SOAR 目录

您可以随时点击 SOAR 文档顶部的 飙升,返回到此目录。

Google SecOps SOAR

产品概览

使用入门

开始使用 Google SecOps SOAR

您的工作桌

工作台概览

通过工作台填写请求

通过工作台回复待处理的操作

通过工作台查看支持请求

调查支持请求和提醒

处理支持请求

支持请求概览

“支持请求”页面

支持请求队列标题概览

“支持请求概览”标签页

“案例墙”标签页

关于支持请求的即时通讯

在“支持请求”屏幕中管理任务

执行人工处置措施

在“支持请求”屏幕中管理标记

对支持请求采取行动

将支持请求标记为突发事件

模拟支持请求

创建测试用例

如何关闭支持请求

查看已结支持请求的内容

在支持请求中定义标记(管理员)

为支持请求定义默认视图(管理员)

Gemini 摘要

添加或删除支持请求阶段(管理员)

“案例”屏幕中的“提醒选项”菜单

查看支持请求中的原始 SIEM 数据

探索实体和提醒(调查)

支持的实体类型

浏览“实体浏览器”界面

一次对多项支持请求执行批量操作

衡量安全分析师关闭或提出支持请求所需的时间

自定义“关闭支持请求”对话框(管理员)

为支持请求命名(管理员)

创建人工支持请求

将支持请求移至新环境

添加或修改实体属性

应用和保存过滤条件

实体选择

使用提醒

“提醒概览”标签页

“提醒手册”标签页

更改提醒优先级,而不是更改支持请求优先级

“提醒事件”标签页

提醒分组机制概览(管理员)

重新运行 Playbook

如何配置提醒溢出机制(管理员)

定义默认提醒视图(管理员)

处理大型提醒

使用搜索屏幕

注入数据

连接器

使用连接器提取数据

查看连接器日志

ElasticSearch 连接器:映射自定义日期和时间

在连接器中定义环境

Webhook

设置 Webhook

响应提醒

使用 Playbook

Playbook 概览

在 Playbook 中使用触发器

在 Playbook 中使用操作

在 Playbook 中使用流程

使用表达式构建器

使用 Playbook 模拟器

使用 Playbook 导航器

使用 Playbook 块

Playbook 监控概览

使用 Playbook Designer 定义自定义提醒视图

在 Playbook 中使用提醒类型触发器

手册中的批量操作和过滤条件

使用 HTML 微件

Playbook 生命周期管理(视频)

Playbook 批量操作(视频)

使用 Playbook 模拟器(视频)

在 VirusTotal 中扫描多个网址

将支持请求数据的元素放入电子邮件中

扫描通过电子邮件收到的网址

向手机号码发送消息

将 Playbook 附加到提醒

表达式构建器的使用场景

分配操作和 Playbook 块

Playbook 图标图例

为 Playbook 异步操作配置超时

Playbook 权限

在操作中分配审批链接

使用并行操作

在 Playbook 视图中使用预定义的微件

禁止用户更改 Playbook

通过 Google SecOps 发送电子邮件

使用 Gemini 创建 playbook

集成开发环境 (IDE)

使用 IDE

创建自定义操作

开发新的集成(视频)

构建自定义集成

IDE 自定义代码验证

写入作业

在预演模式下测试集成

集成设置

配置集成

将 Python 版本升级到 3.11

支持多个实例

使用外部保险柜系统

我的第一个集成

发布您的第一个集成所需满足的要求

我的第一个操作

我的第一个自动化操作(Playbook)

我的第一个连接器

开发连接器

配置连接器

测试连接器

地图和模型提醒

我的第一个用例

发布您的首个用例的要求

突发事件管理器

突发事件管理器概览

通过 Incident Manager 打开服务中断

从“支持请求”屏幕打开突发事件

为突发事件管理器定义部门

在 Incident Manager 中定义审核员

定义授权环境

邀请协作者使用突发事件管理

使用突发事件管理信息中心

使用工作站

创建突发事件报告

Google SecOps Marketplace

使用 Google SecOps Marketplace

运行用例

增强工具

连接器

电子邮件实用工具

丰富

文件实用程序

函数

GitSync

TemplateEngine

数据分析

列表

工具

监控和报告

信息中心

信息中心概览

添加新信息中心

添加信息中心微件

示例:向信息中心添加新微件

信息中心界面概览

报告

了解报告

在 Looker 中使用高级报告

在 SOAR 报告中使用 Looker 探索

详细了解默认的高级报告

生成投资回报率报告(SOC 经理)

深入了解四种高级报告

SOAR API

Google SecOps SOAR API

设置

环境

添加新环境

创建环境组(仅限 SOAR)

在环境中使用动态参数

删除环境

使用动态参数(视频)

允许访问其他环境

权限

使用权限组

查看您的客户 ID

使用角色

使用 API 密钥

允许 Google 支持团队访问您的平台

定义登录后的着陆页

与用户合作(仅限 SOAR)

向 SOAR 平台添加新用户

添加协作者用户的好处

创建协作者用户

创建具有“只能查看”权限的用户

在 SOAR 中停用或删除用户账号

用户类型

创建受管用户

电子邮件邀请的前提条件

密码政策(仅限 SOAR)

案例管理联合(仅限 SOAR)

SAML 概览(仅限 SOAR)

配置 SAML 提供程序

Workspace 的 SAML 配置

Microsoft Azure 的 SAML 配置

Okta 的 SAML 配置

即时用户配置

配置多个 SAML 提供方

排查常见的 SAML 问题

本体

“本体”概览

查看模型系列和字段映射

视觉系列

确定要配置哪些事件

配置映射并分配视觉族

使用实体分隔符

创建实体(映射和建模)

配置任务

创建屏蔽名单以从提醒中排除实体

创建自定义列表

创建电子邮件 HTML 模板

创建电子邮件模板

为 MSSP 定义网域

为用户定义请求(管理员)

管理网络

设置服务等级协议 (SLA)

在电子邮件 HTML 模板中使用动态变量

高级任务

向 Google 支持团队提交工单

控制对 Google SecOps 平台的访问权限

定义系统数据保留

监控用户活动

品牌改名

为所有用户设置时区(管理员)

设置电子邮件地址

查看和更改服务限制

管理媒体资源元数据

检索原始 Python 日志

移除 SOAR 后进行清理

远程代理

远程代理概览

要求和前提条件

远程代理架构

远程代理伸缩策略

管理远程代理

使用 Docker 创建代理

在 RHEL 上使用安装程序创建代理

在 CentOS 上使用安装程序创建代理

升级代理 Docker 映像

升级 RHEL 上使用安装程序部署的代理

升级 CentOS 上使用安装程序部署的代理

修改远程代理

重新部署远程代理

安装程序和 Docker 代理配置

数据流和协议

设置集成和连接器

测试代理

升级远程代理

为远程代理部署高可用性

问题排查