SOAR の目次

SOAR に関するドキュメントの上部にある SOAR をクリックすると、いつでもこの目次に戻ることができます。

Google SecOps SOAR

プロダクトの概要

スタートガイド

Google SecOps SOAR をオンボーディングする

ユーザーのデスク

デスクの概要

デスクからリクエストを記入する

デスクから保留中のアクションに対応する

デスクからケースを表示する

ケースとアラートの調査

ケースの操作

ケースの概要

[ケース] 画面

ケースキューのヘッダーの概要

[ケースの概要] タブ

[ケースウォール] タブ

ケースでのインスタント メッセージ

[ケース] 画面でタスクを管理する

手動による対策を実行する

[ケース] 画面でタグを管理する

ケースに対応する

ケースをインシデントとしてマークする

ケースをシミュレートする

テストケースを作成する

ケースをクローズする方法

クローズしたケースの内容を表示する

ケースでタグを定義する(管理者)

ケースのデフォルト ビューを定義する(管理者)

Gemini の要約

ケースステージを追加または削除する(管理者)

[ケース] 画面の [アラート オプション] メニュー

ケース内の元の SIEM データを表示する

エンティティとアラートを確認する(調査)

サポートされるエンティティ タイプ

エンティティ エクスプローラ画面を操作する

複数のケースに対して一括操作を一度に実行する

セキュリティ アナリストがケースを閉じる、または取り上げるのに要する時間を測定する

新しいケースクローズの根本原因を追加する(管理者)

ケースに名前を付ける(管理者)

手動ケースを作成する

ケースを新しい環境に移動する

エンティティ プロパティを追加または編集する

フィルタを適用して保存する

エンティティの選択

アラートの操作

[アラートの概要] タブ

[アラート ハンドブック] タブ

ケースの優先度ではなくアラートの優先度を変更する

[アラート イベント] タブ

アラートのグループ化メカニズムの概要(管理者)

ハンドブックを再実行する

アラートをグループ化する(動画)

アラート オーバーフロー メカニズムを構成する方法(管理者)

デフォルトのアラートビューを定義する(管理者)

大規模なアラートを処理する

検索画面を操作する

データを取り込む

コネクタ

コネクタを使用してデータを取り込む

コネクタログを表示する

ElasticSearch コネクタ: カスタムの日時をマッピングする

コネクタで環境を定義する

Webhook

Webhook を設定する

アラートへの対応

ハンドブックを操作する

ハンドブックの概要

ハンドブックでトリガーを使用する

ハンドブックでアクションを使用する

ハンドブックでフローを使用する

Expression Builder を使用する

ハンドブック シミュレータを使用する

ハンドブック ナビゲーターを使用する

ハンドブックのブロックを操作する

ハンドブック モニタリングの概要

ハンドブック デザイナーを使用してカスタマイズしたアラートビューを定義する

ハンドブックでのアラートタイプ トリガーの使用

ハンドブックでの一括アクションとフィルタ

HTML ウィジェットを使用する

プレイブック ブロックを作成する(動画)

ハンドブックのライフサイクル管理(動画)

ハンドブックの一括操作(動画)

ハンドブック シミュレータを使用する(動画)

VirusTotal で複数の URL をスキャンする

ケースデータの要素をメール メッセージに入れる

メールで受け取った URL をスキャンする

電話番号にメッセージを送信する

ハンドブックをアラートにアタッチする

Expression Builder のユースケース

アクションとハンドブック ブロックを割り当てる

ハンドブックのアイコンの凡例

ハンドブックの非同期アクションのタイムアウトを構成する

ハンドブックの権限

アクションの承認リンクを割り当てる

並列アクションを使用する

ハンドブック ビューで事前定義済みウィジェットを使用する

ユーザーがハンドブックを変更できないようにする

Google SecOps からメールを送信する

Gemini を使用してハンドブックを作成

統合開発環境(IDE)

IDE を使用する

カスタム アクションを作成する

新しい統合を開発する(動画)

カスタム インテグレーションを構築する

IDE のカスタムコードの検証

ジョブを書き込む

ステージング モードで統合をテストする

統合の設定

インテグレーションを構成する

Python バージョンを 3.11 にアップグレードする

複数のインスタンスをサポートする

外部ボールト システムを操作する

初めての統合

最初の統合を公開するための要件

最初のアクション

最初の自動化(Playbook)

