Integrar a plataforma do Google SecOps SOAR
Este documento oferece um guia completo e detalhado para integração e configuração da plataforma SOAR do Google Security Operations. O processo é estruturado para estabelecer o acesso do usuário, proteger a ingestão de dados, normalizar dados, criar automação e se preparar para operações em tempo real.
Antes de começar
Recomendamos fazer o treinamento no programa de aprendizado do Google SIEM e SOAR primeiro.
Configurar o acesso e as funções do usuário
Para começar, defina uma função e grupos de permissões. Se você for um MSSP, também precisará configurar um ambiente e associá-lo a novos usuários. Se você gerenciar um ambiente multilocatário, também precisará definir ambientes. Se necessário, também é possível provisionar usuários para fazer login usando um provedor SAML. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:
- Gerenciar funções e cargas de trabalho
- Gerenciar grupos de permissões
- Adicionar um novo ambiente (relevante principalmente para MSSPs)
- Adicionar um novo usuário à plataforma
- Autenticar usuários usando o SSO (somente SOAR)
Configurar pontos de ingestão de dados usando conectores ou webhooks
Configure conectores ou webhooks para ingerir alertas para análise. Isso também pode ser feito baixando um caso de uso inteiro. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:
- Ingerir dados usando conectores SOAR
- Configurar um webhook
- Executar casos de uso
- Desenvolver seu primeiro conector de e-mail (para usuários avançados)
Mapear e modelar dados recebidos (ontologia)
Controlar como os produtos, eventos e entidades recebidos são mapeados e modelados. Isso garante que as informações corretas sejam capturadas e visualizadas. Você pode definir essa configuração de ontologia ou escolher o mapeamento e a configuração de modelagem padrão. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:
- Visão geral da ontologia
- Mapear relações de ocorrência de segurança com famílias visuais
- Criar entidades (mapeamento e modelagem)
Criar e testar automações (playbooks)
Crie respostas automatizadas usando playbooks, que são conjuntos sequenciais de etapas manuais e automatizadas para responder a ameaças. Para mais informações sobre playbooks, consulte os seguintes documentos:
- Acessar a página de manuais
- Criar sua primeira automação
- Executar casos de uso do Marketplace
- Trabalhar com o Simulador de playbooks
Analisar casos e alertas
Use casos simulados e alertas de teste para verificar as configurações. Depois de ativada, analise casos e alertas para determinar as etapas de triagem ou correção. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.