Erste Schritte mit Google Security Operations SOAR

Bevor Sie mit der Arbeit auf der Google SecOps SOAR-Plattform beginnen, müssen Sie die grundlegenden Konzepte kennen, die die Grundlage unserer Dokumentation bilden.

Connectors

Connectors sind die Datenaufnahmepunkte für Benachrichtigungen  in Google SecOps SOAR. Ihr primäres Ziel ist es, Rohdaten von Sicherheitstools von Drittanbietern in normalisierte Google SecOps SOAR-Daten zu übersetzen. Der Connector ruft Benachrichtigungen oder entsprechende Daten aus Drittanbietertools ab und leitet sie an die Datenverarbeitungsebene weiter.

Fälle, Benachrichtigungen und Ereignisse

• Fall: Der Container der obersten Ebene, der aus einer oder mehreren Benachrichtigungen besteht, die mithilfe der Connectors aus verschiedenen Quellen aufgenommen wurden.
• Warnung: Eine Sicherheitsbenachrichtigung, die ein oder mehrere Sicherheitsereignisse enthält.
• Entitäten: Nach der Aufnahme analysiert die Plattform diese Ereignisse. Die zugehörigen Indikatoren (IOCs, Ziele, Artefakte) werden extrahiert und in dynamische Objekte namens Entitäten übersetzt.

Entitäten und Ontologie

Entitäten sind dynamische Objekte, die extrahierte POIs (Indicators of Compromise [IoC], Nutzerkonten, IP-Adressen) aus einer Benachrichtigung darstellen.

Entitäten sind wichtig, weil sie Folgendes ermöglichen:

• Automatisches Tracking des Verlaufs.
• Gruppierung ähnlicher Warnungen ohne manuellen Eingriff
• Auf der Grundlage von Beziehungen nach schädlichen Aktivitäten suchen.

Entitätserstellung (Zuordnung und Modellierung)

Um die Entitäten und ihre Verbindungen auf der Plattform visuell darzustellen, ist eine Konfiguration der Ontologie erforderlich, die das Zuordnen und Modellieren umfasst. Dabei wählen Sie die visuelle Darstellung von Benachrichtigungen und die Entitäten aus, die daraus extrahiert werden sollen.

Google SecOps SOAR bietet standardmäßig grundlegende Ontologieregeln für die meisten gängigen SIEM-Produkte. Weitere Informationen finden Sie unter Übersicht über die Ontologie.

Entitäten in Google SecOps SOAR erstellen

Durch die Zuordnung und Modellierung wird definiert, wie Entitäten in einem Fall (Ontologie) erstellt und visuell verbunden werden. Dieser Vorgang wird einmal ausgeführt, wenn ein neuer Benachrichtigungstyp zum ersten Mal aufgenommen wird:

• Sie definiert die visuelle Darstellung von Benachrichtigungen und welche Entitäten extrahiert werden sollen.
• Damit werden Entitätseigenschaften festgelegt, z. B. ob eine Entität intern oder extern ist (basierend auf der Konfiguration) oder schädlich ist (basierend auf den Playbook-Ergebnissen).

Google SecOps SOAR bietet standardmäßig grundlegende Ontologieregeln für die meisten gängigen SIEM-Produkte.

Weitere Informationen zum Zuordnen und Modellieren finden Sie unter Entitäten erstellen (Zuordnung und Modellierung).

Mit Mapping und Modellierung können Sie die Eigenschaften einer Identität definieren, z. B. ob sie intern oder extern ist oder ob sie als schädlich gilt. Der interne oder externe Status einer Entität wird durch die Einstellungen der Plattform bestimmt. Der schädliche Status wird vom Produkt bestimmt, das im Playbook ausgeführt wird. Mit der Zuordnung und Modellierung werden wichtige Details wie die Quelle, der Zeitstempel und der Typ der Daten angegeben.

Die Zuordnung und Modellierung erfolgt einmalig, wenn Daten zum ersten Mal aufgenommen werden. Danach wendet das System die relevanten Regeln auf jeden neuen eingehenden Fall an. Zugriff ermöglichen, die ihn benötigen. 

Playbooks

Ein Playbook ist ein Automatisierungsprozess, der durch eine vordefinierte Bedingung ausgelöst werden kann. Sie können beispielsweise ein Playbook für jede Benachrichtigung auslösen, die den Produktnamen „Mail“ enthält. Wenn das Playbook ausgelöst wird, wird es an jede Benachrichtigung angehängt, die aus diesem Produkt in Google SecOps SOAR aufgenommen wird.

Außerdem werden eine Reihe von Aktionen basierend auf einem definierten Baum von Bedingungen (Abläufen) ausgeführt:

• Aktionen werden so konfiguriert, dass sie manuell oder automatisch für den Umfang der Entitäten der Benachrichtigung ausgeführt werden.
• Aktionen werden in einer bestimmten Reihenfolge ausgeführt, bis eine endgültige Lösung für die auslösende Benachrichtigung erreicht ist.

Sie können beispielsweise die Aktion VirusTotal – URL scannen so konfigurieren, dass sie nur für einen bestimmten Entitätstyp, z. B. URL-Entitäten, automatisch ausgeführt wird.

Umgebungen

Umgebungen sind logische Container, die zur Datentrennung verwendet werden.

• Administratoren können verschiedene Umgebungen definieren und Plattformnutzer einer oder mehreren Umgebungen zuweisen.
• Nutzer können nur Fälle und zugehörige Informationen aus den Umgebungen sehen, denen sie zugewiesen sind.
• Einige Nutzerrollen haben Zugriff auf alle Umgebungen und damit vollen Zugriff auf alle aktuellen und zukünftigen Daten auf der Plattform.