Utilizzare Google SecOps Marketplace (solo SOAR)

Supportato in:

Nota: questo documento è pertinente per i clienti che utilizzano la piattaforma SOAR autonoma Google SecOps.

Google SecOps Marketplace funge da cassetta degli attrezzi del cliente, contenente un'ampia gamma di utilità e opzioni tra cui scegliere, tra cui:

Integrazioni: include le integrazioni con applicazioni di terze parti e le integrazioni personalizzate che hai creato nell'IDE. In tutti i casi, devi installarli in questa schermata e, per quelli che richiedono una configurazione avanzata, devi configurarli nella schermata Integrazioni tramite l'icona a forma di ingranaggio.

Casi d'uso: si tratta di flussi di lavoro playbook predefiniti da integrare nei prodotti di sicurezza dell'organizzazione per il processo IR automatizzato e per ottimizzare l'installazione di Google SecOps. Sono inclusi casi d'uso predefiniti di Google SecOps e casi d'uso caricati dai clienti per testare la funzionalità di Google SecOps o incorporarla nei tuoi casi d'uso. 

Potenziamenti: inclusi strumenti creati da Google SecOps Professional Services che migliorano la capacità dei clienti di automatizzare i processi per playbook più efficienti.

Configura le integrazioni

Nel Google SecOps Marketplace sono disponibili tre tipi di integrazioni:

  • Commerciali: integrazioni con applicazioni di terze parti sviluppate da Google SecOps, incluse quelle nuove e aggiornate
  • Community: integrazioni pubblicate dagli utenti (che sono state convalidate da Google SecOps e che verranno visualizzate con i dettagli dell'utente accanto)
  • Personalizzate: integrazioni che hai creato e che vengono visualizzate solo nel tuo Google SecOps Marketplace

Filtrare le integrazioni

Puoi visualizzare le integrazioni in base al tipo (ad esempio, mostrare le integrazioni personalizzate pubblicate dagli utenti) o allo stato (ad esempio, installate, aggiornamento disponibile).
Le integrazioni che non sono ancora state installate hanno una freccia verso il basso in basso a destra della casella.
Fai clic su questo pulsante per installare correttamente l'integrazione. Per informazioni dettagliate sull'installazione e la configurazione di un'integrazione, vedi qui.

Casi d'uso

I casi d'uso migliorano la tua capacità di ridurre il time-to-value e di vedere come gli esperti di Google SecOps o gli utenti della community affrontano un attacco specifico o qualsiasi altra sfida del SOC.
Ogni caso d'uso contiene elementi pertinenti come integrazioni, playbook e così via per simulare un intero flusso di lavoro end-to-end. Dopo aver implementato uno di questi casi d'uso, puoi scegliere di simularlo nella scheda Casi. Inoltre, puoi configurare il connettore e/o modificare il playbook di casi d'uso predefiniti ed eseguirlo su dati reali.

Dalla schermata è possibile eseguire le seguenti azioni:
Crea nuovo caso d'uso: puoi creare il tuo caso d'uso con playbook, scenari di test e connettori. Fai clic su Salva per salvarlo localmente solo nel Google SecOps Marketplace. Puoi anche esportarlo.
Pubblica caso d'uso: fai clic su questa opzione per pubblicare il caso d'uso per tutti gli utenti. Una volta caricato, viene inviato a un team Google SecOps dedicato che lo analizzerà e lo aggiungerà al repository dei casi d'uso per tutti i clienti e i membri della community. L'obiettivo di questa opzione è incoraggiare tutti i nostri clienti a condividere playbook e casi d'uso che possano aiutare altri nel loro percorso con Google SecOps. Puoi modificare la foto e i dettagli utente qui prima di inviarli. Questi identificatori verranno pubblicati per tutti gli utenti.
Importa caso d'uso: utile per l'importazione da altre piattaforme come Staging.

Potenziamenti

Gli strumenti Google SecOps ti consentono di migliorare i playbook con azioni integrate note come potenziamenti. I power-up non richiedono alcuna configurazione speciale, in quanto sono inclusi in Google SecOps. In ogni potenziamento, fai clic su Scopri di più per scoprire le sue funzionalità.

Configura le integrazioni

  1. Dopo aver scaricato l'integrazione, fai clic su Impostazioni per configurare ogni integrazione in un ambiente predefinito.
  2. Fai clic su Impostazioni per aprire la finestra di configurazione, dove puoi visualizzare tutti i campi obbligatori necessari per creare una connessione riuscita con il prodotto.
  3. Configura un'integrazione per un'altra istanza:
    1. Vai a Integrazioni > Istanze condivise.
    2. Seleziona l'istanza che vuoi associare all'integrazione.
  4. Una volta configurate, puoi utilizzare le istanze nei playbook. Per saperne di più sulle istanze Google SecOps, consulta la sezione Supporto di più istanze.

Per informazioni dettagliate su tutte le integrazioni di Google SecOps Marketplace, consulta Integrazioni di risposta.

Override ontologia

Quando installi o esegui l'upgrade di un'integrazione, una finestra di dialogo sullo schermo ti chiede se vuoi sostituire l'ontologia corrente con quella fornita nella nuova integrazione o mantenere il mapping esistente.

L'override dell'ontologia sostituisce completamente il mapping esistente. Tutte le mappature esistenti (origine, prodotto, tipo di evento) vengono sovrascritte con quelle corrispondenti della nuova integrazione, incluse eventuali modifiche personalizzate. Se hai apportato modifiche significative all'ontologia per le tue esigenze specifiche, puoi rifiutare l'override e conservare la mappatura esistente nella sua interezza.

Se vuoi, puoi esportare le regole di mappatura dell'ontologia esistenti per questa integrazione specifica come backup prima di eseguire l'override. Vedi anche Stato ontologia.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.