Chronicle SOAR プラットフォームをオンボーディングする

準備

まず Chronicle 学習プログラムのトレーニングを受講することを強くおすすめします。

ユーザーの設定

ロールと権限グループを設定する必要があります。MSSP の場合は、環境を設定する必要があります。次に、プラットフォームに追加する新しいユーザーごとにそれらを関連付けます。 必要に応じて、SAML プロバイダを使用してログインするようにユーザーをプロビジョニングすることもできます。各タスクの詳細については、次のドキュメントをご覧ください。

• ロールを操作する
• 権限グループを操作する
• 新しい環境を追加する（主に MSSP に関連）
• プラットフォームに新しいユーザーを追加
• SAML プロバイダを構成する

コネクタまたは Webhook を使用してデータ取り込みポイントを設定する

コネクタまたは Webhook を設定して、アラートをプラットフォームに取り込み、分析します。これは、ユースケース全体をダウンロードして行うこともできます。各タスクの詳細については、次のドキュメントをご覧ください。

• コネクタを使用してデータを取り込む
• Webhook を設定する
• ユースケースの実行
• 独自のコネクタを作成する（上級ユーザー向け）

受信データをマッピングしてモデル化する

受信した商品、イベント、エンティティをどのようにマッピングしてモデル化するかを制御して、正しい情報を確実に取り込むことができます。このオントロジー構成は、自分で定義することも、デフォルトのマッピングとモデリング構成を選択することもできます。各タスクの詳細については、次のドキュメントをご覧ください。

• オントロジーの概要
• ビジュアル ファミリーを作成する
• エンティティの作成

ハンドブックを作成する

Chronicle では、ハンドブックと呼ばれる手動および自動の一連の手順を使用して、脅威に対応できます。ハンドブックの詳細については、次のドキュメントをご覧ください。

• ハンドブックの概要
• 最初のハンドブックを作成する
• Marketplace からユースケースを実行する
• ハンドブック シミュレータを使用する

ケースとアラートを分析する

構成とハンドブックを公開する前に、シミュレートされたケースとテストアラートを使用して構成とハンドブックをテストします。アラートが取り込まれ、ハンドブックの実行が完了すると、ケースとアラートを確認して、トリアージや修復の手順など、次に行う必要があるものを確認できます。各タスクの詳細については、次のドキュメントをご覧ください。

• ケースの概要
• ケースのシミュレーション
• 手動による対策の実行
• アラートを確認する
• [エンティティ エクスプローラ] ページに移動