Intégrer la plate-forme Google SecOps (côté SOAR uniquement)
Avant de commencer
Google vous recommande vivement de commencer par suivre la formation du parcours de formation Chronicle.
Configurer des groupes d'utilisateurs
Vous devez créer ou sélectionner un rôle SOC prédéfini et un groupe d'autorisations, puis les mapper avec les groupes d'IdP reçus lors de la configuration SIEM. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:
- Attribuer des rôles
- Attribuer des groupes d'autorisations
- Mapper des utilisateurs avec des groupes IdP
Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks
Configurez des connecteurs ou des webhooks pour ingérer les alertes dans la plate-forme afin de les analyser.
Vous pouvez également y parvenir en téléchargeant un cas d'utilisation complet. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:
- Ingérer vos données à l'aide de connecteurs
- Ingérer vos données à l'aide de webhooks
- Exécuter un cas d'utilisation depuis Marketplace
- Créer votre propre connecteur (pour les utilisateurs avancés)
Mapper et modéliser les données entrantes
Vous pouvez contrôler la façon dont les produits, événements et entités entrants sont mappés et modélisés pour vous assurer que les bonnes informations sont capturées. Vous pouvez définir cette configuration d'ontologie pour vous-même ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:
Créer des playbooks
Google Security Operations vous permet de répondre aux menaces à l'aide d'un ensemble séquentiel d'étapes manuelles et automatisées appelées playbooks. Pour en savoir plus sur les playbooks, consultez les documents suivants:
- Contenu de l'écran des playbooks
- Créer votre première automatisation (playbook)
- Exécuter un cas d'utilisation depuis Marketplace
- Utiliser le simulateur Playbook
Analyser les cas et les alertes
Utilisez des cas simulés et testez les alertes pour tester vos configurations et vos playbooks avant de les déployer.
Une fois les alertes ingérées et les playbooks exécutés, vous pouvez consulter les cas et les alertes pour connaître la marche à suivre, y compris les étapes de tri ou de remédiation. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants: