Google SecOps SOAR 플랫폼 온보딩

이 문서에서는 Google Security Operations SOAR 플랫폼의 온보딩 및 구성에 관한 포괄적인 단계별 가이드를 제공합니다. 이 프로세스는 사용자 액세스 권한을 설정하고, 데이터 수집을 보호하고, 데이터를 정규화하고, 자동화를 구축하고, 실시간 작업을 준비하도록 구성되어 있습니다.

시작하기 전에

먼저 Google SIEM 및 SOAR 학습 과정에서 학습하는 것이 좋습니다.

사용자 액세스 및 역할 설정

시작하려면 역할과 권한 그룹을 정의해야 합니다. MSSP인 경우 환경을 설정하고 새 사용자와 연결해야 합니다. 멀티 테넌트 환경을 관리하는 경우 환경도 정의해야 합니다. 필요한 경우 SAML 제공업체를 사용하여 로그인하도록 사용자를 프로비저닝할 수도 있습니다. 이러한 각 작업에 대한 자세한 안내는 다음 문서를 참고하세요.

• 역할 및 워크로드 관리
• 권한 그룹 관리하기
• 새 환경 추가 (주로 MSSP에 해당)
• 플랫폼에 새 사용자 추가
• SSO를 사용하여 사용자 인증 (SOAR만 해당)

커넥터 또는 웹훅을 사용하여 데이터 수집 포인트 설정

분석을 위해 알림을 수집하도록 커넥터 또는 웹훅을 구성합니다. 전체 사용 사례를 다운로드하여 이 작업을 수행할 수도 있습니다. 이러한 각 작업에 대한 자세한 안내는 다음 문서를 참고하세요.

• SOAR 커넥터를 사용하여 데이터 수집
• 웹훅 설정하기
• 사용 사례 실행
• 첫 번째 이메일 커넥터 개발하기 (고급 사용자용)

수신 데이터 매핑 및 모델링 (온톨로지)

수신되는 제품, 이벤트, 항목이 매핑되고 모델링되는 방식을 제어합니다. 이렇게 하면 올바른 정보가 캡처되고 시각화됩니다. 이 온톨로지 구성을 직접 정의하거나 기본 매핑 및 모델링 구성을 선택할 수 있습니다. 이러한 각 작업에 대한 자세한 안내는 다음 문서를 참고하세요.

• 온톨로지 개요
• 시각적 계열로 보안 이벤트 관계 매핑
• 항목 만들기 (매핑 및 모델링)

자동화 (플레이북) 만들기 및 테스트

위협에 대응하는 수동 및 자동화된 단계의 순차적 집합인 플레이북을 사용하여 자동화된 대응을 빌드합니다. 플레이북에 대한 자세한 내용은 다음 문서를 참고하세요.

• 플레이북 페이지 살펴보기
• 첫 번째 자동화 만들기
• Marketplace에서 사용 사례 실행
• 플레이북 시뮬레이터로 작업하기

케이스 및 알림 분석

시뮬레이션된 케이스와 테스트 알림을 사용하여 구성을 확인합니다. 실제 운영이 시작되면 케이스와 알림을 분석하여 분류 또는 해결 단계를 결정합니다. 이러한 각 작업에 대한 자세한 안내는 다음 문서를 참고하세요.

• 케이스 개요
• 케이스에 대한 조치 수행
• 수동 작업 수행
• 알림 개요 탭 보기
• 항목 탐색기 페이지 탐색