Intégrer la plate-forme Google SecOps (côté SOAR uniquement)
Avant de commencer
Google vous recommande vivement de suivre d'abord la formation du parcours de formation Google SecOps.
Configurer des groupes d'utilisateurs
Vous devez créer ou sélectionner un rôle SOC prédéfini et un groupe d'autorisations, puis les mapper avec les groupes IdP reçus lors de la configuration du SIEM. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
- Attribuer des rôles
- Attribuer des groupes d'autorisations
- Mapper les utilisateurs avec les groupes IdP
Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks
Configurez des connecteurs ou des webhooks pour ingérer des alertes dans la plate-forme afin de les analyser.
Vous pouvez également télécharger un cas d'utilisation complet. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
- Ingérer vos données à l'aide de connecteurs
- Ingérer vos données à l'aide de webhooks
- Exécuter un cas d'utilisation depuis le Marketplace
- Créer votre propre connecteur (pour les utilisateurs expérimentés)
Mapper et modéliser les données entrantes
Vous pouvez contrôler la façon dont les produits, événements et entités entrants sont mappés et modélisés pour vous assurer de capturer les bonnes informations. Vous pouvez définir cette configuration d'ontologie vous-même ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
Créer des playbooks
Google Security Operations vous permet de répondre aux menaces à l'aide d'un ensemble séquentiel d'étapes manuelles et automatisées appelées playbooks. Pour en savoir plus sur les playbooks, consultez les documents suivants :
- Contenu de l'écran "Playbooks"
- Créer votre première automatisation (playbook)
- Exécuter un cas d'utilisation depuis le Marketplace
- Utiliser le simulateur de playbook
Analyser les cas et les alertes
Utilisez des cas simulés et des alertes de test pour tester vos configurations et vos playbooks avant de les mettre en production.
Une fois les alertes ingérées et les playbooks exécutés, vous pouvez examiner les requêtes et les alertes pour déterminer les prochaines étapes à suivre, y compris les étapes de tri ou de correction. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants :
Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.