Integre a plataforma Google SecOps SOAR
Este documento fornece um guia passo a passo abrangente para a integração e a configuração da plataforma SOAR do Google Security Operations. O processo está estruturado para estabelecer o acesso dos utilizadores, a ingestão segura de dados, a normalização de dados, a criação de automatização e a preparação para operações em direto.
Antes de começar
Recomendamos vivamente que faça primeiro a formação no nosso percurso de aprendizagem do SIEM e SOAR da Google.
Configure o acesso e as funções de utilizadores
Para começar, tem de definir uma função e grupos de autorizações. Se for um MSSP, também tem de configurar um ambiente e associá-lo a novos utilizadores. Se gerir um ambiente multi-inquilino, também tem de definir ambientes. Se necessário, também pode aprovisionar utilizadores para iniciarem sessão através de um fornecedor SAML. Para obter instruções detalhadas para cada uma destas tarefas, consulte os seguintes documentos:
- Faça a gestão de funções e cargas de trabalho
- Faça a gestão dos grupos de autorizações
- Adicione um novo ambiente (relevante principalmente para MSSPs)
- Adicione um novo utilizador à plataforma
- Autentique utilizadores através do SSO (apenas SOAR)
Configure pontos de carregamento de dados através de conetores ou webhooks
Configure conetores ou webhooks para carregar alertas para análise. Também pode conseguir isto transferindo um exemplo de utilização completo. Para instruções detalhadas para cada uma destas tarefas, consulte os seguintes documentos:
- Carregue dados através de conetores SOAR
- Configure um webhook
- Executar exemplos de utilização
- Desenvolva o seu primeiro conector de email (para utilizadores avançados)
Mapeie e modele os dados recebidos (ontologia)
Controle como os produtos, os eventos e as entidades recebidos são mapeados e modelados. Isto garante que as informações corretas são captadas e visualizadas. Pode definir esta configuração de ontologia para si ou escolher a configuração de mapeamento e modelagem predefinida. Para obter instruções detalhadas para cada uma destas tarefas, consulte os seguintes documentos:
- Vista geral da ontologia
- Mapeie relações de eventos de segurança com famílias visuais
- Crie entidades (mapeamento e modelagem)
Crie e teste automatizações (manuais de procedimentos)
Crie respostas automáticas com base em manuais de procedimentos, que são conjuntos sequenciais de passos manuais e automáticos que respondem a ameaças. Para mais informações sobre os manuais de soluções, consulte os seguintes documentos:
- Explore a página de guias interativos
- Crie a sua primeira automatização
- Execute exemplos de utilização a partir do Marketplace
- Trabalhe com o simulador do guia interativo
Analise casos e alertas
Use casos simulados e alertas de teste para validar as configurações. Assim que estiver em direto, analise os registos e os alertas para determinar os passos de triagem ou remediação. Para obter instruções detalhadas para cada uma destas tarefas, consulte os seguintes documentos:
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.