Table des matières de SOAR
Vous pouvez revenir à cette table des matières à tout moment en cliquant sur
en haut des documents destinés au SOAR.
Google SecOps SOAR
Intégrez le SOAR Google SecOps
Votre bureau
Remplir une demande depuis le bureau de travail
Répondre aux actions en attente du bureau de travail
Consulter les demandes depuis le bureau
Examiner les demandes et les alertes
Travailler avec les cas
Présentation de l'en-tête de la file d'attente des demandes
Onglet "Case Wall" (Mur de cas)
Messagerie instantanée sur une demande
Gérer des tâches depuis l'écran "Demandes"
Gérer les tags à partir de l'écran "Cases" (Demandes)
Prendre des mesures sur une demande
Marquer une demande comme incident
Afficher le contenu des demandes clôturées
Définir des tags dans les demandes (administrateur)
Définir une vue par défaut pour les demandes (administrateur)
Ajouter ou supprimer des étapes de demande (administrateur)
Menu "Options d'alerte" sur l'écran "Demandes"
Afficher les données SIEM d'origine dans une demande
Explorer les entités et les alertes (enquête)
Parcourir l'écran de l'explorateur d'entités
Effectuer une action par lot sur plusieurs demandes à la fois
Mesurez le temps que mettent les analystes de sécurité pour fermer ou déposer une demande
Ajouter une cause de clôture de demande (administrateur)
Attribuer un nom à une demande (administrateur)
Déplacer une demande vers un nouvel environnement
Ajouter ou modifier des propriétés d'entité
Appliquer et enregistrer des filtres
Utiliser les alertes
Onglet "Playbooks" (Playbooks) des alertes
Modifier la priorité des alertes plutôt que celle du cas
Présentation du mécanisme de regroupement des alertes (administrateur)
Configurer le mécanisme de débordement des alertes (administrateur)
Définir la vue d'alerte par défaut (administrateur)
Gérer les alertes volumineuses
Recherche
Ingérer des données
Connecteurs
Ingérer vos données à l'aide de connecteurs
Afficher les journaux du connecteur
Connecteur Elasticsearch : mapper une date et une heure personnalisées
Définir des environnements dans les connecteurs
Webhooks
Répondre aux alertes
Utiliser des playbooks
Utiliser des déclencheurs dans les playbooks
Utiliser des actions dans les playbooks
Utiliser des flux dans des playbooks
Utiliser le Développeur d'expressions
Utiliser le simulateur de playbook
Utiliser le navigateur du playbook
Utiliser les blocs de playbook
Présentation du suivi des playbooks
Définir des vues d'alerte personnalisées à l'aide du Créateur de playbook
Utiliser des déclencheurs de type d'alerte dans un playbook
Actions groupées et filtres dans les playbooks
Créer des blocs de playbooks (vidéo)
Gestion du cycle de vie des playbooks (vidéo)
Actions groupées dans les playbooks (vidéo)
Utiliser le simulateur du playbook (vidéo)
Analyser plusieurs URL dans VirusTotal
Insérer des éléments des données de la demande dans un e-mail
Analyser les URL reçues par e-mail
Envoyer des messages à un numéro de téléphone
Joindre des playbooks à une alerte
Cas d'utilisation du développeur d'expressions
Attribuer des actions et des blocs de playbook
Légende des icônes du playbook
Configurer les délais avant expiration des actions asynchrones du playbook
Attribuer des liens d'approbation dans les actions
Utiliser des actions parallèles
Utiliser des widgets prédéfinis dans la vue du playbook
Empêcher les utilisateurs de modifier les playbooks
Envoyer un e-mail depuis Google SecOps
Créer des playbooks avec Gemini
Environnement de développement intégré (IDE)
Créer une action personnalisée
Développer une nouvelle intégration (vidéo)
Créer une intégration personnalisée
Validation du code personnalisé dans l'IDE
Tester les intégrations en mode préproduction
Configuration des intégrations
Mettre à niveau la version de Python vers 3.11
Compatibilité avec plusieurs instances
Utiliser un système de coffre-fort externe
Conditions requises pour publier votre première intégration
Ma première automatisation (Playbook)
