Configurer le connecteur

Compatible avec :

Lorsque vous configurez un connecteur, la plate-forme utilise le script du connecteur dans une intégration uniquement comme modèle. Le connecteur configuré est une instance de ce modèle de connecteur. Vous pouvez ajouter plusieurs connecteurs avec des configurations différentes en utilisant le même code que celui que vous avez créé pour le connecteur dans l'IDE.

Pour configurer un connecteur, procédez comme suit :

  1. Accédez à Paramètres SOAR> Ingestion> Connecteurs pour accéder au module de connecteurs et configurer un connecteur dans l'environnement concerné.
  2. Cliquez sur Créer un connecteur.
  3. Dans la boîte de dialogue Ajouter un connecteur, sélectionnez le type de connecteur dans la liste.
  4. Facultatif : Cochez la case Remote Connector (Connecteur à distance).
  5. Cliquez sur Créer.
  6. Dans la section Paramètres, saisissez les paramètres de connecteur suivants :
    • Environnement : définit l'environnement auquel ce connecteur se connecte. Si vous n'avez pas besoin de définir l'environnement, sélectionnez Environnement par défaut.
    • Run Every (Fréquence d'exécution) : définit l'intervalle d'exécution du connecteur.
    • Nom du champ du produit : requis par le connecteur pour identifier le produit qui génère les alertes extraites dans Google Security Operations. N'indiquez pas le nom du produit ici. À la place, saisissez le champ d'événement (une clé de votre événement JSON) au lieu du nom du produit. Par exemple, saisissez _index pour indiquer que cloudtrail est le produit qui a généré l'alerte.
    • Nom du champ d'événement : obligatoire pour que le connecteur identifie le type d'événement de sécurité extrait dans Google SecOps. Ne saisissez pas le nom ni le type de l'événement ici. Saisissez le champ d'événement (une clé de votre événement JSON) au lieu du nom ou du type d'événement.
      Par exemple, saisissez "_source.userIdentity.type" pour indiquer que AssumedRole est le type d'événement de sécurité.
    • Limite du nombre d'événements : si vous extrayez une alerte de corrélation, indiquez la limite des événements sous-jacents que Google SecOps doit récupérer avec celle-ci. Cela est nécessaire pour accélérer l'exécution d'un connecteur (au cas où les alertes seraient lourdes en raison d'événements redondants) et réduire la redondance pour les analystes de sécurité.
  7. Le connecteur est configuré sous Environnement par défaut. Une fois que vous avez renseigné tous les paramètres, cliquez sur Enregistrer pour enregistrer le connecteur.

Pour obtenir la liste complète des paramètres de chaque connecteur, consultez Intégrations de réponse Google SecOps.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.