Google SecOps-Plattform einrichten (nur SOAR-Seite)

Hinweise

Google empfiehlt dringend, zuerst den Google SecOps-Lernpfad zu absolvieren.

Nutzergruppen einrichten

Sie müssen eine vordefinierte SOC-Rolle und eine Berechtigungsgruppe erstellen oder auswählen und sie dann den IdP-Gruppen zuordnen, die bei der SIEM-Einrichtung empfangen wurden. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Rollen zuweisen
• Berechtigungsgruppen zuweisen
• Nutzer IdP-Gruppen zuordnen

Datenaufnahmepunkte mit Connectors oder Webhooks einrichten

Richten Sie Connectors oder Webhooks ein, um Benachrichtigungen in die Plattform aufzunehmen und zu analysieren. Das ist auch möglich, indem Sie einen gesamten Anwendungsfall herunterladen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Daten über Connectors aufnehmen
• Daten über Webhooks aufnehmen
• Anwendungsfall aus dem Marketplace ausführen
• Eigenen Connector erstellen (für fortgeschrittene Nutzer)

Eingehende Daten zuordnen und modellieren

Sie können steuern, wie eingehende Produkte, Ereignisse und Entitäten zugeordnet und modelliert werden, damit die richtigen Informationen erfasst werden. Sie können diese Ontologiekonfiguration selbst definieren oder die Standardkonfiguration für Zuordnung und Modellierung auswählen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Ontologie – Übersicht
• Visuelle Familien erstellen
• Entitäten erstellen

Playbooks erstellen

Mit Google Security Operations können Sie mit einer Reihe von manuellen und automatisierten Schritten, sogenannten Playbooks, auf Bedrohungen reagieren. Weitere Informationen zu Playbooks finden Sie in den folgenden Dokumenten:

• Inhalte auf dem Bildschirm „Playbooks“
• Ersten automatisierten Ablauf (Playbook) erstellen
• Anwendungsfall aus dem Marketplace ausführen
• Mit dem Playbook-Simulator arbeiten

Anfragen und Benachrichtigungen analysieren

Verwenden Sie simulierte Fälle und Testbenachrichtigungen, um Ihre Konfigurationen und Playbooks zu testen, bevor Sie sie aktivieren. Nachdem Benachrichtigungen aufgenommen und Playbooks ausgeführt wurden, können Sie sich die Fälle und Benachrichtigungen ansehen, um zu sehen, was als Nächstes zu tun ist, z. B. Triage- oder Abhilfemaßnahmen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:

• Übersicht über Cases
• Fall simulieren
• Manuelle Aktionen ausführen
• Benachrichtigungen ansehen
• Seite „Entitäts-Explorer“