Connector konfigurieren

Unterstützt in:

Wenn Sie einen neuen Connector konfigurieren, verwendet die Plattform das Connector-Script in einer Integration nur als Vorlage. Der konfigurierte Connector ist eine Instanz dieser Connectorvorlage. Sie können mehrere Connectors mit unterschiedlichen Konfigurationen hinzufügen, indem Sie denselben Code verwenden, den Sie für den Connector in der IDE erstellt haben.

So konfigurieren Sie einen Connector:

  1. Rufen Sie SOAR-Einstellungen > Ingestion > Connectors auf, um auf das Connectors-Modul zuzugreifen und einen Connector in der entsprechenden Umgebung zu konfigurieren.
  2. Klicken Sie auf Neuen Connector erstellen.
  3. Wählen Sie im Dialogfeld Connector hinzufügen den Connector-Typ aus der Liste aus.
  4. Optional: Klicken Sie das Kästchen Remote Connector an.
  5. Klicken Sie auf Erstellen.
  6. Geben Sie im Abschnitt Parameter die folgenden Connector-Parameter ein:
    • Umgebung: Definiert, mit welcher Umgebung dieser Connector verbunden wird. Wenn Sie die Umgebung nicht definieren müssen, wählen Sie Standardumgebung aus.
    • Ausführungshäufigkeit: Definiert das Intervall für Connector-Ausführungen.
    • Produktfeldname: Erforderlich für den Connector, um das Produkt zu identifizieren, das die in Google Security Operations abgerufenen Benachrichtigungen generiert. Geben Sie hier nicht den Produktnamen ein. Geben Sie stattdessen das Ereignisfeld (einen Schlüssel aus Ihrem JSON-Ereignis) anstelle des Produktnamens ein. Beispiel: Setzen Sie _index, um anzugeben, dass cloudtrail das Produkt ist, das die Benachrichtigung ausgelöst hat.
    • Name des Ereignisfelds: Erforderlich für den Connector, um den Typ des Sicherheitsereignisses zu identifizieren, das in Google SecOps abgerufen wird. Geben Sie hier nicht den Ereignisnamen oder -typ ein. Geben Sie das Ereignisfeld (einen Schlüssel aus Ihrem JSON-Ereignis) anstelle des Ereignisnamens oder -typs ein.
      Beispiel: Geben Sie „_source.userIdentity.type“ ein, um anzugeben, dass AssumedRole der Typ des Sicherheitsereignisses ist.
    • Limit für die Anzahl der Ereignisse: Wenn Sie eine Korrelationsbenachrichtigung abrufen, geben Sie das Limit für die zugrunde liegenden Ereignisse an, die Google SecOps damit abrufen soll. Dies ist erforderlich, damit ein Connector schneller ausgeführt wird (falls die Benachrichtigungen viele redundante Ereignisse enthalten) und die Redundanz für Sicherheitsanalysten reduziert wird.
  7. Der Connector wird unter Standardumgebung konfiguriert. Wenn Sie alle Parameter eingegeben haben, klicken Sie auf Save (Speichern), um den Connector zu speichern.

Eine vollständige Liste der Parameter für jeden Connector finden Sie unter Google SecOps-Reaktionsintegrationen.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten