커넥터 구성

새 커넥터를 구성할 때 플랫폼은 통합의 커넥터 스크립트를 템플릿으로만 사용합니다. 구성된 커넥터는 해당 커넥터 템플릿의 인스턴스입니다. IDE에서 커넥터용으로 만든 동일한 코드를 사용하여 구성이 다른 여러 커넥터를 추가할 수 있습니다.

커넥터를 구성하려면 다음 단계를 따르세요.

1. SOAR 설정 > 수집 > 커넥터로 이동하여 커넥터 모듈에 액세스하고 관련 환경에서 커넥터를 구성합니다.
   
2. add 새 커넥터 만들기를 클릭합니다.
3. 커넥터 추가 대화상자에서 목록에서 커넥터 유형을 선택합니다.
4. 선택사항: 원격 커넥터 체크박스를 선택합니다.
5. 만들기를 클릭합니다.
6. 매개변수 섹션에 다음 커넥터 매개변수를 입력합니다.
• 환경: 이 커넥터가 연결되는 환경을 정의합니다. 환경을 정의할 필요가 없는 경우 기본 환경을 선택합니다.
• 실행 빈도: 커넥터 실행 간격을 정의합니다.
• 제품 필드 이름: Google 보안 운영으로 가져온 알림을 생성하는 제품을 식별하기 위해 커넥터에 필요합니다. 여기에 제품 이름을 입력하지 마세요. 대신 제품 이름이 아닌 이벤트 필드 (JSON 이벤트의 키)를 입력합니다. 예를 들어 cloudtrail이 알림을 생성한 제품임을 나타내려면 _index을 입력합니다.
• 이벤트 필드 이름: Google SecOps로 가져온 보안 이벤트의 유형을 식별하기 위해 커넥터에 필요합니다. 여기에 이벤트 이름이나 유형을 입력하지 마세요. 이벤트 이름이나 유형 대신 이벤트 필드 (JSON 이벤트의 키)를 입력합니다.
  예: AssumedRole가 보안 이벤트의 유형임을 나타내려면 '_source.userIdentity.type'을 입력합니다.
• 이벤트 수 제한: 상관관계 알림을 가져오는 경우 Google SecOps에서 가져와야 하는 기본 이벤트의 제한을 표시합니다. 이는 커넥터가 더 빠르게 실행되도록 하고 (중복 이벤트가 많은 경우) 보안 분석가의 중복성을 줄이는 데 필요합니다.
7. 커넥터는 기본 환경에서 구성됩니다. 모든 매개변수를 입력한 후 저장을 클릭하여 커넥터를 저장합니다.

각 커넥터의 전체 매개변수 목록은 Google SecOps 응답 통합을 참고하세요.