Configurar um webhook

Compatível com:

Os webhooks são uma solução leve para ingerir alertas da sua organização na plataforma SOAR do Google Security Operations. 

Os alertas ingeridos por webhook aparecem na plataforma com as mesmas informações dos alertas ingeridos usando conectores.

O Google recomenda usar um conector ou um webhook da mesma origem, mas não os dois, para evitar a criação de casos duplicados.

Os webhooks são mais adequados para cenários que exigem uma lógica de mapeamento básica, enquanto os conectores são melhores para mapeamentos avançados e flexíveis.

Configurar um webhook para ingerir alertas

O caso de uso a seguir se concentra no uso do CrowdStrike como a plataforma para ingerir alertas.

Para configurar um webhook e ingerir alertas, siga estas etapas:

  1. Acesse Configurações do SOAR > Ingestão > Webhooks.
  2.  Clique em add Adicionar webhook de entrada.
  3. Insira um nome para o novo webhook e escolha um ambiente.
  4. Clique em Salvar.
    5. Este exemplo usa o CrowdStrike.
    Depois de salvar, ele aparece na página principal.
  5. Copie o URL do webhook e anote para usar depois. Você vai precisar dele para inserir na plataforma CrowdStrike como o destino do webhook.

Dados do mapa

  1. Na seção Mapeamento de dados, clique em Fazer upload de uma amostra JSON (use a amostra coletada do CrowdStrike).
  2. Mapeie os campos do Google Security Operations com os campos correspondentes nos campos JSON do CrowdStrike. Por exemplo, no campo obrigatório do alerta do Google SecOps StartTime, selecione o campo do CrowdStrike Detections.Last.Update. Isso aparece no criador de expressões. Para mais informações, consulte Usar o Criador de expressões.
    Adicione uma função (ao lado) para refinar ainda mais esse campo, por exemplo, Formato da data.
  3. Quando Detections.Last.Format aparecer no Criador de expressões, clique em Executar para ver os resultados.
    O Início aparece com uma marca de seleção verde, indicando que o campo está mapeado.
  4. Depois de mapear todos os campos necessários, clique em Salvar e ative o webhook.

Testar o webhook

A área Teste permite testar a funcionalidade completa do webhook e fornece descrições detalhadas de erros. 

  1. Na guia Teste, copie o URL do webhook.
  2. Faça upload de um arquivo JSON com os dados relevantes.
  3. Clique em Executar. Os resultados aparecem junto com a saída.

Caso de uso: configurar a plataforma CrowdStrike

Este caso de uso mostra as etapas no CrowdStrike para que o webhook comece a ingerir alertas na plataforma Google SecOps.

  1. No painel do CrowdStrike Falcon, acesse a Falcon Store e instale o complemento Webhooks.
  2. Configure o webhook com o nome e o URL que você copiou da plataforma Google SecOps e clique em Salvar.
  3. Acesse a seção Fluxos de trabalho.
  4. Clique em Criar um fluxo de trabalho.
  5. Selecione um gatilho, como Nova detecção, e clique em Próxima.
  6. Selecione Adicionar ação.
  7. Na seção Personalizar ação, selecione Notificações no menu Tipo de ação e Chamar webhook no menu Ação.
  8. Selecione o nome que você adicionou na etapa inicial e todos os campos necessários. Depois, clique em Concluir.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.