Google SecOps 플랫폼 온보딩(SOAR 측만 해당)

시작하기 전에

먼저 Google SecOps 학습 과정에서 학습하는 것이 좋습니다.

사용자 그룹 설정

사전 정의된 SOC 역할과 권한 그룹을 만들거나 선택한 다음 SIEM 설정에서 수신한 IdP 그룹과 매핑해야 합니다. 이러한 각 태스크에 대한 자세한 안내는 다음 문서를 참조하세요.

• 역할 지정
• 권한 그룹 할당
• 사용자를 IdP 그룹과 매핑

커넥터 또는 웹훅을 사용하여 데이터 수집 포인트 설정

플랫폼에 알림을 수집하여 분석하도록 커넥터 또는 웹훅을 설정합니다. 전체 사용 사례를 다운로드하여 이 작업을 수행할 수도 있습니다. 이러한 각 태스크에 대한 자세한 안내는 다음 문서를 참조하세요.

• 커넥터를 사용하여 데이터 수집
• 웹훅을 사용하여 데이터 수집
• Marketplace에서 사용 사례 실행
• 자체 커넥터 만들기(고급 사용자용)

수신 데이터 매핑 및 모델링

수신되는 제품, 이벤트, 항목이 매핑되고 모델링되는 방식을 제어하여 올바른 정보를 캡처할 수 있습니다. 이 온톨로지 구성을 직접 정의하거나 기본 매핑 및 모델링 구성을 선택할 수 있습니다. 이러한 각 태스크에 대한 자세한 안내는 다음 문서를 참조하세요.

• 온톨로지 개요
• 시각적 계열 만들기
• 항목 만들기

플레이북 만들기

Google Security Operations를 사용하면 플레이북이라고 하는 순차적 수동 및 자동 단계 집합을 사용하여 위협에 대응할 수 있습니다. 플레이북에 대한 자세한 내용은 다음 문서를 참조하세요.

• 플레이북 화면에 표시되는 내용
• 첫 번째 자동화 만들기(플레이북)
• Marketplace에서 사용 사례 실행
• 플레이북 시뮬레이터로 작업하기

케이스 및 알림 분석

시뮬레이션된 케이스와 알림을 테스트하여 구성 및 플레이북을 실제로 사용하기 전에 테스트합니다. 알림이 수집되고 플레이북 실행이 완료되면 케이스 및 알림을 보고 분류 또는 해결 단계 등 다음에 수행해야 하는 작업을 확인할 수 있습니다. 이러한 각 작업에 대한 자세한 안내는 다음 문서를 참조하세요.

• Cases 개요
• 케이스 시뮬레이션
• 수동 작업 수행
• 알림 살펴보기
• 항목 탐색기 페이지