カスタム コネクタを構成する
以下でサポートされています。
Google SecOps
SOAR
新しいコネクタを構成する場合、プラットフォームは統合のコネクタ スクリプトをテンプレートとしてのみ使用します。構成されたコネクタは、そのコネクタ テンプレートのインスタンスです。IDE でコネクタ用に作成した同じコードを使用して、構成が異なる複数のコネクタを追加できます。
コネクタを構成する手順は次のとおりです。
-
[SOAR 設定]> [取り込み]> [コネクタ] に移動してコネクタ モジュールにアクセスし、関連する環境でコネクタを構成します。
- [ 新しいコネクタを作成] をクリックします。
- [コネクタを追加] ダイアログで、リストからコネクタのタイプを選択します。
- 省略可: [リモート コネクタ] チェックボックスをオンにします。
- [作成] をクリックします。
- [パラメータ] セクションに、次のコネクタ パラメータを入力します。
- 環境: このコネクタが接続する環境を定義します。 環境を定義する必要がない場合は、[デフォルトの環境] を選択します。
- すべてを実行: コネクタの実行間隔を定義します。
- プロダクト フィールド名: Google Security Operations に取り込まれたアラートを生成するプロダクトを識別するために、コネクタで必要になります。ここにプロダクト名を入力しないでください。代わりに、プロダクト名の代わりにイベント フィールド(JSON イベントのキー)を入力します。例:
_indexを指定すると、cloudtrailがアラートを生成したプロダクトであることを示します。 - イベント フィールド名: Google SecOps に取り込まれたセキュリティ イベントのタイプを識別するために、コネクタで必要になります。ここにイベント名やタイプを入力しないでください。イベント名やタイプの代わりにイベント フィールド(JSON イベントのキー)を入力します。
例: "_source.userIdentity.type" と入力すると、AssumedRoleがセキュリティ イベントのタイプであることを示します。 - イベント数の上限: 相関アラートを取り込む場合は、Google SecOps が取得する基盤となるイベントの上限を示します。これは、コネクタの実行を高速化し(アラートに冗長なイベントが多い場合)、セキュリティ アナリストの冗長性を軽減するために必要です。
- コネクタは [デフォルトの環境] で構成されます。すべてのパラメータを入力したら、[保存] をクリックしてコネクタを保存します。
各コネクタのパラメータの完全なリストについては、Google SecOps レスポンス統合をご覧ください。
さらにサポートが必要な場合コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。