Google SecOps SOAR プラットフォームをオンボーディングする

このドキュメントでは、Google Security Operations SOAR プラットフォームのオンボーディングと構成について、包括的な手順を説明します。このプロセスは、ユーザー アクセスの確立、安全なデータ取り込み、データの正規化、自動化の構築、ライブ オペレーションの準備を行うように構成されています。

始める前に

Google SIEM と SOAR の学習プログラムのトレーニングを最初に受講することを強くおすすめします。

ユーザーのアクセスとロールを設定する

まず、ロールと権限グループを定義する必要があります。MSSP の場合は、環境を設定して、新しいユーザーに関連付ける必要もあります。マルチテナント環境を管理する場合は、環境も定義する必要があります。必要に応じて、SAML プロバイダを使用してログインするようにユーザーをプロビジョニングすることもできます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• ロールとワークロードを管理する
• 権限グループを管理する
• 新しい環境を追加する（主に MSSP 向け）
• プラットフォームに新しいユーザーを追加する
• SSO を使用してユーザーを認証する（SOAR のみ）

コネクタまたは Webhook を使用してデータ取り込みポイントを設定する

分析用にアラートを取り込むようにコネクタまたは Webhook を構成します。これは、ユースケース全体をダウンロードすることでも実現できます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• SOAR コネクタを使用してデータを取り込む
• Webhook を設定する
• ユースケースを実行する
• 初めてのメール コネクタを開発する（上級ユーザー向け）

受信データをマッピングしてモデル化する（オントロジー）

受信した商品、イベント、エンティティのマッピングとモデリングの方法を制御します。これにより、正しい情報が取得され、可視化されます。このオントロジー構成は自分で定義することも、デフォルトのマッピングとモデリング構成を選択することもできます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• オントロジーの概要
• セキュリティ イベントの関係をビジュアル ファミリーにマッピングする
• エンティティを作成する（マッピングとモデリング）

自動化（ハンドブック）の作成とテスト

ハンドブック（脅威に対応する手動および自動の一連の手順）を使用して、自動化された対応を構築します。ハンドブックの詳細については、次のドキュメントをご覧ください。

• ハンドブックのページにアクセスする
• 最初の自動化を作成する
• Marketplace からユースケースを実行する
• ハンドブック シミュレータを使用する

ケースとアラートを分析する

シミュレートされたケースとテストアラートを使用して、構成を確認します。稼働したら、ケースとアラートを分析して、トリアージまたは修復の手順を決定します。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• ケースの概要
• ケースに対してアクションを実行する
• 手動による対策の実行
• アラートの概要タブを表示する
• [エンティティ エクスプローラ] ページに移動する