設定 Webhook

Webhook 是一種輕量型解決方案，可將貴機構的快訊匯入 Google Security Operations SOAR 平台。

透過 Webhook 擷取的快訊會顯示在平台中，資訊與透過連接器擷取的快訊相同。

為避免建立重複案件，Google 建議使用來自相同來源的連接器或 Webhook，但不要同時使用兩者。

Webhook 最適合需要基本對應邏輯的情境，連接器則更適合進階且彈性的對應。

設定 Webhook 來擷取快訊

以下應用情境著重於使用 CrowdStrike 做為擷取快訊的平台。

如要設定 Webhook 來擷取快訊，請按照下列步驟操作：

1. 依序前往「SOAR 設定」>「擷取」>「Webhook」。
2. 按一下「新增」 新增傳入 Webhook。
3. 輸入新 Webhook 的名稱，然後選擇環境。
4. 按一下 [儲存]。
本範例使用 CrowdStrike。
儲存後，這項資訊會顯示在主要頁面。

5. 複製 Webhook 網址並記下，以供日後使用。您需要這個網址，才能在 CrowdStrike 平台中輸入網址做為 Webhook 目的地。
   

地圖資料

1. 在「資料對應」部分，按一下「上傳 JSON 範例」(使用從 CrowdStrike 取得的範例)。
2. 將 Google Security Operations 欄位對應至 CrowdStrike JSON 欄位中的對應欄位。舉例來說，如果是必填的 Google SecOps 警報「StartTime」欄位，請選取 CrowdStrike 欄位「Detections.Last.Update」。這會顯示在運算式建構工具中。詳情請參閱「使用運算式產生器」。
   在側邊新增函式，進一步調整這個欄位，例如「日期格式」。
3. 「運算式產生器」中顯示 Detections.Last.Format 後，請按一下「執行」查看結果。
   「開始」會顯示綠色勾號，表示欄位已對應。
4. 對應所有必要欄位後，請按一下「儲存」，然後啟用 Webhook。

測試 Webhook

您可以在「測試」區域測試 Webhook 的端對端功能，並查看詳細的錯誤說明。

1. 在「測試」分頁中，複製 webhook 網址。
2. 上傳含有相關資料的 JSON 檔案。
3. 按一下「執行」。結果會與輸出內容一起顯示。

使用案例：設定 CrowdStrike 平台

本使用案例會逐步說明如何在 CrowdStrike 中設定 Webhook，開始將快訊擷取至 Google SecOps 平台。

1. 在 CrowdStrike Falcon 資訊主頁中，前往 Falcon 商店並安裝 Webhooks 外掛程式。
2. 使用您從 Google SecOps 平台複製的名稱和 Webhook 網址設定 Webhook，然後按一下「儲存」。
   
3. 前往「工作流程」部分。
4. 按一下「建立工作流程」。
5. 選取觸發條件 (例如「新偵測結果」)，然後點選「下一步」。
6. 選取「新增動作」。
7. 在「自訂動作」部分，從「動作類型」選單中選取「通知」，然後從「動作」選單中選取「呼叫 Webhook」。
8. 選取您在初始步驟中新增的名稱和所有必要欄位，然後按一下「完成」。