Mengaktifkan platform Google SecOps SOAR
Dokumen ini memberikan panduan langkah demi langkah yang komprehensif untuk mengaktifkan dan mengonfigurasi platform SOAR Google Security Operations. Proses ini disusun untuk menetapkan akses pengguna, mengamankan penyerapan data, menormalisasi data, membangun otomatisasi, dan bersiap untuk operasi aktif.
Sebelum memulai
Sebaiknya ikuti pelatihan di jalur pembelajaran Google SIEM dan SOAR kami terlebih dahulu.
Menyiapkan akses dan peran pengguna
Untuk memulai, Anda harus menentukan peran dan grup izin. Jika Anda adalah MSSP, Anda juga perlu menyiapkan lingkungan dan mengaitkannya dengan pengguna baru. Jika Anda mengelola lingkungan multi-tenant, Anda juga harus menentukan lingkungan. Jika diperlukan, Anda juga dapat menyediakan pengguna untuk login menggunakan penyedia SAML. Untuk mengetahui petunjuk mendetail untuk setiap tugas ini, lihat dokumen berikut:
- Mengelola peran dan workload
- Mengelola grup izin
- Menambahkan lingkungan baru (terutama relevan untuk MSSP)
- Menambahkan pengguna baru ke platform
- Mengautentikasi pengguna menggunakan SSO (khusus SOAR)
Menyiapkan titik penyerapan data menggunakan konektor atau webhook
Konfigurasi konektor atau webhook untuk menyerap pemberitahuan untuk dianalisis. Hal ini juga dapat dilakukan dengan mendownload seluruh Kasus Penggunaan. Untuk petunjuk mendetail untuk setiap tugas ini, lihat dokumen berikut:
- Menyerap data menggunakan konektor SOAR
- Menyiapkan webhook
- Menjalankan kasus penggunaan
- Mengembangkan konektor email pertama Anda (untuk pengguna tingkat lanjut)
Memetakan dan memodelkan data yang masuk (ontologi)
Mengontrol cara produk, peristiwa, dan entitas yang masuk dipetakan dan dimodelkan. Hal ini memastikan informasi yang benar diambil dan divisualisasikan. Anda dapat menentukan konfigurasi ontologi ini untuk diri sendiri atau memilih konfigurasi pemetaan dan pemodelan default. Untuk mengetahui petunjuk mendetail untuk setiap tugas ini, lihat dokumen berikut:
- Ringkasan ontologi
- Memetakan hubungan peristiwa keamanan dengan keluarga visual
- Membuat entitas (pemetaan dan pemodelan)
Membuat dan menguji otomatisasi (playbook)
Buat respons otomatis menggunakan playbook—serangkaian langkah manual dan otomatis yang merespons ancaman. Untuk mengetahui informasi selengkapnya tentang playbook, lihat dokumen berikut:
- Menjelajahi halaman playbook
- Membuat otomatisasi pertama Anda
- Menjalankan kasus penggunaan dari Marketplace
- Menggunakan Simulator Playbook
Menganalisis kasus dan pemberitahuan
Gunakan kasus simulasi dan notifikasi pengujian untuk memverifikasi konfigurasi. Setelah aktif, analisis kasus dan pemberitahuan untuk menentukan langkah-langkah triase atau perbaikan. Untuk mengetahui petunjuk mendetail untuk setiap tugas ini, lihat dokumen berikut:
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.