Integrar a plataforma Google SecOps (somente SOAR)

Compatível com:

Antes de começar

O Google recomenda fazer o treinamento no programa de aprendizado do Google SecOps primeiro.

Configurar grupos de usuários

Você precisa criar ou selecionar uma função predefinida do SOC e um grupo de permissões e, em seguida, mapeá-los com os grupos do IdP recebidos da configuração do SIEM. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Configurar pontos de ingestão de dados usando conectores ou webhooks

Configure conectores ou webhooks para ingerir alertas na plataforma e analisá-los. Isso também pode ser feito baixando um caso de uso inteiro. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Mapear e modelar dados de entrada

Você pode controlar como os produtos, eventos e entidades recebidos são mapeados e modelados para garantir que as informações corretas sejam capturadas. Você pode definir essa configuração de ontologia ou escolher o mapeamento e a configuração de modelagem padrão. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Criar playbooks

Com o Google Security Operations, é possível responder a ameaças usando um conjunto sequencial de etapas manuais e automatizadas chamadas de playbooks. Para mais informações sobre playbooks, consulte os seguintes documentos:

Analisar casos e alertas

Use casos simulados e alertas de teste para testar suas configurações e playbooks antes de colocá-los em produção. Depois que os alertas são ingeridos e os playbooks terminam de ser executados, é possível analisar os casos e alertas para saber o que precisa ser feito em seguida, incluindo triagem ou etapas de correção. Para instruções detalhadas sobre cada uma dessas tarefas, consulte os seguintes documentos:

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.