Google SecOps SOAR-Plattform einrichten

Dieses Dokument enthält eine umfassende Schritt-für-Schritt-Anleitung für das Onboarding und die Konfiguration der SOAR-Plattform von Google Security Operations. Der Prozess ist so strukturiert, dass Nutzerzugriff eingerichtet, Daten sicher aufgenommen, Daten normalisiert, Automatisierung erstellt und die Vorbereitung für den Livebetrieb abgeschlossen wird.

Hinweise

Wir empfehlen Ihnen dringend, zuerst die Schulungen in unserem Google SIEM- und SOAR-Lernpfad zu absolvieren.

Nutzerzugriff und ‑rollen einrichten

Zuerst müssen Sie eine Rolle und Berechtigungsgruppen definieren. Wenn Sie ein MSSP sind, müssen Sie auch eine Umgebung einrichten und sie neuen Nutzern zuweisen. Wenn Sie eine Mehrmandantenumgebung verwalten, müssen Sie auch Umgebungen definieren. Bei Bedarf können Sie auch Nutzer für die Anmeldung mit einem SAML-Anbieter bereitstellen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Rollen und Arbeitslasten verwalten
• Berechtigungsgruppen verwalten
• Neue Umgebung hinzufügen (hauptsächlich für MSSPs relevant)
• Neuen Nutzer zur Plattform hinzufügen
• Nutzer mit SSO authentifizieren (nur SOAR)

Datenaufnahmepunkte mit Connectors oder Webhooks einrichten

Konfigurieren Sie Connectors oder Webhooks, um Benachrichtigungen zur Analyse zu erfassen. Das ist auch möglich, indem Sie einen gesamten Anwendungsfall herunterladen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Daten mit SOAR-Connectors aufnehmen
• Webhook einrichten
• Anwendungsfälle ausführen
• Ersten E‑Mail-Connector entwickeln (für fortgeschrittene Nutzer)

Eingehende Daten zuordnen und modellieren (Ontologie)

Steuern, wie eingehende Produkte, Ereignisse und Entitäten zugeordnet und modelliert werden. So wird sichergestellt, dass die richtigen Informationen erfasst und visualisiert werden. Sie können diese Ontologiekonfiguration selbst definieren oder die Standardkonfiguration für Zuordnung und Modellierung auswählen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Ontologie – Übersicht
• Sicherheitsereignisbeziehungen visuellen Familien zuordnen
• Entitäten erstellen (Zuordnung und Modellierung)

Automatisierung (Playbooks) erstellen und testen

Automatisierte Reaktionen mit Playbooks erstellen – sequenzielle Sätze manueller und automatisierter Schritte, die auf Bedrohungen reagieren. Weitere Informationen zu Playbooks finden Sie in den folgenden Dokumenten:

• Seite „Playbooks“ aufrufen
• Erste Automatisierung erstellen
• Anwendungsfälle aus dem Marketplace ausführen
• Mit dem Playbook-Simulator arbeiten

Anfragen und Benachrichtigungen analysieren

Verwenden Sie simulierte Fälle und Testbenachrichtigungen, um Konfigurationen zu prüfen. Analysieren Sie nach der Aktivierung Fälle und Benachrichtigungen, um Priorisierungs- oder Abhilfemaßnahmen zu ermitteln. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Übersicht über Cases
• Maßnahmen in einem Fall ergreifen
• Manuelle Aktionen ausführen
• Tab „Meldungen – Übersicht“ aufrufen
• Seite „Entity Explorer“ aufrufen