Erste Schritte mit Google Security Operations SOAR

Bevor Sie mit der Arbeit auf der Google SecOps SOAR-Plattform beginnen, müssen Sie die grundlegenden Konzepte verstehen, die die Grundlage unserer Dokumentation bilden.

Connectors

Connectors sind die Datenaufnahmepunkte für Benachrichtigungen  in Google SecOps SOAR. Ihr primäres Ziel ist es, Rohdaten von Drittanbietertools in normalisierte Google SecOps SOAR-Daten zu übersetzen. Der Connector ruft Benachrichtigungen (oder entsprechende Daten) von Drittanbietertools ab, die dann an die Datenverarbeitungsebene weitergeleitet werden.

Vorgänge, Benachrichtigungen und Ereignisse

• Vorgang: Der Container der obersten Ebene, der aus einem oder mehreren Warnungen besteht, die aus verschiedenen Quellen über die Connectors aufgenommen werden.
• Benachrichtigung: Eine Sicherheitsbenachrichtigung, die ein oder mehrere Sicherheitsereignisse enthält.
• Entitäten: Nach der Aufnahme werden diese Ereignisse von der Plattform analysiert. Die zugehörigen Indikatoren (IOCs, Ziele, Artefakte) werden extrahiert und in dynamische Objekte namens Entitäten übersetzt.

Entitäten und Ontologie

Entitäten sind dynamische Objekte, die extrahierte Points of Interest (Indicators of Compromise [IoC], Nutzerkonten, IP-Adressen) aus einer Benachrichtigung darstellen.

Entitäten sind wichtig, weil sie Folgendes ermöglichen:

• Automatisches Tracking des Verlaufs.
• Gruppierung ähnlicher Warnungen ohne manuellen Eingriff
• Suche nach schädlichen Aktivitäten auf Grundlage von Beziehungen.

Entitätserstellung (Zuordnung und Modellierung)

Um die Einheiten und ihre Verbindung auf der Plattform visuell darzustellen, ist eine Konfiguration der Ontologie erforderlich, die das Zuordnen und Modellieren umfasst. Dabei wählen Sie die visuelle Darstellung von Benachrichtigungen und die Entitäten aus, die daraus extrahiert werden sollen.

Google SecOps SOAR bietet standardmäßig grundlegende Ontologieregeln für die meisten gängigen SIEM-Produkte. Weitere Informationen finden Sie unter Übersicht über die Ontologie.

Entitäten in Google SecOps SOAR erstellen

Beim Zuordnen und Modellieren wird definiert, wie Entitäten in einem Fall (Ontologie) erstellt und visuell verbunden werden. Dieser Vorgang wird einmal ausgeführt, wenn ein neuer Benachrichtigungstyp zum ersten Mal aufgenommen wird:

• Sie definiert die visuelle Darstellung von Benachrichtigungen und welche Einheiten extrahiert werden sollen.
• Damit werden Entitätseigenschaften festgelegt, z. B. ob eine Entität intern oder extern (basierend auf der Konfiguration) oder schädlich (basierend auf Playbook-Ergebnissen) ist.

Google SecOps SOAR bietet standardmäßig grundlegende Ontologieregeln für die meisten gängigen SIEM-Produkte.

Weitere Informationen zum Zuordnen und Modellieren finden Sie unter Entitäten erstellen (Zuordnung und Modellierung).

Mit Mapping und Modellierung können Sie die Eigenschaften einer Identität definieren, z. B. ob sie intern oder extern ist oder ob sie als böswillig gilt. Der interne oder externe Status einer Entität wird durch die Einstellungen der Plattform bestimmt. Der schädliche Status wird vom Produkt bestimmt, das im Playbook ausgeführt wird. Der Zweck von Zuordnung und Modellierung besteht darin, wichtige Details wie die Quelle, den Zeitstempel und den Typ der Daten anzugeben.

Die Zuordnung und Modellierung erfolgt einmalig, wenn Daten zum ersten Mal aufgenommen werden. Danach wendet das System die relevanten Regeln auf jeden neuen eingehenden Fall an. werden. 

Playbooks

Ein Playbook ist ein Automatisierungsprozess, der durch eine vordefinierte Bedingung ausgelöst werden kann. Sie können beispielsweise ein Playbook für jede Benachrichtigung auslösen, die den Produktnamen „Mail“ enthält. Wenn das Playbook ausgelöst wird, wird es an jede Benachrichtigung angehängt, die aus diesem Produkt in Google SecOps SOAR aufgenommen wird.

Außerdem führt er eine Reihe von Aktionen basierend auf einem definierten Baum von Bedingungen (Abläufen) aus:

• Aktionen werden so konfiguriert, dass sie manuell oder automatisch für die Entitäten des Benachrichtigungsbereichs ausgeführt werden.
• Aktionen werden in einer bestimmten Reihenfolge ausgeführt, bis eine endgültige Lösung für die auslösende Benachrichtigung erreicht ist.

Sie können beispielsweise die Aktion VirusTotal – URL scannen so konfigurieren, dass sie nur für einen bestimmten Entitätstyp, z. B. URL-Entitäten, automatisch ausgeführt wird.

Umgebungen

Umgebungen sind logische Container, die zur Datentrennung verwendet werden.

• Administratoren können verschiedene Umgebungen definieren und Plattformnutzer einer oder mehreren Umgebungen zuweisen.
• Nutzer können nur Fälle und zugehörige Informationen aus den Umgebungen sehen, denen sie zugewiesen sind.
• Einige Nutzerrollen haben Zugriff auf alle Umgebungen und damit vollen Zugriff auf alle aktuellen und zukünftigen Daten auf der Plattform.