最初のコネクタ

コネクタを開発する

コネクタを構成する

コネクタをテストする

地図とモデルのアラート

最初のユースケース

最初のユースケースを公開するための要件

インシデント マネージャー

インシデント マネージャーの概要

インシデント マネージャーからインシデントを開く

[ケース] 画面からインシデントを開く

インシデント マネージャーの部門を定義する

インシデント マネージャーで監査担当者を定義する

承認済み環境を定義する

インシデント管理に共同編集者を招待する

インシデント マネージャー ダッシュボードを操作する

ワークステーションを使用する

インシデント レポートを作成する

インシデント マネージャーを使用する(動画)

Google SecOps Marketplace

Google SecOps Marketplace を使用する

ユースケースを実行する

パワーアップ

コネクタ

メール ユーティリティ

拡充

ファイル ユーティリティ

関数

GitSync

TemplateEngine

分析情報

リスト

ツール

モニタリングと報告

ダッシュボード

ダッシュボードの概要

新しいダッシュボードを追加する

ダッシュボード ウィジェットを追加する

例: ダッシュボードに新しいウィジェットを追加する

ダッシュボード画面の概要

レポート

レポートの見方

Looker で詳細レポートを使用する

綿密な詳細レポートをデフォルトにする

ROI レポートを生成する(SOC マネージャー)

4 つの詳細レポートを深く掘り下げる

設定

環境

新しい環境を追加する

環境グループを作成する(SOAR のみ)

環境で動的パラメータを使用する

環境を削除する

動的パラメータを使用する(動画)

環境のアライメント(動画)

他の環境へのアクセスを許可する

権限

権限グループの操作

お客様 ID を確認する

ロールを操作する

API キーを操作する

Google サポートにプラットフォームへのアクセスを許可する

ログイン後のランディング ページを定義する

ユーザーと連携する(SOAR のみ)

SOAR プラットフォームに新しいユーザーを追加する

共同編集者ユーザーを追加するメリット

共同編集者ユーザーを作成する

閲覧専用権限を持つユーザーを作成する

SOAR でユーザー アカウントを無効にするか削除する

ユーザーの種類

マネージド ユーザーを作成する

メール招待状の前提条件

パスワード ポリシー(SOAR のみ)

ケース管理連携(SOAR のみ)

SAML の概要(SOAR のみ)

SAML プロバイダを構成する

Workspace 用の SAML 構成

Microsoft Azure の SAML 構成

Okta の SAML 構成

Okta プロバイダを構成する(動画)

SAML の構成方法(動画)

ジャストインタイム ユーザー プロビジョニング

複数の SAML プロバイダを構成する

SAML に関する一般的な問題のトラブルシューティング

オントロジー

オントロジーの概要

モデル ファミリーとフィールドのマッピングを表示する

ビジュアル ファミリー

構成するイベントを決定する

マッピングを構成してビジュアル ファミリーを割り当てる

エンティティ区切り文字を操作する

エンティティを作成する(マッピングとモデリング)

構成タスク

エンティティをアラートから除外するブロックリストを作成する

カスタムリストを作成する

メールの HTML テンプレートを作成する

メール テンプレートを作成する

MSSP のドメインを定義する

ユーザーのリクエストを定義する(管理者)

ネットワークを管理する

サービスレベル契約(SLA)を設定する

メールの HTML テンプレートで動的変数を使用する

高度なタスク

Google サポートのチケットを開く

Google SecOps プラットフォームへのアクセスを制御する

システムデータの保持を定義する

ユーザー アクティビティをモニタリングする

リブランディング

すべてのユーザーのタイムゾーンを設定する(管理者)

メールを設定する

サービス上限の表示と変更

プロパティのメタデータを管理する

未加工の Python ログを取得する

SOAR の削除後のクリーンアップ

リモート エージェント

リモート エージェントの概要

要件と前提条件

リモート エージェントのアーキテクチャ

リモート エージェントのスケーリング戦略

リモート エージェントを管理する

Docker を使用してエージェントを作成する

RHEL でインストーラを使用してエージェントを作成する

CentOS でインストーラを使用してエージェントを作成する

エージェントの Docker イメージをアップグレードする

RHEL 用のインストーラでエージェントをアップグレードする

CentOS 用のインストーラでエージェントをアップグレードする

リモート エージェントを編集する

リモート エージェントを再デプロイする

インストーラと Docker エージェントの構成

データフローおよびプロトコル

インテグレーションとコネクタを設定する

エージェントをテストする

リモート エージェントをアップグレードする

リモート エージェントの高可用性をデプロイする

トラブルシューティング