Inizia a utilizzare Google Security Operations SOAR

Per iniziare a lavorare nella piattaforma Google SecOps SOAR, devi prima comprendere i concetti di base, che costituiscono il fondamento della nostra documentazione.

Connettori

I connettori sono i punti di importazione dati per gli avvisi  in Google SecOps SOAR. Il loro obiettivo principale è tradurre i dati di sicurezza non elaborati da strumenti di terze parti in dati Google SecOps SOAR normalizzati. Il connettore riceve avvisi (o dati equivalenti) da strumenti di terze parti, che vengono poi inoltrati al livello di elaborazione dei dati.

Richieste, avvisi ed eventi

• Caso: il contenitore di primo livello, composto da uno o più avvisi inseriti da varie origini utilizzando i connettori.
• Avviso: una notifica di sicurezza contenente uno o più eventi di sicurezza.
• Entità: dopo l'importazione, la piattaforma analizza questi eventi e i relativi indicatori (compromissioni, destinazioni, artefatti) vengono estratti e tradotti in oggetti dinamici chiamati entità.

Entità e ontologia

Le entità sono oggetti dinamici che rappresentano punti di interesse estratti (indicatori di compromissione, account utente, indirizzi IP) da un avviso.

Le entità sono fondamentali perché consentono di:

• Monitoraggio automatico della cronologia.
• Raggruppamento di avvisi correlati senza intervento manuale.
• Ricerca di attività dannose basata sulle relazioni.

Creazione di entità (mappatura e modellazione)

Per illustrare visivamente le entità e la loro connessione nella piattaforma, esiste un processo di configurazione dell'ontologia che prevede la mappatura e la modellazione. Durante questa procedura, selezioni la rappresentazione visiva degli avvisi e le entità da estrarre.

Google SecOps SOAR fornisce regole di ontologia di base per i prodotti SIEM più popolari pronti all'uso. Per maggiori dettagli, vedi Panoramica dell'ontologia.

Creare entità in Google SecOps SOAR

Il processo di mappatura e modellazione definisce come vengono create e collegate visivamente le entità all'interno di un caso (ontologia). Questo processo si verifica una volta quando viene inserito per la prima volta un nuovo tipo di avviso:

• Definisce la rappresentazione visiva degli avvisi e le entità da estrarre.
• Imposta le proprietà dell'entità, ad esempio se un'entità è interna o esterna (in base alla configurazione) o dannosa (in base ai risultati del playbook).

Google SecOps SOAR fornisce regole di ontologia di base pronte all'uso per i prodotti SIEM più popolari.

Per informazioni dettagliate su mappatura e modellazione, vedi Creare entità (mappatura e modellazione).

Utilizzando la mappatura e la modellazione, puoi definire le proprietà di un'entità, ad esempio se è interna o esterna o se è considerata dannosa. Lo stato interno o esterno di un'entità è determinato dalle impostazioni della piattaforma. Il suo stato dannoso è deciso dal prodotto in esecuzione all'interno del playbook. Lo scopo della mappatura e della modellazione è specificare i dettagli chiave come origine, timestamp e tipo dei dati.

La mappatura e la modellazione vengono eseguite una sola volta al momento dell'importazione iniziale dei dati. Dopodiché, il sistema applica le regole pertinenti a ogni nuovo caso in arrivo. li annotino. 

Playbook

Un playbook è un processo di automazione che può essere attivato da una condizione predefinita. Ad esempio, puoi attivare un playbook per ogni avviso che contiene il nome del prodotto "Mail": quando viene attivato, il playbook viene allegato a ogni avviso importato in Google SecOps SOAR da questo prodotto.

Esegue anche una serie di azioni in base a un albero di condizioni (flussi) definito:

• Le azioni sono configurate per essere eseguite manualmente o automaticamente nell'ambito delle entità dell'avviso.
• Le azioni vengono eseguite in un ordine definito finché non viene raggiunta una risoluzione finale per l'avviso di attivazione.

Ad esempio, puoi configurare l'azione VirusTotal - Scan URL in modo che venga eseguita automaticamente solo su un tipo di entità specifico, ad esempio le entità URL.

Ambienti

Gli ambienti sono container logici utilizzati per ottenere la separazione dei dati.

• Gli amministratori possono definire ambienti diversi e assegnare gli utenti della piattaforma a uno o più di questi.
• Gli utenti possono visualizzare solo le richieste e le informazioni correlate degli ambienti a cui sono assegnati.
• Alcuni ruoli utente hanno accesso a tutti gli ambienti, il che garantisce l'accesso completo a tutti i dati attuali e futuri all'interno della piattaforma.