Integrar a plataforma Google SecOps (somente no lado do SOAR)

Compatível com:

Antes de começar

O Google recomenda fazer o treinamento no Programa de aprendizado do Google SecOps primeiro.

Configurar grupos de usuários

Você precisa criar ou selecionar um papel predefinido do SOC e um grupo de permissões e, em seguida, mapeá-los com os grupos de IdP recebidos da configuração do SIEM. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Configurar pontos de ingestão de dados usando conectores ou webhooks

Configure conectores ou webhooks para importar alertas para a plataforma e analisá-los. Isso também pode ser feito fazendo o download de um caso de uso completo. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Mapear e modelar os dados recebidos

É possível controlar como os produtos, eventos e entidades recebidos são mapeados e modelados para garantir que as informações corretas sejam capturadas. Você pode definir essa configuração de ontologia para você ou escolher a configuração de mapeamento e modelagem padrão. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Criar manuais

O Google Security Operations permite responder a ameaças usando um conjunto sequencial de etapas manuais e automatizadas, chamados de playbooks. Para mais informações sobre playbooks, consulte os seguintes documentos:

Analisar casos e alertas

Use casos simulados e alertas de teste para testar suas configurações e playbooks antes de ativar. Depois que os alertas forem processados e os playbooks forem executados, você poderá analisar os casos e alertas para saber o que precisa ser feito em seguida, incluindo etapas de triagem ou correção. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos: