Esegui l'onboarding della piattaforma Google SecOps (solo lato SOAR)

Supportato in:

Prima di iniziare

Google consiglia vivamente di seguire prima la formazione nel percorso di apprendimento Google SecOps.

Configurare i gruppi di utenti

Devi creare o selezionare un ruolo SOC e un gruppo di autorizzazioni predefiniti, quindi mapparli con i gruppi di IdP ricevuti dalla configurazione SIEM. Per istruzioni dettagliate su ciascuna di queste attività, consulta i seguenti documenti:

Configura i punti di importazione dati utilizzando connettori o webhook

Configura connettori o webhook per importare gli avvisi nella piattaforma e analizzarli. Questo risultato può essere ottenuto anche scaricando un intero caso d'uso. Per istruzioni dettagliate su ciascuna di queste attività, consulta i seguenti documenti:

Mappa e modella i dati in entrata

Puoi controllare in che modo i prodotti, gli eventi e le entità in entrata vengono mappati e modellati per assicurarti che vengano acquisite le informazioni corrette. Puoi definire questa configurazione dell'ontologia autonomamente o scegliere la configurazione predefinita di mappatura e modellazione. Per istruzioni dettagliate su ciascuna di queste attività, consulta i seguenti documenti:

Creare playbook

Google Security Operations ti consente di rispondere alle minacce utilizzando una serie sequenziale di passaggi manuali e automatici chiamati playbook. Per ulteriori informazioni sui playbook, consulta i seguenti documenti:

Analizzare le richieste e gli avvisi

Utilizza casi simulati e avvisi di test per testare le configurazioni e i playbook prima di metterli in produzione. Dopo aver importato gli avvisi e completato l'esecuzione dei playbook, puoi esaminare le richieste e gli avvisi per capire cosa fare dopo, inclusi i passaggi di triage o di correzione. Per istruzioni dettagliate su ciascuna di queste attività, consulta i seguenti documenti: