Google SecOps Marketplace verwenden (nur SOAR)

Hinweis: Dieses Dokument ist für Kunden relevant, die die eigenständige SOAR-Plattform von Google SecOps verwenden.

Der Google SecOps Marketplace ist das Toolset des Kunden und bietet eine Vielzahl von Dienstprogrammen und Optionen, darunter:

Integrationen: Hierzu gehören Integrationen in Drittanbieter-Apps und benutzerdefinierte Integrationen, die Sie in der IDE erstellt haben. In allen Fällen müssen Sie sie auf diesem Bildschirm installieren. Für diejenigen, die eine erweiterte Konfiguration erfordern, müssen Sie sie dann über das Zahnradsymbol auf dem Bildschirm „Integrationen“ konfigurieren.

Anwendungsfälle: Das sind vorgefertigte Playbook-Workflows, die in die Sicherheitsprodukte der Organisation integriert werden können, um den automatisierten IR-Prozess zu ermöglichen und Ihre Google SecOps-Installation zu optimieren. Sie umfassen vordefinierte Anwendungsfälle von Google SecOps und vom Kunden hochgeladene Anwendungsfälle, mit denen Sie die Google SecOps-Funktionen testen oder in Ihre eigenen Anwendungsfälle einbinden können. 

Power-ups: Dazu gehören Tools, die von Google SecOps Professional Services entwickelt wurden und mit denen Kunden Prozesse für effizientere Playbooks automatisieren können.

Integrationen konfigurieren

Im Google SecOps Marketplace gibt es drei Arten von Integrationen:

• Kommerziell: Integrationen in Drittanbieteranwendungen, die von Google SecOps entwickelt wurden, einschließlich neuer und aktualisierter Integrationen
• Community: Von Nutzern veröffentlichte Integrationen, die von Google SecOps validiert wurden und neben denen Nutzerdetails angezeigt werden.
• Benutzerdefiniert: Integrationen, die Sie erstellt haben und die nur in Ihrem Google SecOps Marketplace angezeigt werden

Integrationen filtern

Sie können die Integrationen nach Integrationstyp (z. B. benutzerdefinierte Integrationen, die von Nutzern veröffentlicht wurden) oder nach Status (z. B. installiert, verfügbares Update) anzeigen.
Bei Integrationen, die noch nicht installiert wurden, ist rechts unten im Feld ein Abwärtspfeil zu sehen.
Klicken Sie darauf, um die Integration zu installieren. Ausführliche Informationen zum Installieren und Konfigurieren einer Integration

Anwendungsbereiche

Mit Anwendungsfällen können Sie die Wertschöpfungszeit verkürzen und sehen, wie Google SecOps-Experten oder Community-Nutzer einen bestimmten Angriff oder eine andere SOC-Herausforderung angehen.
Jeder Anwendungsfall enthält relevante Elemente wie Integrationen, Playbooks usw., um einen vollständigen End-to-End-Workflow zu simulieren. Nachdem Sie einen dieser Anwendungsfälle bereitgestellt haben, können Sie ihn auf dem Tab „Fälle“ simulieren. Außerdem können Sie den Connector konfigurieren und/oder das Playbook eines vordefinierten Anwendungsfalls bearbeiten und mit echten Daten ausführen.

Auf diesem Bildschirm können Sie die folgenden Aktionen ausführen:
Neuen Anwendungsfall erstellen: Sie können einen eigenen Anwendungsfall mit Playbook(s), Testfall(en) und Connector(en) erstellen. Klicken Sie auf „Speichern“, um sie nur lokal in Ihrem Google SecOps Marketplace zu speichern. Sie können sie auch exportieren.
Anwendungsbereich veröffentlichen: Klicken Sie auf diese Option, um Ihren Anwendungsbereich für alle Nutzer zu veröffentlichen. Nach dem Hochladen wird es an ein spezielles Google SecOps-Team gesendet, das es analysiert und dem Use Case-Repository hinzufügt, damit alle Kunden und Community-Mitglieder es verwenden können. Ziel dieser Option ist es, alle unsere Kunden zu ermutigen, Playbooks und Anwendungsfälle zu teilen, die anderen bei der Nutzung von Google SecOps helfen können. Sie können Ihr Foto und Ihre Nutzerdetails hier vor dem Senden ändern. Diese Kennungen werden für alle Nutzer veröffentlicht.
Anwendungsbereich importieren: Nützlich für den Import von anderen Plattformen wie Staging.

Power-ups

Mit Google SecOps-Tools können Sie Ihre Playbooks mit integrierten Aktionen, sogenannten Power-ups, erweitern. Für die Power-ups ist keine spezielle Konfiguration erforderlich, da sie Teil von Google SecOps sind. Klicken Sie bei jedem Power-up auf Weitere Informationen, um mehr über die Funktionen zu erfahren.

Integrationen konfigurieren

1. Klicken Sie nach dem Herunterladen der Integration auf settingsEinstellungen, um jede Integration in einer Standardumgebung zu konfigurieren.
2. Klicken Sie auf settingsEinstellungen, um das Konfigurationsfenster zu öffnen. Dort sehen Sie alle erforderlichen Felder, die für eine erfolgreiche Verbindung mit dem Produkt benötigt werden.
3. Integration für eine andere Instanz konfigurieren:
1. Rufen Sie Integrationen > Gemeinsam genutzte Instanzen auf.
2. Wählen Sie die Instanz aus, die Sie mit der Integration verknüpfen möchten.
4. Nach der Konfiguration können Sie die Instanzen in Playbooks verwenden. Weitere Informationen zu Google SecOps-Instanzen finden Sie unter Mehrere Instanzen unterstützen.
   

Ausführliche Informationen zu allen Google SecOps Marketplace-Integrationen finden Sie unter Reaktionsintegrationen.

Ontologie überschreiben

Wenn Sie eine Integration installieren oder aktualisieren, werden Sie in einem Dialogfeld auf dem Bildschirm gefragt, ob Sie die aktuelle Ontologie mit der in der neuen Integration bereitgestellten Ontologie überschreiben oder die vorhandene Zuordnung beibehalten möchten.

Wenn Sie die Ontologie überschreiben, wird die vorhandene Zuordnung vollständig ersetzt. Alle vorhandenen Zuordnungen (Quelle, Produkt, Ereignistyp) werden mit den entsprechenden Zuordnungen aus der neuen Integration überschrieben, einschließlich aller benutzerdefinierten Änderungen. Wenn Sie die Ontologie für Ihre spezifischen Anforderungen erheblich geändert haben, können Sie die Überschreibung ablehnen und die vorhandene Zuordnung vollständig beibehalten.

Sie können die vorhandenen Regeln für die Ontologiezuordnung für diese bestimmte Integration als Sicherung exportieren, bevor Sie sie überschreiben. Siehe auch Ontologiestatus.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten