Intégrer la plate-forme Google SecOps SOAR
Ce document fournit un guide complet, étape par étape, pour intégrer et configurer la plate-forme Google Security Operations SOAR. Le processus est structuré pour établir l'accès des utilisateurs, sécuriser l'ingestion de données, normaliser les données, créer l'automatisation et se préparer aux opérations en direct.
Avant de commencer
Nous vous recommandons vivement de suivre d'abord la formation de notre parcours de formation Google SIEM et SOAR.
Configurer l'accès et les rôles des utilisateurs
Pour commencer, vous devez définir un rôle et des groupes d'autorisations. Si vous êtes un MSSP, vous devez également configurer un environnement et l'associer aux nouveaux utilisateurs. Si vous gérez un environnement mutualisé, vous devez également définir des environnements. Si nécessaire, vous pouvez également configurer les utilisateurs pour qu'ils se connectent à l'aide d'un fournisseur SAML. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
- Gérer les rôles et les charges de travail
- Gérer les groupes d'autorisations
- Ajouter un nouvel environnement (principalement pour les MSSP)
- Ajouter un utilisateur à la plate-forme
- Authentifier les utilisateurs à l'aide de l'authentification unique (SOAR uniquement)
Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks
Configurez des connecteurs ou des webhooks pour ingérer les alertes à des fins d'analyse. Vous pouvez également télécharger un cas d'utilisation complet. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
- Ingérer des données à l'aide de connecteurs SOAR
- Configurer un webhook
- Exécuter des cas d'utilisation
- Développer votre premier connecteur d'e-mails (pour les utilisateurs avancés)
Mapper et modéliser les données entrantes (ontologie)
Contrôlez la façon dont les produits, événements et entités entrants sont mappés et modélisés. Cela permet de s'assurer que les informations correctes sont capturées et visualisées. Vous pouvez définir cette configuration d'ontologie vous-même ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
- Présentation de l'ontologie
- Mappez les relations entre les événements de sécurité à l'aide de familles visuelles.
- Créer des entités (mappage et modélisation)
Créer et tester l'automatisation (playbooks)
Créez des réponses automatisées à l'aide de playbooks (ensembles séquentiels d'étapes manuelles et automatisées qui répondent aux menaces). Pour en savoir plus sur les playbooks, consultez les documents suivants :
- Explorer la page "Playbooks"
- Créer votre première automatisation
- Exécuter des cas d'utilisation depuis le Marketplace
- Utiliser le simulateur de playbook
Analyser les cas et les alertes
Utilisez des cas simulés et des alertes de test pour vérifier les configurations. Une fois la fonctionnalité activée, analysez les cas et les alertes pour déterminer les étapes de tri ou de correction. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.