Intégrer la plate-forme Google SecOps (côté SOAR uniquement)

Avant de commencer

Google vous recommande vivement de commencer par suivre la formation du parcours de formation Chronicle.

Configurer des groupes d'utilisateurs

Vous devez créer ou sélectionner un rôle SOC prédéfini et un groupe d'autorisations, puis les mapper avec les groupes d'IdP reçus lors de la configuration SIEM. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:

Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks

Configurez des connecteurs ou des webhooks pour ingérer les alertes dans la plate-forme afin de les analyser. Vous pouvez également y parvenir en téléchargeant un cas d'utilisation complet. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:

Mapper et modéliser les données entrantes

Vous pouvez contrôler la façon dont les produits, événements et entités entrants sont mappés et modélisés pour vous assurer que les bonnes informations sont capturées. Vous pouvez définir cette configuration d'ontologie pour vous-même ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants:

Créer des playbooks

Google Security Operations vous permet de répondre aux menaces à l'aide d'un ensemble séquentiel d'étapes manuelles et automatisées appelées playbooks. Pour en savoir plus sur les playbooks, consultez les documents suivants:

Analyser les cas et les alertes

Utilisez des cas simulés et testez les alertes pour tester vos configurations et vos playbooks avant de les déployer. Une fois les alertes ingérées et les playbooks exécutés, vous pouvez consulter les cas et les alertes pour connaître la marche à suivre, y compris les étapes de tri ou de remédiation. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez les documents suivants: