Mulai menggunakan SOAR Google Security Operations

Untuk mulai bekerja di platform Google SecOps SOAR, Anda harus memahami konsep inti terlebih dahulu, yang membentuk dasar dokumentasi kami.

Konektor

Konektor adalah titik penyerapan data untuk pemberitahuan ke dalam SOAR Google SecOps. Tujuan utamanya adalah menerjemahkan data keamanan mentah dari alat pihak ketiga menjadi data Google SecOps SOAR yang dinormalisasi. Konektor mendapatkan pemberitahuan (atau data yang setara) dari alat pihak ketiga, yang kemudian diteruskan ke lapisan Pemrosesan Data.

Kasus, pemberitahuan, dan peristiwa

• Kasus: Penampung tingkat teratas, yang terdiri dari satu atau beberapa pemberitahuan yang diserap dari berbagai sumber menggunakan konektor.
• Notifikasi: Notifikasi keamanan yang berisi satu atau beberapa peristiwa keamanan.
• Entitas: Setelah penyerapan, platform menganalisis peristiwa ini, dan indikatornya (IOC, tujuan, artefak) diekstrak dan diterjemahkan ke dalam objek dinamis yang disebut entitas.

Entitas dan ontologi

Entitas adalah objek dinamis yang merepresentasikan poin penting yang diekstrak (Indikator Kompromi [IoC], akun pengguna, alamat IP) dari pemberitahuan.

Entitas sangat penting karena memungkinkan:

• Pelacakan histori otomatis.
• Pengelompokan pemberitahuan terkait tanpa intervensi manual.
• Memburu aktivitas berbahaya berdasarkan hubungan.

Pembuatan entitas (pemetaan dan pemodelan)

Untuk mengilustrasikan entitas dan koneksinya secara visual di platform, ada proses konfigurasi ontologi yang melibatkan pemetaan dan pemodelan. Selama proses ini, Anda memilih representasi visual peringatan dan entitas yang harus diekstrak darinya.

Google SecOps SOAR menyediakan aturan ontologi dasar untuk produk SIEM paling populer langsung digunakan. Untuk mengetahui detailnya, lihat Ringkasan ontologi.

Membuat entitas di Google SecOps SOAR

Proses pemetaan dan pemodelan menentukan cara entitas dibuat dan dihubungkan secara visual dalam sebuah kasus (ontologi). Proses ini terjadi sekali saat jenis pemberitahuan baru pertama kali diproses:

• Menentukan representasi visual pemberitahuan dan entitas mana yang harus diekstrak.
• Fitur ini menetapkan properti entitas, seperti apakah entitas bersifat internal atau eksternal (berdasarkan konfigurasi) atau berbahaya (berdasarkan hasil playbook).

Google SecOps SOAR menyediakan aturan ontologi dasar langsung untuk sebagian besar produk SIEM populer.

Untuk mengetahui detail tentang pemetaan dan pemodelan, lihat Membuat entitas (pemetaan dan pemodelan).

Dengan menggunakan pemetaan dan pemodelan, Anda dapat menentukan properti entitas, seperti apakah entitas tersebut internal atau eksternal, atau apakah dianggap berbahaya. Status internal atau eksternal entitas ditentukan oleh setelan platform. Status berbahaya ditentukan oleh produk yang berjalan dalam playbook. Tujuan pemetaan dan pemodelan adalah untuk menentukan detail penting seperti sumber, stempel waktu, dan jenis data.

Pemetaan dan pemodelan terjadi sekali saat data pertama kali diserap. Setelah itu, sistem akan menerapkan aturan yang relevan untuk setiap kasus baru yang masuk. dan meninjaunya. 

Playbook

Playbook adalah proses otomatisasi yang dapat dipicu oleh kondisi yang telah ditentukan sebelumnya. Misalnya, Anda dapat memicu playbook untuk setiap pemberitahuan yang berisi nama produk "Mail": Saat dipicu, playbook akan dilampirkan ke setiap pemberitahuan yang diserap ke Google SecOps SOAR dari produk ini.

Selain itu, agen juga menjalankan serangkaian tindakan berdasarkan hierarki kondisi (alur) yang telah ditentukan:

• Tindakan dikonfigurasi untuk dijalankan secara manual atau otomatis pada cakupan entitas pemberitahuan.
• Tindakan berjalan dalam urutan yang ditentukan hingga resolusi akhir tercapai untuk pemberitahuan pemicu.

Misalnya, Anda dapat mengonfigurasi tindakan VirusTotal - Scan URL agar berjalan otomatis hanya pada jenis entity tertentu, seperti entity URL.

Lingkungan

Lingkungan adalah penampung logis yang digunakan untuk mencapai pemisahan data.

• Administrator dapat menentukan lingkungan yang berbeda dan menetapkan pengguna platform ke satu atau beberapa lingkungan tersebut.
• Pengguna hanya dapat melihat kasus dan informasi terkait dari lingkungan tempat mereka ditugaskan.
• Beberapa peran pengguna memiliki akses ke semua lingkungan, sehingga memberi mereka akses penuh ke semua data saat ini dan mendatang dalam platform.