Integrar a plataforma Google SecOps (somente no lado SOAR)

Antes de começar

O Google recomenda fazer primeiro o treinamento no programa de aprendizado do Chronicle.

Configurar grupos de usuários

É necessário criar ou selecionar um papel SOC predefinido e um grupo de permissões e, em seguida, mapeá-los com os grupos do IdP recebidos da configuração do SIEM. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir:

Configurar pontos de ingestão de dados usando conectores ou webhooks

Configurar conectores ou webhooks para ingerir alertas na plataforma e analisá-los. Isso também pode ser feito com o download de um caso de uso inteiro. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir:

Mapear e modelar os dados de entrada

É possível controlar como os produtos, eventos e entidades recebidos são mapeados e modelados para garantir que as informações certas sejam capturadas. É possível definir essa configuração de ontologia ou escolher a configuração padrão de mapeamento e modelagem. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir:

Criar playbooks

As Operações de segurança do Google permitem responder a ameaças usando um conjunto sequencial de etapas manuais e automatizadas chamadas de playbooks. Para mais informações sobre playbooks, consulte os seguintes documentos:

Analisar casos e alertas

Use casos simulados e alertas de teste para testar suas configurações e manuais antes de lançá-los. Depois que os alertas são ingeridos e os playbooks terminavam de ser executados, é possível analisar os casos e alertas para saber o que precisa ser feito em seguida, incluindo etapas de triagem ou correção. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir: