalizar ação, selecione Notificações no menu Tipo de ação e selecione Chamar webhook no menu Ação.
  8. Selecione o nome que adicionou no passo inicial e todos os campos necessários e, de seguida, clique em Concluir.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.