Conditions requises pour publier votre premier cas d'utilisation
Gestionnaire d'incidents
Présentation du gestionnaire d'incidents
Ouvrir un incident à partir du gestionnaire d'incidents
Ouvrir un incident depuis l'écran "Demandes"
Définir des services pour le gestionnaire d'incidents
Définir des auditeurs dans le gestionnaire d'incidents
Définir les environnements autorisés
Inviter des collaborateurs à gérer les incidents
Utiliser le tableau de bord du gestionnaire d'incidents
Utiliser la station de travail
Utiliser le Gestionnaire d'incidents (vidéo)
Google SecOps Marketplace
Utiliser Google SecOps Marketplace
Exécuter des cas d'utilisation
Bonus
Surveillance et création de rapports
Tableaux de bord
Présentation du tableau de bord
Ajouter des widgets au tableau de bord
Exemple: Ajouter un widget à un tableau de bord
Présentation de l'écran du tableau de bord
Rapports
Utiliser les rapports avancés dans Looker
Rapports avancés par défaut détaillés
Générer des rapports sur le ROI (responsables SOC)
Présentation détaillée de quatre rapports avancés
Paramètres
Environnements
Créer des groupes d'environnements (SOAR uniquement)
Utiliser des paramètres dynamiques dans des environnements
Utiliser des paramètres dynamiques (vidéo)
Alignement des environnements (vidéo)
Autoriser l'accès à d'autres environnements
Autorisations
Utiliser des groupes d'autorisations
Autoriser l'assistance Google à accéder à votre plate-forme
Définir une page de destination après la connexion
Travailler avec des utilisateurs (SOAR uniquement)
Ajouter un utilisateur à la plate-forme SOAR
Avantages de l'ajout d'un collaborateur
Créer un utilisateur collaborateur
Créer un utilisateur disposant d'une autorisation en lecture seule
Désactiver ou supprimer un compte utilisateur dans SOAR
Conditions préalables à l'envoi des invitations par e-mail
Règles relatives aux mots de passe (SOAR uniquement)
Fédération de la gestion des demandes (SOAR uniquement)
Présentation de SAML (SOAR uniquement)
Configurer un fournisseur SAML
Configuration SAML pour Workspace
Configuration SAML pour Microsoft Azure
Configurer un fournisseur Okta (vidéo)
Provisionnement des utilisateurs juste à temps
Configurer plusieurs fournisseurs SAML
Résoudre les problèmes SAML courants
Ontologie
Afficher la famille de modèles et le mappage des champs
Choisir les événements à configurer
Configurer le mappage et attribuer des familles visuelles
Utiliser des délimiteurs d'entités
Créer des entités (mappage et modélisation)
Tâches de configuration
Créer une liste de blocage pour exclure des entités des alertes
Créer des listes personnalisées
Créer des modèles d'e-mail HTML
Définir des domaines pour les MSSP
Définir les demandes pour les utilisateurs (administrateur)
Définir le contrat de niveau de service (SLA)
Utiliser des variables dynamiques dans des modèles HTML d'e-mail
Tâches avancées
Ouvrir une demande d'assistance Google
Contrôler l'accès à la plate-forme Google SecOps
Définir la conservation des données système
Surveiller les activités des utilisateurs
Changement de nom de l'entreprise
Définir le fuseau horaire pour tous les utilisateurs (administrateur)
Afficher et modifier les limites de service
Gérer les métadonnées de vos établissements
Récupérer les journaux Python bruts
Effectuer un nettoyage après la suppression de SOAR
Agents distants
Présentation des agents distants
Conditions requises et prérequis
Architecture des agents à distance
Stratégie de mise à l'échelle des agents à distance
Créer un agent avec le programme d'installation sur RHEL
Créer un agent avec le programme d'installation sur CentOS
Mettre à niveau l'image Docker de l'agent
Mettre à niveau l'agent avec le programme d'installation pour RHEL
Mettre à niveau l'agent avec le programme d'installation pour CentOS
Configuration du programme d'installation et de l'agent Docker
Configurer les intégrations et les connecteurs
Mettre à niveau les agents distants
Déployer la haute disponibilité pour les agents distants