カスタム コネクタを構成する

以下でサポートされています。

新しいコネクタを構成する場合、プラットフォームは統合のコネクタ スクリプトをテンプレートとしてのみ使用します。構成されたコネクタは、そのコネクタ テンプレートのインスタンスです。IDE でコネクタ用に作成した同じコードを使用して、構成が異なる複数のコネクタを追加できます。

コネクタを構成する手順は次のとおりです。

  1. [SOAR 設定]> [取り込み]> [コネクタ] に移動してコネクタ モジュールにアクセスし、関連する環境でコネクタを構成します。
  2. [ 新しいコネクタを作成] をクリックします。
  3. [コネクタを追加] ダイアログで、リストからコネクタのタイプを選択します。
  4. 省略可: [リモート コネクタ] チェックボックスをオンにします。
  5. [作成] をクリックします。
  6. [パラメータ] セクションに、次のコネクタ パラメータを入力します。
    • 環境: このコネクタが接続する環境を定義します。 環境を定義する必要がない場合は、[デフォルトの環境] を選択します。
    • すべてを実行: コネクタの実行間隔を定義します。
    • プロダクト フィールド名: Google Security Operations に取り込まれたアラートを生成するプロダクトを識別するために、コネクタで必要になります。ここにプロダクト名を入力しないでください。代わりに、プロダクト名の代わりにイベント フィールド(JSON イベントのキー)を入力します。例: _index を指定すると、cloudtrail がアラートを生成したプロダクトであることを示します。
    • イベント フィールド名: Google SecOps に取り込まれたセキュリティ イベントのタイプを識別するために、コネクタで必要になります。ここにイベント名やタイプを入力しないでください。イベント名やタイプの代わりにイベント フィールド(JSON イベントのキー)を入力します。
      例: "_source.userIdentity.type" と入力すると、AssumedRole がセキュリティ イベントのタイプであることを示します。
    • イベント数の上限: 相関アラートを取り込む場合は、Google SecOps が取得する基盤となるイベントの上限を示します。これは、コネクタの実行を高速化し(アラートに冗長なイベントが多い場合)、セキュリティ アナリストの冗長性を軽減するために必要です。
  7. コネクタは [デフォルトの環境] で構成されます。すべてのパラメータを入力したら、[保存] をクリックしてコネクタを保存します。

各コネクタのパラメータの完全なリストについては、Google SecOps レスポンス統合をご覧ください。

さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。