Google SecOps プラットフォームをオンボーディングする（SOAR 側のみ）

始める前に

最初に Chronicle の学習プログラムでトレーニングを受けることを強くおすすめします。

ユーザー グループを設定する

事前定義された SOC ロールと権限グループを作成または選択し、SIEM 設定から受け取った IdP グループにマッピングする必要があります。各タスクの詳しい手順については、次のドキュメントをご覧ください。

• 役割の割り当て
• 権限グループを割り当てる
• IdP グループでユーザーをマッピングする

コネクタまたは Webhook を使用してデータの取り込みポイントを設定する

コネクタまたは Webhook を設定して、アラートをプラットフォームに取り込み、分析します。これは、ユースケース全体をダウンロードすることによっても実現できます。各タスクの詳しい手順については、次のドキュメントをご覧ください。

• コネクタを使用してデータを取り込む
• Webhook を使用してデータを取り込む
• Marketplace からユースケースを実行する
• 独自のコネクタを作成する（上級ユーザーの場合）

受信データをマッピングしてモデル化する

受信商品、イベント、エンティティのマッピングとモデル化方法を制御し、適切な情報を確実にキャプチャできます。このオントロジー構成は、自分で定義するか、デフォルトのマッピングとモデリングの構成を選択できます。各タスクの詳しい手順については、次のドキュメントをご覧ください。

• オントロジーの概要
• 視覚的なファミリーを作成する
• エンティティの作成

ハンドブックを作成する

Google Security Operations では、ハンドブックと呼ばれる一連の手動および自動手順を使用して脅威に対応できます。ハンドブックの詳細については、次のドキュメントをご覧ください。

• ハンドブック画面の内容は何ですか？
• 最初の自動化（ハンドブック）を作成する
• Marketplace からユースケースを実行する
• ハンドブック シミュレータを操作する

ケースとアラートの分析

シミュレートされたケースとテストアラートを使用して、構成とハンドブックを公開する前にテストします。アラートが取り込まれ、ハンドブックの実行が終了したら、ケースとアラートを調べて、トリアージや修復の手順など、次に行う必要があるものを確認できます。各タスクの詳しい手順については、次のドキュメントをご覧ください。

• ケースの概要
• ケースをシミュレートする
• 手動による対策を行う
• アラートの確認
• [エンティティ エクスプローラ] ページ