Eseguire l'onboarding della piattaforma Google SecOps SOAR
Questo documento fornisce una guida passo passo completa per l'onboarding e la configurazione della piattaforma SOAR di Google Security Operations. Il processo è strutturato per stabilire l'accesso degli utenti, l'importazione sicura dei dati, la normalizzazione dei dati, la creazione dell'automazione e la preparazione per le operazioni live.
Prima di iniziare
Ti consigliamo vivamente di seguire prima il corso nel nostro percorso di apprendimento Google SIEM e SOAR.
Configurare l'accesso e i ruoli utente
Per iniziare, devi definire un ruolo e gruppi di autorizzazioni. Se sei un MSSP, devi anche configurare un ambiente e associarlo a nuovi utenti. Se gestisci un ambiente multi-tenant, devi definire anche gli ambienti. Se necessario, puoi anche eseguire il provisioning degli utenti per accedere utilizzando un provider SAML. Per istruzioni dettagliate per ciascuna di queste attività, consulta i seguenti documenti:
- Gestire ruoli e carichi di lavoro
- Gestire i gruppi di autorizzazioni
- Aggiungi un nuovo ambiente (pertinente principalmente per i MSSP)
- Aggiungere un nuovo utente alla piattaforma
- Autenticare gli utenti utilizzando SSO (solo SOAR)
Configurare i punti di importazione dati utilizzando connettori o webhook
Configura connettori o webhook per importare gli avvisi per l'analisi. Ciò può essere ottenuto anche scaricando un intero caso d'uso. Per istruzioni dettagliate per ciascuna di queste attività, consulta i seguenti documenti:
- Importare i dati utilizzando i connettori SOAR
- Configurare un webhook
- Esegui casi d'uso
- Sviluppa il tuo primo connettore email (per utenti esperti)
Mappare e modellare i dati in entrata (ontologia)
Controlla in che modo vengono mappati e modellati prodotti, eventi ed entità in entrata. In questo modo, vengono acquisite e visualizzate le informazioni corrette. Puoi definire questa configurazione dell'ontologia in autonomia o scegliere la configurazione predefinita di mappatura e modellazione. Per istruzioni dettagliate per ciascuna di queste attività, consulta i seguenti documenti:
- Panoramica dell'ontologia
- Mappare le relazioni tra gli eventi di sicurezza con le famiglie visive
- Creare entità (mappatura e modellazione)
Crea e testa l'automazione (playbook)
Crea risposte automatiche utilizzando i playbook, ovvero insiemi sequenziali di passaggi manuali e automatici che rispondono alle minacce. Per saperne di più sui playbook, consulta i seguenti documenti:
- Esplorare la pagina delle guide pratiche
- Crea la tua prima automazione
- Esegui casi d'uso dal Marketplace
- Utilizzare il simulatore di playbook
Analizzare le richieste e gli avvisi
Utilizza casi simulati e avvisi di test per verificare le configurazioni. Una volta pubblicati, analizza casi e avvisi per determinare i passaggi di triage o correzione. Per istruzioni dettagliate per ciascuna di queste attività, consulta i seguenti documenti:
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.