Google SecOps-Plattform einrichten (nur SOAR-Seite)
Hinweise
Google empfiehlt dringend, zuerst den Google SecOps-Lernpfad zu absolvieren.
Nutzergruppen einrichten
Sie müssen eine vordefinierte SOC-Rolle und eine Berechtigungsgruppe erstellen oder auswählen und sie dann den IdP-Gruppen zuordnen, die bei der SIEM-Einrichtung empfangen wurden. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:
Datenaufnahmepunkte mit Connectors oder Webhooks einrichten
Richten Sie Connectors oder Webhooks ein, um Benachrichtigungen in die Plattform aufzunehmen und zu analysieren.
Das ist auch möglich, indem Sie einen gesamten Anwendungsfall herunterladen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:
- Daten über Connectors aufnehmen
- Daten über Webhooks aufnehmen
- Anwendungsfall aus dem Marketplace ausführen
- Eigenen Connector erstellen (für fortgeschrittene Nutzer)
Eingehende Daten zuordnen und modellieren
Sie können steuern, wie eingehende Produkte, Ereignisse und Entitäten zugeordnet und modelliert werden, damit die richtigen Informationen erfasst werden. Sie können diese Ontologiekonfiguration selbst definieren oder die Standardkonfiguration für Zuordnung und Modellierung auswählen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:
Playbooks erstellen
Mit Google Security Operations können Sie mit einer Reihe von manuellen und automatisierten Schritten, sogenannten Playbooks, auf Bedrohungen reagieren. Weitere Informationen zu Playbooks finden Sie in den folgenden Dokumenten:
- Inhalte auf dem Bildschirm „Playbooks“
- Ersten automatisierten Ablauf (Playbook) erstellen
- Anwendungsfall aus dem Marketplace ausführen
- Mit dem Playbook-Simulator arbeiten
Anfragen und Benachrichtigungen analysieren
Verwenden Sie simulierte Fälle und Testbenachrichtigungen, um Ihre Konfigurationen und Playbooks zu testen, bevor Sie sie aktivieren.
Nachdem Benachrichtigungen aufgenommen und Playbooks ausgeführt wurden, können Sie sich die Fälle und Benachrichtigungen ansehen, um zu sehen, was als Nächstes zu tun ist, z. B. Triage- oder Abhilfemaßnahmen. Eine ausführliche Anleitung für jede dieser Aufgaben finden Sie in den folgenden Dokumenten:
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten