Intégrer la plate-forme Google SecOps SOAR

Ce document fournit un guide complet, étape par étape, pour intégrer et configurer la plate-forme Google Security Operations SOAR. Le processus est structuré pour établir l'accès des utilisateurs, sécuriser l'ingestion des données, normaliser les données, créer l'automatisation et se préparer aux opérations en direct.

Avant de commencer

Nous vous recommandons vivement de suivre d'abord la formation de notre parcours de formation Google SIEM et SOAR.

Configurer l'accès et les rôles des utilisateurs

Pour commencer, vous devez définir un rôle et des groupes d'autorisations. Si vous êtes un MSSP ou si vous gérez un environnement multitenant, vous devez également configurer un environnement et l'associer à de nouveaux utilisateurs. Si nécessaire, vous pouvez également provisionner des utilisateurs pour qu'ils se connectent à l'aide d'un fournisseur SAML. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :

• Gérer les rôles et les charges de travail
• Gérer les groupes d'autorisations
• Ajouter un nouvel environnement (principalement pour les MSSP)
• Ajouter un utilisateur à la plate-forme
• Authentifier les utilisateurs à l'aide de l'authentification unique (SOAR uniquement)

Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks

Configurez des connecteurs ou des webhooks pour ingérer les alertes à des fins d'analyse. Vous pouvez également télécharger un cas d'utilisation complet. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :

• Ingérer des données à l'aide de connecteurs SOAR
• Configurer un webhook
• Exécuter des cas d'utilisation
• Développer votre premier connecteur d'e-mails (pour les utilisateurs avancés)

Mapper et modéliser les données entrantes (ontologie)

Contrôlez la façon dont les produits, événements et entités entrants sont mappés et modélisés. Cela permet de s'assurer que les informations correctes sont capturées et visualisées. Vous pouvez définir cette configuration d'ontologie vous-même ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :

• Présentation de l'ontologie
• Mappez les relations entre les événements de sécurité à l'aide de familles visuelles.
• Créer des entités (mappage et modélisation)

Créer et tester des automatisations (playbooks)

Créez des réponses automatisées à l'aide de playbooks (ensembles séquentiels d'étapes manuelles et automatisées permettant de répondre aux menaces). Pour en savoir plus sur les playbooks, consultez les documents suivants :

• Explorer la page "Playbooks"
• Créer votre première automatisation
• Exécuter des cas d'utilisation depuis le Hub de contenu
• Utiliser le simulateur de playbook

Analyser les cas et les alertes

Utilisez des cas simulés et des alertes de test pour vérifier les configurations. Une fois le produit en ligne, analysez les cas et les alertes pour déterminer les étapes de triage ou de correction. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :

• Vue d'ensemble des cas
• Effectuer des actions sur une demande
• Effectuer des actions manuelles
• Afficher l'onglet "Vue d'ensemble des alertes"
• Parcourir la page "Explorateur d'entités"