Utiliser Google SecOps Marketplace (SOAR uniquement)
Le Google SecOps Marketplace sert de boîte à outils aux clients. Il propose un large éventail d'utilitaires et d'options, y compris :
Intégrations : inclut les intégrations à des applications tierces et les intégrations personnalisées que vous avez créées dans l'IDE. Dans tous les cas, vous devez les installer sur cet écran. Pour ceux qui nécessitent une configuration avancée, vous devez les configurer sur l'écran "Intégrations" à l'aide de l'icône en forme de roue dentée.
Cas d'utilisation : il s'agit de workflows de playbooks prédéfinis à intégrer aux produits de sécurité de l'organisation pour automatiser le processus de réponse aux incidents et optimiser votre installation Google SecOps. Ils incluent des cas d'utilisation prédéfinis de Google SecOps et des cas d'utilisation importés par les clients pour tester les fonctionnalités de Google SecOps ou les intégrer à leurs propres cas d'utilisation.
Power-Ups : outils créés par les services professionnels Google SecOps qui permettent aux clients d'automatiser les processus pour des playbooks plus efficaces.
Configurer les intégrations
Il existe trois types d'intégrations dans Google SecOps Marketplace :
- Commerciales : intégrations à des applications tierces développées par Google SecOps (y compris les nouvelles et celles qui ont été mises à jour)
- Communauté : intégrations publiées par les utilisateurs (qui ont été validées par Google SecOps et qui s'affichent avec les informations sur l'utilisateur à côté)
- Personnalisé : intégrations que vous avez créées et qui ne s'affichent que sur votre Google SecOps Marketplace
Filtrer les intégrations
Vous pouvez afficher les intégrations par type (par exemple, les intégrations personnalisées publiées par les utilisateurs) ou par état (par exemple, les intégrations installées ou celles pour lesquelles une mise à jour est disponible).
Les intégrations qui n'ont pas encore été installées sont indiquées par une flèche vers le bas en bas à droite de la boîte.
Cliquez ici pour installer l'intégration. Pour en savoir plus sur l'installation et la configuration d'une intégration, cliquez ici.
Cas d'utilisation
Les cas d'utilisation vous permettent de réduire le délai de rentabilité et de découvrir comment les experts Google SecOps ou les utilisateurs de la communauté font face à une attaque spécifique ou à tout autre défi lié au SOC.
Chaque cas d'utilisation contient des éléments pertinents tels que des intégrations, des playbooks, etc. afin de simuler un workflow complet de bout en bout. Après avoir déployé l'un de ces cas d'utilisation, vous pouvez choisir de le simuler dans l'onglet "Cas". Vous pouvez également configurer le connecteur et/ou modifier le playbook d'un cas d'utilisation prédéfini, puis l'exécuter sur des données réelles.
Les actions suivantes peuvent être effectuées à partir de cet écran :
Créer un cas d'utilisation : vous pouvez créer votre propre cas d'utilisation avec des playbooks, des scénarios de test et des connecteurs. Cliquez sur "Enregistrer" pour l'enregistrer localement dans votre Google SecOps Marketplace uniquement. Vous pouvez également l'exporter.
Publier un cas d'utilisation : cliquez sur cette option pour que votre cas d'utilisation soit publié pour tous les utilisateurs. Une fois le fichier importé, il est envoyé à une équipe Google SecOps dédiée qui l'analysera et l'ajoutera au dépôt de cas d'utilisation pour que tous les clients et membres de la communauté puissent l'utiliser. L'objectif de cette option est d'encourager tous nos clients à partager des playbooks et des cas d'utilisation qui peuvent aider d'autres utilisateurs à progresser avec Google SecOps. Vous pouvez modifier votre photo et vos informations utilisateur ici avant de les envoyer. Ces identifiants seront publiés pour tous les utilisateurs.
Importer un cas d'utilisation : utile pour importer des données depuis d'autres plates-formes, comme Staging.
Bonus
Les outils Google SecOps vous permettent d'améliorer vos playbooks grâce à des actions intégrées appelées optimisations. Les fonctionnalités avancées ne nécessitent aucune configuration spéciale, car elles sont incluses dans Google SecOps. Pour en savoir plus sur les fonctionnalités de chaque complément, cliquez sur En savoir plus.
Configurer les intégrations
- Une fois l'intégration téléchargée, cliquez sur Paramètres pour configurer chaque intégration dans un environnement par défaut.
- Cliquez sur Paramètres pour ouvrir la fenêtre de configuration. Vous y trouverez tous les champs obligatoires pour établir une connexion avec le produit.
- Configurer une intégration pour une autre instance :
- Accédez à Integrations > Shared Instances (Intégrations > Instances partagées).
- Sélectionnez l'instance que vous souhaitez associer à l'intégration.
-
Une fois configurées, vous pouvez utiliser les instances dans les playbooks. Pour en savoir plus sur les instances Google SecOps, consultez Prise en charge de plusieurs instances.
Pour en savoir plus sur toutes les intégrations Google SecOps Marketplace, consultez Intégrations de réponse.
Remplacement de l'ontologie
Lorsque vous installez ou mettez à niveau une intégration, une boîte de dialogue s'affiche à l'écran pour vous demander si vous souhaitez remplacer l'ontologie actuelle par celle fournie dans la nouvelle intégration ou conserver le mappage existant.
Le remplacement de l'ontologie remplace complètement le mappage existant. Tous les mappages existants (source, produit, type d'événement) sont remplacés par ceux de la nouvelle intégration, y compris les modifications personnalisées. Si vous avez apporté des modifications importantes à l'ontologie pour répondre à vos besoins spécifiques, vous pouvez refuser le remplacement et conserver le mappage existant dans son intégralité.
Si vous le souhaitez, vous pouvez exporter les règles de mappage d'ontologie existantes pour cette intégration spécifique en tant que sauvegarde avant de les remplacer. Consultez également État de l'ontologie.
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.