Google SecOps プラットフォームをオンボーディングする（SOAR 側のみ）

始める前に

Google SecOps ラーニングパスのトレーニングを最初に受講することを強くおすすめします。

ユーザー グループを設定する

事前定義された SOC ロールと権限グループを作成または選択し、SIEM の設定から受け取った IdP グループにマッピングする必要があります。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• 役割の割り当て
• 権限グループを割り当てる
• IdP グループにユーザーをマッピングする

コネクタまたは Webhook を使用してデータ取り込みポイントを設定する

コネクタまたは Webhook を設定して、アラートをプラットフォームに取り込み、分析します。これは、ユースケース全体をダウンロードすることでも実現できます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• コネクタを使用してデータを取り込む
• Webhook を使用してデータを取り込む
• Marketplace からユースケースを実行する
• 独自のコネクタを作成する（上級ユーザー向け）

受信データのマッピングとモデリング

受信した商品、イベント、エンティティがどのようにマッピングされ、モデル化されるかを制御して、正しい情報が確実に取得されるようにすることができます。このオントロジー構成は自分で定義することも、デフォルトのマッピングとモデリングの構成を選択することもできます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• オントロジーの概要
• ビジュアル ファミリーを作成する
• エンティティの作成

ハンドブックを作成する

Google Security Operations では、ハンドブックと呼ばれる手動および自動の一連の手順を使用して、脅威に対応できます。プレイブックの詳細については、次のドキュメントをご覧ください。

• ハンドブック画面の内容は何ですか？
• 最初の自動化（ハンドブック）を作成する
• Marketplace からユースケースを実行する
• ハンドブック シミュレータを使用する

ケースとアラートを分析する

シミュレートされたケースとテストアラートを使用して、構成とプレイブックをテストしてから、本番環境に移行します。アラートが取り込まれ、プレイブックの実行が完了したら、ケースとアラートを確認して、トリアージや修復手順など、次に必要な対応を確認できます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。

• ケースの概要
• ケースのシミュレーション
• 手動で対策を実施する
• アラートを確認する
• [エンティティ エクスプローラ] ページ