设置网络钩子

Webhook 是一种轻量级解决方案，可用于将组织中的提醒提取到 Google Security Operations SOAR 平台中。

通过 Webhook 提取的提醒与使用连接器提取的提醒在平台中显示的信息相同。

Google 建议您使用来自同一来源的连接器或 Webhook，但不要同时使用这两者，以免创建重复支持请求。

Webhook 最适合需要基本映射逻辑的场景，而连接器更适合高级且灵活的映射。

设置用于接收提醒的网络钩子

以下使用场景重点介绍了如何使用 CrowdStrike 作为接收提醒的平台。

如需设置用于接收提醒的网络钩子，请按以下步骤操作：

1. 前往 SOAR 设置 > 注入 > Webhook。
2. 点击 添加 添加传入的 Webhook。
3. 输入新 webhook 的名称，然后选择一个环境。
4. 点击保存。
此示例使用 CrowdStrike。
保存后，该链接会显示在主页上。

5. 复制网络钩子网址并记下，以备后用。您需要将此网址作为 Webhook 目标位置输入到 CrowdStrike 平台中。
   

地图数据

1. 在数据映射部分中，点击上传 JSON 样本（使用从 CrowdStrike 获取的样本）。
2. 将 Google Security Operations 字段与 CrowdStrike JSON 字段中的相应字段进行映射。例如，对于必需的 Google SecOps 提醒字段 StartTime，请选择 CrowdStrike 字段 Detections.Last.Update。这会显示在表达式构建器中。如需了解详情，请参阅使用表达式构建器。
   添加一个函数（在侧边）以进一步优化此字段，例如日期格式。
3. 在表达式构建器中看到 Detections.Last.Format 后，点击运行即可查看结果。
   开始显示为带有绿色对勾标记，表示该字段已映射。
4. 映射所有必需字段后，点击保存，然后启用 Webhook。

测试网络钩子

在测试区域，您可以测试 Webhook 的端到端功能，并查看详细的错误说明。

1. 在测试标签页中，复制网络钩子网址。
2. 上传包含相关数据的 JSON 文件。
3. 点击运行。结果会与输出一起显示。

使用情形：配置 CrowdStrike 平台

此使用情形将引导您完成 CrowdStrike 中的步骤，以便网络钩子开始将提醒提取到 Google SecOps 平台中。

1. 在 CrowdStrike Falcon 信息中心内，前往 Falcon 商店并安装 Webhook 加购项。
2. 使用您从 Google SecOps 平台复制的名称和网络钩子网址配置网络钩子，然后点击保存。
   
3. 前往工作流部分。
4. 点击创建工作流。
5. 选择触发器，例如新检测，然后点击下一步。
6. 选择添加操作。
7. 在自定义操作部分中，从操作类型菜单中选择通知，然后从操作菜单中选择调用 Webhook。
8. 选择您在初始步骤中添加的名称和所有必需字段，然后点击完成。