Intégrer une plate-forme Google SecOps (côté SOAR uniquement)

Compatible avec :

Avant de commencer

Google vous recommande vivement de suivre la formation Parcours de formation Google SecOps en premier.

Configurer des groupes d'utilisateurs

Vous devez créer ou sélectionner un rôle SOC et un groupe d'autorisations prédéfinis, puis les mapper avec les groupes d'IDP reçus de la configuration du SIEM. Pour obtenir des instructions détaillées Pour chacune de ces tâches, consultez les documents suivants:

Configurer des points d'ingestion de données à l'aide de connecteurs ou de webhooks

Configurez des connecteurs ou des webhooks pour ingérer les alertes dans la plate-forme afin de les analyser. Vous pouvez également y parvenir en téléchargeant un cas d'utilisation complet. Pour obtenir des instructions détaillées pour chacune de ces tâches, consultez les documents suivants :

Mappez et modélisez les données entrantes.

Vous pouvez contrôler la façon dont les produits, événements et entités entrants sont mappés et modélisés pour vous assurer que les bonnes informations sont collectées. Vous pouvez définir vous-même cette configuration d'ontologie ou choisir la configuration de mappage et de modélisation par défaut. Pour obtenir des instructions détaillées pour chacune de ces tâches, consultez les documents suivants :

Créer des playbooks

Google Security Operations vous permet de répondre aux menaces à l'aide d'un ensemble et des étapes automatisées appelées playbooks. Pour en savoir plus sur les playbooks, consultez les documents suivants :

Analyser les demandes et les alertes

Utilisez des cas simulés et testez les alertes pour tester vos configurations et vos playbooks avant de passer au direct. Une fois les alertes ingérées et les playbooks exécutés, vous pouvez consulter les des cas et des alertes pour savoir quoi faire ensuite, y compris trier ou les mesures correctives nécessaires. Pour obtenir des instructions détaillées sur chacune de ces tâches, consultez la documents suivants: