Premiers pas avec Google Security Operations SOAR

Pour commencer à travailler dans la plate-forme Google SecOps SOAR, vous devez d'abord comprendre les concepts de base, qui constituent le fondement de notre documentation.

Connecteurs

Les connecteurs sont les points d'ingestion des données pour les alertes  dans Google SecOps SOAR. Leur objectif principal est de traduire les données de sécurité brutes provenant d'outils tiers en données Google SecOps SOAR normalisées. Le connecteur reçoit les alertes (ou les données équivalentes) des outils tiers, qui sont ensuite transmises à la couche de traitement des données.

Cas, alertes et événements

• Cas : conteneur de premier niveau, composé d'une ou de plusieurs alertes ingérées à partir de diverses sources à l'aide des connecteurs.
• Alerte : notification de sécurité contenant un ou plusieurs événements de sécurité.
• Entités : après l'ingestion, la plate-forme analyse ces événements, et leurs indicateurs (IOC, destinations, artefacts) sont extraits et traduits en objets dynamiques appelés entités.

Entités et ontologie

Les entités sont des objets dynamiques qui représentent les points d'intérêt extraits (indicateurs de compromission, comptes utilisateur, adresses IP) d'une alerte.

Les entités sont essentielles, car elles permettent :

• Suivi automatique de l'historique.
• Regroupement des alertes associées sans intervention manuelle.
• Détection des activités malveillantes en fonction des relations.

Création d'entités (mappage et modélisation)

Pour illustrer visuellement les entités et leur connexion dans la plate-forme, un processus de configuration de l'ontologie est nécessaire. Il implique le mappage et la modélisation. Au cours de ce processus, vous sélectionnez la représentation visuelle des alertes et les entités qui doivent en être extraites.

Google SecOps SOAR fournit des règles d'ontologie de base prêtes à l'emploi pour les produits SIEM les plus populaires. Pour en savoir plus, consultez Présentation de l'ontologie.

Créer des entités dans Google SecOps SOAR

Le processus de cartographie et de modélisation définit la manière dont les entités sont créées et connectées visuellement dans un cas (ontologie). Ce processus se produit une fois lorsqu'un nouveau type d'alerte est ingéré pour la première fois :

• Il définit la représentation visuelle des alertes et les entités à extraire.
• Il définit les propriétés des entités, par exemple si une entité est interne ou externe (en fonction de la configuration) ou malveillante (en fonction des résultats du playbook).

Google SecOps SOAR fournit des règles d'ontologie de base prêtes à l'emploi pour les produits SIEM les plus populaires.

Pour en savoir plus sur le mappage et la modélisation, consultez Créer des entités (mappage et modélisation).

Grâce au mappage et à la modélisation, vous pouvez définir les propriétés d'une entité, par exemple si elle est interne ou externe, ou si elle est considérée comme malveillante. L'état interne ou externe d'une entité est déterminé par les paramètres de la plate-forme. Son état malveillant est déterminé par le produit exécuté dans le playbook. L'objectif du mappage et de la modélisation est de spécifier des détails clés tels que la source, le code temporel et le type des données.

Le mappage et la modélisation ont lieu une seule fois, lors de la première ingestion des données. Ensuite, le système applique les règles pertinentes à chaque nouvelle demande entrante. nous pouvons le modifier. 

Guides

Un playbook est un processus d'automatisation qui peut être déclenché par une condition prédéfinie. Par exemple, vous pouvez déclencher un playbook pour chaque alerte contenant le nom du produit "Mail". Lorsqu'il est déclenché, le playbook est associé à chaque alerte ingérée dans Google SecOps SOAR à partir de ce produit.

Il exécute également une série d'actions en fonction d'un arbre de conditions (flux) défini :

• Les actions sont configurées pour s'exécuter manuellement ou automatiquement sur le champ d'application des entités de l'alerte.
• Les actions s'exécutent dans un ordre défini jusqu'à ce qu'une résolution finale soit trouvée pour l'alerte déclenchée.

Par exemple, vous pouvez configurer l'action VirusTotal – Analyser l'URL pour qu'elle s'exécute automatiquement uniquement sur un type d'entité spécifique, comme les entités URL.

Environnements

Les environnements sont des conteneurs logiques utilisés pour séparer les données.

• Les administrateurs peuvent définir différents environnements et y attribuer des utilisateurs de la plate-forme.
• Les utilisateurs ne peuvent consulter que les demandes et les informations associées des environnements auxquels ils sont attribués.
• Certains rôles utilisateur ont accès à tous les environnements, ce qui leur permet d'accéder à toutes les données actuelles et futures de la plate-forme.