Google SecOps Marketplace を使用する(SOAR のみ)
Google SecOps Marketplace は、お客様のツールボックスとして機能し、次のような幅広いユーティリティとオプションを提供します。
統合: サードパーティ アプリケーションとの統合や、IDE で構築したカスタム統合が含まれます。いずれの場合も、この画面でインストールする必要があります。高度な構成が必要な場合は、歯車アイコンから [インテグレーション] 画面で構成する必要があります。
ユースケース: 事前構築されたプレイブック ワークフローで、組織のセキュリティ プロダクトに統合して IR プロセスを自動化し、Google SecOps のインストールを最適化します。これには、Google SecOps の事前定義されたユースケースと、Google SecOps の機能をテストドライブしたり、独自のユースケースに組み込んだりするためにユーザーがアップロードしたユースケースが含まれます。
Power Ups: Google SecOps Professional Services が作成したツールなど。お客様がプロセスを自動化して、より効率的な Playbook を作成できるようにします。
インテグレーションを構成する
Google SecOps Marketplace には、次の 3 種類の統合が表示されます。
- 商用 - Google SecOps によって開発されたサードパーティ アプリケーションとの統合(新規および更新を含む)
- コミュニティ - ユーザーが公開したインテグレーション(Google SecOps によって検証済みで、ユーザーの詳細が横に表示されます)
- カスタム - ユーザーが作成した統合で、Google SecOps Marketplace にのみ表示されます。
統合のフィルタリング
統合は、統合タイプ(ユーザーが公開したカスタム統合など)またはステータス(インストール済み、更新可能など)で表示できます。
まだインストールされていないインテグレーションには、ボックスの右下に下向き矢印が表示されます。
これをクリックして、統合を正常にインストールします。統合のインストールと構成の詳細については、こちらをご覧ください。
ユースケース
ユースケースを使用すると、価値実現までの時間を短縮し、Google SecOps の専門家やコミュニティ ユーザーが特定の攻撃やその他の SOC の課題にどのように取り組んでいるかを確認できます。
各ユースケースには、統合やハンドブックなどの関連アイテムが含まれており、ワークフロー全体をエンドツーエンドでシミュレートできます。これらのユースケースのいずれかをデプロイした後、[ケース] タブでシミュレートできます。また、事前定義されたユースケースのコネクタを構成したり、プレイブックを編集して、実際のデータで実行したりすることもできます。
この画面から次の操作を実行できます。
新しいユースケースを作成: プレイブック、テストケース、コネクタを使用して独自のユースケースを作成できます。[保存] をクリックして、Google SecOps Marketplace にのみローカルに保存します。エクスポートすることもできます。
ユースケースを公開: このオプションをクリックすると、ユースケースがすべてのユーザーに公開されます。アップロードされると、専用の Google SecOps チームに送信され、分析されて、すべてのユーザーとコミュニティ メンバーが使用できるようにユースケース リポジトリに追加されます。このオプションの目的は、Google SecOps の導入で他のユーザーの役に立つプレイブックやユースケースを共有するよう、すべてのお客様に促すことです。ここで写真とユーザーの詳細を変更してから送信できます。これらの識別子はすべてのユーザーに公開されます。
ユースケースをインポート: ステージングなどの他のプラットフォームからインポートする場合に便利です。
パワーアップ
Google SecOps ツールを使用すると、パワーアップと呼ばれる組み込みのアクションでハンドブックを強化できます。パワーアップは Google SecOps の一部として含まれているため、特別な構成は必要ありません。各パワーアップで [詳細] をクリックすると、その機能を確認できます。
インテグレーションを構成する
- 統合をダウンロードしたら、 [設定] をクリックして、デフォルト環境で各統合を構成します。
- [設定] をクリックして設定ウィンドウを開きます。このウィンドウには、プロダクトとの接続を確立するために必要なすべてのフィールドが表示されます。
- 別のインスタンスの統合を構成します。
- [Integrations] > [Shared Instances] に移動します。
- インテグレーションに関連付けるインスタンスを選択します。
-
構成が完了すると、インスタンスはハンドブックで使用できます。Google SecOps インスタンスの詳細については、複数のインスタンスのサポートをご覧ください。
Google SecOps Marketplace のすべての統合の詳細については、レスポンス統合をご覧ください。
オントロジーのオーバーライド
インテグレーションをインストールまたはアップグレードすると、新しいインテグレーションで提供されるオントロジーで現在のオントロジーをオーバーライドするか、既存のマッピングを保持するかを尋ねるダイアログが画面に表示されます。
オントロジーをオーバーライドすると、既存のマッピングが完全に置き換えられます。既存のマッピング(ソース、プロダクト、イベントタイプ)はすべて、新しい統合の対応するマッピングで上書きされます(カスタム変更も含まれます)。特定のニーズに合わせてオントロジーを大幅に変更した場合は、オーバーライドを拒否して、既存のマッピングを完全に保持できます。
必要に応じて、オーバーライドする前に、その特定のインテグレーションの既存のオントロジー マッピング ルールをバックアップとしてエクスポートできます。オントロジーのステータスもご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。