SOAR TOC

如要隨時返回目錄，請按一下 SOAR 文件頂端的 。

Google SecOps SOAR

產品總覽

入門指南

Google SecOps 發布計畫

啟用 Google SecOps SOAR

管理使用者偏好設定

您的工作區

工作台總覽

在工作區填寫要求

從工作區回應待處理的動作

從工作台查看案件

調查案件和快訊

處理案件

案件總覽

瞭解案件頁面版面配置和選項

探索案件佇列標題

在「總覽」分頁中查看案件層級資料

建立自訂欄位 (管理員)

「案件牆」分頁

案件即時通訊

追蹤案件中的工作和標記

執行手動操作

對案件採取行動

建立測試案例

解決及結案

在「結案」對話方塊中使用自訂欄位

定義案件的預設檢視畫面 (管理員)

Gemini 摘要

新增或刪除案件階段 (管理員)

「案件」畫面中的「快訊選項」選單

在案件中查看原始 SIEM 資料

探索實體和快訊 (調查)

支援的實體類型

瀏覽實體探索器畫面

一次對多個案件執行批次動作

評估安全分析師關閉或提出案件所需的時間

自訂「關閉案件」對話方塊 (管理員)

為案件命名 (管理員)

手動建立案件

將案件移至新環境

新增或編輯實體屬性

套用及儲存篩選器

選取實體

使用快訊

「快訊總覽」分頁

「快訊應對手冊」分頁

變更快訊優先順序，而非案件優先順序

「快訊事件」分頁

快訊分組機制總覽 (管理員)

重新執行劇本

如何設定快訊溢位機制 (管理員)

定義預設快訊檢視畫面 (管理員)

處理大型快訊

搜尋

使用 SOAR 搜尋

擷取資料

連接器

使用連接器擷取資料

查看連接器記錄

ElasticSearch 連接器：對應自訂日期和時間

在連接器中定義環境

Webhook

設定 Webhook

回應快訊

使用應對手冊

探索「Playbooks」頁面

在劇本中使用觸發條件

在劇本中使用動作

在劇本中使用流程

使用運算式產生器

使用應對手冊模擬工具

使用應對手冊導覽工具

使用教戰手冊區塊

應對手冊監控總覽

使用應對手冊設計工具定義自訂快訊檢視畫面

在劇本中使用快訊類型觸發條件

教戰手冊中的大量操作和篩選器

使用 HTML 小工具

教戰手冊生命週期管理 (影片)

應對手冊大量動作 (影片)

使用應對手冊模擬工具 (影片)

在 VirusTotal 中掃描多個網址

將案件資料元素放入電子郵件訊息

掃描透過電子郵件收到的網址

傳送訊息至電話號碼

將應對手冊附加至快訊

運算式產生器的用途

指派動作和應對手冊區塊

教戰手冊圖示說明

設定應對手冊非同步動作的逾時時間

應對手冊權限

在動作中指派核准連結

使用平行動作

在應對手冊檢視畫面中使用預先定義的小工具

禁止使用者變更劇本

從 Google SecOps 傳送電子郵件

使用 Gemini 建立應對手冊

整合式開發環境 (IDE)

使用 IDE

建立自訂動作

開發新的整合功能 (影片)

建立自訂整合

寫入工作

在預先發布模式下測試整合

整合設定

設定整合項目

將 Python 版本升級至 3.11

支援多個執行個體

使用外部保管庫系統

建立第一個自訂整合

發布整合服務的相關規定

建立第一個動作

我的第一個自動化程序 (教戰手冊)

開發第一個電子郵件連接器

開發連接器

設定連接器

測試連接器

地圖和模型快訊

建立第一個用途

Google SecOps Marketplace

使用 Google SecOps Marketplace

執行用途

增強工具

連接器

電子郵件公用程式

內容豐富度

檔案公用程式

函式

GitSync

TemplateEngine

Insights

清單

工具

監控及回報

資訊主頁

SOAR 資訊主頁總覽

新增 SOAR 資訊主頁小工具

探索 SOAR 資訊主頁頁面

報表

探索 SOAR 報表

在 SOAR 報表中使用 Looker 探索

SOAR API

Google SecOps SOAR API

設定

環境

使用環境

建立環境群組 (僅限 SOAR)

在環境中使用動態參數

使用動態參數 (影片)

權限

管理權限群組

找出客戶 ID

管理角色和工作負載

管理 API 金鑰

允許 Google 支援團隊存取執行個體

定義到達網頁

與使用者合作 (僅限 SOAR)

將新使用者新增至 SOAR 平台

新增協作者的好處

建立協作者使用者

建立僅有檢視權限的使用者

在 SOAR 中停用或刪除使用者帳戶

使用者類型

建立受管理的使用者

電子郵件邀請的先決條件

密碼政策 (僅限 SOAR)

案件管理聯盟 (僅限 SOAR)

SAML 總覽 (僅限 SOAR)

使用單一登入 (SSO) 驗證使用者

為 Google Workspace 設定 SAML

為 Microsoft Azure 設定 SAML

在 Google SecOps SOAR 中設定 Okta

設定即時佈建

將 IdP 群組對應至 SOAR 角色

設定多個 SAML 提供者

排解 Google SecOps SOAR 中的 SAML 問題

本體

本體總覽

視覺化分組

設定對應並指派視覺化分組

使用實體分隔符

建立實體 (對應和建模)

設定工作

建立封鎖清單，將實體從快訊中排除

建立自訂清單

建立電子郵件 HTML 範本

建立電子郵件範本

為 MSSP 定義網域

管理環境負載平衡

建立使用者要求

管理網路

設定服務水準協議 (SLA)

在電子郵件 HTML 範本中使用動態變數

進階工作

遷移至 Google Cloud

向 Google 支援團隊建立支援單

收集 SOAR 記錄

控管 Google SecOps 平台存取權

定義系統資料保留時間

監控使用者活動

品牌重塑

為所有使用者設定時區 (管理員)

設定電子郵件

查看及變更服務限制

管理資源中繼資料

擷取原始 Python 記錄

移除 SOAR 後進行清理

遠端代理程式

遠端代理程式總覽

規定和必要條件

遠端代理程式架構

遠端服務專員的擴充策略

管理遠端代理程式

使用 Docker 建立代理程式

在 RHEL 上使用安裝程式建立代理程式

在 CentOS 上使用安裝程式建立代理程式

升級代理程式 Docker 映像檔

使用 RHEL 專用安裝程式升級代理程式

使用 CentOS 專用安裝程式升級代理程式

編輯遠端代理程式

重新部署遠端代理程式

安裝程式和 Docker 代理程式設定

資料流程和通訊協定

設定整合和連接器

測試代理程式

升級遠端代理程式

部署遠端代理程式的高可用性

疑難排解