Começar a usar o SOAR do Google Security Operations

Para começar a trabalhar na plataforma SOAR do Google SecOps, primeiro você precisa entender os conceitos básicos, que formam a base da nossa documentação.

Conectores

Os conectores são os pontos de ingestão de dados para alertas  no SOAR do Google SecOps. O objetivo principal é traduzir dados de segurança brutos de ferramentas de terceiros em dados normalizados do SOAR do Google SecOps. O conector recebe alertas (ou dados equivalentes) de ferramentas terceirizadas, que são encaminhados para a camada de processamento de dados.

Casos, alertas e eventos

• Caso: o contêiner de nível superior, composto por um ou mais alertas ingeridos de várias fontes usando os conectores.
• Alerta: uma notificação de segurança que contém um ou mais eventos de segurança.
• Entidades: após a ingestão, a plataforma analisa esses eventos, e os indicadores deles (IOCs, destinos, artefatos) são extraídos e convertidos em objetos dinâmicos chamados entidades.

Entidades e ontologia

Entidades são objetos dinâmicos que representam pontos de interesse extraídos (indicadores de comprometimento [IoC], contas de usuário, endereços IP) de um alerta.

As entidades são importantes porque permitem:

• Rastreamento automático do histórico.
• Agrupamento de alertas relacionados sem intervenção manual.
• Procura de atividades maliciosas com base em relacionamentos.

Criação de entidades (mapeamento e modelagem)

Para ilustrar visualmente as entidades e a conexão delas na plataforma, há um processo de configuração da ontologia que envolve mapeamento e modelagem. Durante esse processo, você seleciona a representação visual dos alertas e as entidades que precisam ser extraídas dela.

O SOAR do Google SecOps oferece regras básicas de ontologia para os produtos de SIEM mais usados de maneira imediata. Para mais detalhes, consulte Visão geral da ontologia.

Criar entidades no Google SecOps SOAR

O processo de mapeamento e modelagem define como as entidades são criadas e conectadas visualmente em um caso (ontologia). Esse processo ocorre uma vez quando um novo tipo de alerta é ingerido pela primeira vez:

• Ele define a representação visual dos alertas e quais entidades devem ser extraídas.
• Ele define propriedades da entidade, como se uma entidade é interna ou externa (com base na configuração) ou maliciosa (com base nos resultados do playbook).

O SOAR do Google SecOps oferece regras de ontologia básicas prontas para uso nos produtos de SIEM mais usados.

Para mais detalhes sobre mapeamento e modelagem, consulte Criar entidades (mapeamento e modelagem).

Com o mapeamento e a modelagem, é possível definir as propriedades de uma entidade, como se ela é interna ou externa ou se é considerada maliciosa. O status interno ou externo de uma entidade é determinado pelas configurações da plataforma. O status malicioso é decidido pelo produto em execução no playbook. O objetivo do mapeamento e da modelagem é especificar detalhes importantes, como a origem, o carimbo de data/hora e o tipo dos dados.

O mapeamento e a modelagem ocorrem uma vez quando os dados são ingeridos pela primeira vez. Depois disso, o sistema aplica as regras relevantes a todos os casos novos e recebidos. a implantará. 

Playbooks

Um playbook é um processo de automação que pode ser acionado por uma condição predefinida. Por exemplo, você pode acionar um playbook para cada alerta que contém o nome do produto "E-mail". Quando acionado, o playbook é anexado a cada alerta ingerido no Google SecOps SOAR desse produto.

Ele também executa uma série de ações com base em uma árvore definida de condições (fluxos):

• As ações são configuradas para serem executadas manual ou automaticamente no escopo das entidades do alerta.
• As ações são executadas em uma ordem definida até que uma resolução final seja alcançada para o alerta de acionamento.

Por exemplo, é possível configurar a ação VirusTotal: verificar URL para ser executada automaticamente apenas em um tipo de entidade específico, como entidades de URL.

Ambientes

Os ambientes são contêineres lógicos usados para alcançar a segregação de dados.

• Os administradores podem definir diferentes ambientes e atribuir usuários da plataforma a um ou mais deles.
• Os usuários só podem ver casos e informações relacionadas dos ambientes a que foram atribuídos.
• Algumas funções de usuário têm acesso a todos os ambientes, concedendo acesso total a todos os dados atuais e futuros na plataforma.