Mulai menggunakan SOAR Google Security Operations

Untuk mulai bekerja di platform Google SecOps SOAR, Anda harus memahami konsep inti terlebih dahulu, yang membentuk dasar dokumentasi kami.

Konektor

Konektor adalah titik penyerapan data untuk pemberitahuan ke dalam SOAR Google SecOps. Tujuan utamanya adalah menerjemahkan data keamanan mentah dari alat pihak ketiga ke dalam data SOAR Google SecOps yang dinormalisasi. Konektor mendapatkan pemberitahuan (atau data yang setara) dari alat pihak ketiga, yang kemudian diteruskan ke lapisan Pemrosesan Data.

Kasus, pemberitahuan, dan peristiwa

• Kasus: Penampung tingkat teratas, yang terdiri dari satu atau beberapa pemberitahuan yang diserap dari berbagai sumber menggunakan konektor.
• Pemberitahuan: Notifikasi keamanan yang berisi satu atau beberapa peristiwa keamanan.
• Entitas: Setelah penyerapan, platform menganalisis peristiwa ini, dan indikatornya (IOC, tujuan, artefak) diekstrak dan diterjemahkan ke dalam objek dinamis yang disebut entitas.

Entitas dan ontologi

Entitas adalah objek dinamis yang merepresentasikan poin minat yang diekstrak (Indikator Kompromi [IoC], akun pengguna, alamat IP) dari pemberitahuan.

Entitas sangat penting karena memungkinkan:

• Pelacakan histori otomatis.
• Pengelompokan pemberitahuan terkait tanpa intervensi manual.
• Mencari aktivitas berbahaya berdasarkan hubungan.

Pembuatan entity (pemetaan dan pemodelan)

Untuk mengilustrasikan entitas dan koneksinya secara visual di platform, ada proses konfigurasi ontologi yang melibatkan pemetaan dan pemodelan. Selama proses ini, Anda memilih representasi visual peringatan dan entitas yang harus diekstrak darinya.

SOAR Google SecOps menyediakan aturan ontologi dasar untuk produk SIEM paling populer secara langsung. Untuk mengetahui detailnya, lihat Ringkasan ontologi.

Membuat entitas di SOAR Google SecOps

Proses pemetaan dan pemodelan menentukan cara entity dibuat dan terhubung secara visual dalam kasus (ontologi). Proses ini terjadi sekali saat jenis pemberitahuan baru pertama kali diproses:

• Menentukan representasi visual pemberitahuan dan entitas mana yang harus diekstrak.
• Fitur ini menetapkan properti entitas, seperti apakah entitas bersifat internal atau eksternal (berdasarkan konfigurasi) atau berbahaya (berdasarkan hasil playbook).

SOAR Google SecOps menyediakan aturan ontologi dasar langsung untuk sebagian besar produk SIEM populer.

Untuk mengetahui detail tentang pemetaan dan pemodelan, lihat Membuat entitas (pemetaan dan pemodelan).

Dengan menggunakan pemetaan dan pemodelan, Anda dapat menentukan properti entitas, seperti apakah entitas tersebut internal atau eksternal, atau apakah dianggap berbahaya. Status internal atau eksternal entitas ditentukan oleh setelan platform. Status berbahayanya ditentukan oleh produk yang berjalan dalam playbook. Tujuan pemetaan dan pemodelan adalah untuk menentukan detail penting seperti sumber, stempel waktu, dan jenis data.

Pemetaan dan pemodelan terjadi sekali saat data pertama kali diserap. Setelah itu, sistem akan menerapkan aturan yang relevan untuk setiap kasus baru yang masuk. dan menerapkan algoritma ke data tersebut. 

Playbook

Playbook adalah proses otomatisasi yang dapat dipicu oleh kondisi yang telah ditentukan sebelumnya. Misalnya, Anda dapat memicu playbook untuk setiap pemberitahuan yang berisi nama produk "Mail": Saat dipicu, playbook akan dilampirkan ke setiap pemberitahuan yang diserap ke Google SecOps SOAR dari produk ini.

Selain itu, agen juga menjalankan serangkaian tindakan berdasarkan pohon kondisi (alur) yang telah ditentukan:

• Tindakan dikonfigurasi untuk berjalan secara manual atau otomatis pada cakupan entitas pemberitahuan.
• Tindakan dijalankan dalam urutan yang ditentukan hingga resolusi akhir tercapai untuk notifikasi pemicu.

Misalnya, Anda dapat mengonfigurasi tindakan VirusTotal - Scan URL agar berjalan otomatis hanya pada jenis entity tertentu, seperti entity URL.

Lingkungan

Lingkungan adalah penampung logis yang digunakan untuk mencapai pemisahan data.

• Administrator dapat menentukan lingkungan yang berbeda dan menetapkan pengguna platform ke satu atau beberapa lingkungan tersebut.
• Pengguna hanya dapat melihat kasus dan informasi terkait dari lingkungan tempat mereka ditugaskan.
• Beberapa peran pengguna memiliki akses ke semua lingkungan, sehingga memberi mereka akses penuh ke semua data saat ini dan mendatang dalam platform.