Comece a usar o SOAR do Google Security Operations

Para começar a trabalhar na plataforma SOAR do Google SecOps, tem de compreender primeiro os conceitos básicos, que formam a base da nossa documentação.

Conetores

Os conetores são os pontos de carregamento de dados para alertas no SOAR do Google SecOps. O objetivo principal é traduzir dados de segurança não processados de ferramentas de terceiros em dados SOAR do Google SecOps normalizados. O conector recebe alertas (ou dados equivalentes) de ferramentas de terceiros, que são encaminhados para a camada de tratamento de dados.

Casos, alertas e eventos

• Caso: o contentor de nível superior, composto por um ou mais alertas carregados de várias origens através dos conetores.
• Alerta: uma notificação de segurança que contém um ou mais eventos de segurança.
• Entidades: após a ingestão, a plataforma analisa estes eventos e os respetivos indicadores (IOCs, destinos, artefactos) são extraídos e traduzidos em objetos dinâmicos denominados entidades.

Entidades e ontologia

As entidades são objetos dinâmicos que representam pontos de interesse extraídos (indicadores de comprometimento [IoC], contas de utilizador, endereços IP) de um alerta.

As entidades são fundamentais porque permitem:

• Acompanhamento automático do histórico.
• Agrupamento de alertas relacionados sem intervenção manual.
• Procura de atividade maliciosa com base em relações.

Criação de entidades (mapeamento e modelagem)

Para ilustrar visualmente as entidades e a respetiva ligação na plataforma, existe um processo de configuração da ontologia que envolve o mapeamento e a modelagem. Durante este processo, seleciona a representação visual dos alertas e as entidades que devem ser extraídas a partir da mesma.

O Google SecOps SOAR fornece regras de ontologia básicas para os produtos SIEM mais populares prontos a usar. Para obter detalhes, consulte o artigo Vista geral da ontologia.

Crie entidades no Google SecOps SOAR

O processo de mapeamento e modelagem define como as entidades são criadas e ligadas visualmente num registo (ontologia). Este processo ocorre uma vez quando um novo tipo de alerta é carregado pela primeira vez:

• Define a representação visual dos alertas e as entidades que devem ser extraídas.
• Define propriedades de entidades, como se uma entidade é interna ou externa (com base na configuração) ou maliciosa (com base nos resultados do manual de procedimentos).

O SOAR do Google SecOps fornece regras de ontologia básicas prontas a usar para os produtos SIEM mais populares.

Para ver detalhes sobre o mapeamento e a modelagem, consulte Crie entidades (mapeamento e modelagem).

Através do mapeamento e da modelagem, pode definir as propriedades de uma entidade, como se é interna ou externa, ou se é considerada maliciosa. O estado interno ou externo de uma entidade é determinado pelas definições da plataforma. O respetivo estado malicioso é decidido pelo produto em execução no manual de procedimentos. O objetivo do mapeamento e da modelagem é especificar detalhes importantes, como a origem, a data/hora e o tipo dos dados.

O mapeamento e a modelagem ocorrem uma vez quando os dados são carregados pela primeira vez. Depois disso, o sistema aplica as regras relevantes a todos os novos registos recebidos. isso. 

Guias interativos

Um Playbook é um processo de automatização que pode ser acionado por uma condição predefinida. Por exemplo, pode acionar um manual de procedimentos para cada alerta que contenha o nome do produto "Mail": quando acionado, o manual de procedimentos é anexado a cada alerta carregado no Google SecOps SOAR a partir deste produto.

Também executa uma série de ações com base numa árvore de condições definida (fluxos):

• As ações são configuradas para serem executadas manual ou automaticamente no âmbito das entidades do alerta.
• As ações são executadas numa ordem definida até ser alcançada uma resolução final para o alerta acionador.

Por exemplo, pode configurar a ação VirusTotal - Scan URL para ser executada automaticamente apenas num tipo de entidade específico, como entidades de URL.

Ambientes

Os ambientes são contentores lógicos usados para alcançar a segregação de dados.

• Os administradores podem definir diferentes ambientes e atribuir utilizadores da plataforma a um ou mais deles.
• Os utilizadores só podem ver registos e informações relacionadas dos ambientes aos quais estão atribuídos.
• Algumas funções de utilizador têm acesso a todos os ambientes, o que lhes concede acesso total a todos os dados atuais e futuros na plataforma.