使用 Google SecOps Marketplace(仅限 SOAR)
Google SecOps Marketplace 就像客户的工具箱,其中包含各种实用程序和选项,可供客户选择,包括:
集成:包括与第三方应用的集成以及您在 IDE 中构建的自定义集成。在任何情况下,您都需要在此界面中安装它们,然后对于需要高级配置的集成,您需要在“集成”界面中通过齿轮图标进行配置。
使用情形:这些是预构建的剧本工作流,可集成到组织安全产品中,以实现自动化 IR 流程并优化 Google SecOps 安装。其中包括 Google SecOps 的预定义用例和客户上传的用例,可用于试用 Google SecOps 功能或纳入您自己的用例。
增强功能:包括 Google SecOps 专业服务创建的工具,可增强客户自动执行流程的能力,从而实现更高效的剧本。
配置集成
您可以在 Google SecOps Marketplace 中看到以下三种类型的集成:
- 商业 - 由 Google SecOps 开发的第三方应用集成(包括新的和更新的集成)
- 社区 - 用户发布的集成(已通过 Google SecOps 验证,旁边会显示用户详细信息)
- 自定义 - 您创建的集成,仅显示在您的 Google SecOps Marketplace 上
过滤集成
您可以按集成类型(例如,显示用户发布的自定义集成)或状态(例如,已安装、有可用更新)显示集成。
尚未安装的集成会在方框的右下角显示一个向下箭头。
点击此按钮即可成功安装集成。如需详细了解如何安装和配置集成,请点击此处。
使用场景
借助用例,您可以缩短实现价值的时间,并了解 Google SecOps 专家或社区用户如何应对特定攻击或任何其他 SOC 挑战。
每个用例都包含相关项,例如集成、playbook 等,以便模拟完整的端到端工作流。部署其中一个使用情形后,您可以选择在“使用情形”标签页中模拟该使用情形。此外,您还可以配置预定义的用例的连接器和/或修改其 Playbook,并使用真实数据运行该用例。
您可以在此界面中执行以下操作:
创建新的使用情形:您可以创建自己的使用情形,其中包含 playbook、测试用例和连接器。点击“保存”即可仅在您的 Google SecOps Marketplace 中本地保存。您还可以导出该数据。
发布应用场景:点击此选项可将您的应用场景发布给所有用户。上传后,该用例会发送给专门的 Google SecOps 团队,他们会对其进行分析,并将其添加到用例代码库中,供所有客户和社区成员使用。此选项旨在鼓励所有客户分享 playbook 和用例,以帮助其他客户顺利使用 Google SecOps。您可以在此处修改照片和用户详细信息,然后再发送。这些标识符将面向所有用户发布。
导入使用情形:可用于从其他平台(例如 Staging)导入。
增强工具
借助 Google SecOps 工具,您可以使用称为增强工具的内置操作来增强 playbook。增强功能不需要任何特殊配置,因为它们是 Google SecOps 的一部分。在每个增强功能中,点击阅读更多内容即可了解其功能。
配置集成
- 下载集成后,点击 设置,以在默认环境下配置每个集成。
- 点击设置以打开配置窗口,您可以在其中查看成功连接产品所需的所有必填字段。
- 为其他实例配置集成:
- 前往集成 > 共享实例。
- 选择要与集成关联的实例。
-
配置完成后,您就可以在 Playbook 中使用这些实例了。如需详细了解 Google SecOps 实例,请参阅支持多个实例。
如需详细了解所有 Google SecOps Marketplace 集成,请参阅响应集成。
本体替换
当您安装或升级集成时,屏幕上的对话框会询问您是否要使用新集成中提供的本体替换当前本体,或者保留现有映射。
覆盖本体会完全替换现有映射。所有现有映射(来源、商品、事件类型)都会被新集成中的相应映射覆盖,包括任何自定义修改。 如果您根据自己的特定需求对本体进行了重大更改,可以拒绝覆盖,并完整保留现有映射。
如果您愿意,可以在替换之前导出相应特定集成现有的本体映射规则作为备份。另请参阅本体状态。
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。