Integrar a plataforma Google SecOps (somente no lado SOAR)
Antes de começar
O Google recomenda fazer primeiro o treinamento no programa de aprendizado do Chronicle.
Configurar grupos de usuários
É necessário criar ou selecionar um papel SOC predefinido e um grupo de permissões e, em seguida, mapeá-los com os grupos do IdP recebidos da configuração do SIEM. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir:
Configurar pontos de ingestão de dados usando conectores ou webhooks
Configurar conectores ou webhooks para ingerir alertas na plataforma e analisá-los.
Isso também pode ser feito com o download de um caso de uso inteiro. Para instruções detalhadas
sobre cada uma dessas tarefas, consulte os documentos a seguir:
- Ingerir os dados usando conectores
- Ingerir os dados usando webhooks
- Executar um caso de uso no Marketplace
- Criar seu próprio conector (para usuários avançados)
Mapear e modelar os dados de entrada
É possível controlar como os produtos, eventos e entidades recebidos são mapeados e modelados para garantir que as informações certas sejam capturadas. É possível definir essa configuração de ontologia ou escolher a configuração padrão de mapeamento e modelagem. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os documentos a seguir:
Criar playbooks
As Operações de segurança do Google permitem responder a ameaças usando um conjunto sequencial de etapas manuais e automatizadas chamadas de playbooks. Para mais informações sobre playbooks, consulte os seguintes documentos:
- O que está na tela de playbooks
- Criar sua primeira automação (playbook)
- Executar um caso de uso no Marketplace
- Trabalhar com o simulador playbook
Analisar casos e alertas
Use casos simulados e alertas de teste para testar suas configurações e manuais
antes de lançá-los.
Depois que os alertas são ingeridos e os playbooks terminavam de ser executados, é possível analisar os casos e alertas para saber o que precisa ser feito em seguida, incluindo etapas de triagem ou correção. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os
documentos a seguir: