Google SecOps プラットフォームをオンボーディングする(SOAR 側のみ)
始める前に
Google SecOps ラーニングパスのトレーニングを最初に受講することを強くおすすめします。
ユーザー グループを設定する
事前定義された SOC ロールと権限グループを作成または選択し、SIEM の設定から受け取った IdP グループにマッピングする必要があります。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。
コネクタまたは Webhook を使用してデータ取り込みポイントを設定する
コネクタまたは Webhook を設定して、アラートをプラットフォームに取り込み、分析します。これは、ユースケース全体をダウンロードすることでも実現できます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。
受信データのマッピングとモデリング
受信した商品、イベント、エンティティがどのようにマッピングされ、モデル化されるかを制御して、正しい情報が確実に取得されるようにすることができます。このオントロジー構成は自分で定義することも、デフォルトのマッピングとモデリングの構成を選択することもできます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。
ハンドブックを作成する
Google Security Operations では、ハンドブックと呼ばれる手動および自動の一連の手順を使用して、脅威に対応できます。プレイブックの詳細については、次のドキュメントをご覧ください。
ケースとアラートを分析する
シミュレートされたケースとテストアラートを使用して、構成とプレイブックをテストしてから、本番環境に移行します。アラートが取り込まれ、プレイブックの実行が完了したら、ケースとアラートを確認して、トリアージや修復手順など、次に必要な対応を確認できます。これらのタスクの詳細な手順については、次のドキュメントをご覧ください。
さらにサポートが必要な場合 コミュニティ メンバーや Google SecOps のプロフェッショナルから回答を得ることができます。