SOAR 목차

SOAR용 문서 상단에 있는 을 클릭하면 언제든지 이 목차로 돌아갈 수 있습니다.

Google SecOps SOAR

제품 개요

시작하기

Google SecOps SOAR 온보딩

내 Workdesk

Workdesk 개요

Workdesk에서 요청 작성

Workdesk의 대기 중인 작업에 응답

Workdesk에서 케이스 보기

케이스 및 알림 조사

케이스로 작업하기

Cases 개요

Cases 화면

케이스 큐 헤더 개요

케이스 개요 탭

케이스 월 탭

케이스에서 채팅

Cases 화면에서 태스크 관리

직접 조치 수행

Cases 화면에서 태그 관리

케이스에 대한 조치 수행

케이스를 이슈로 표시

케이스 시뮬레이션

테스트 사례 만들기

케이스를 종료하는 방법

종료된 케이스의 콘텐츠 보기

케이스의 태그 정의(관리자)

케이스의 기본 뷰 정의(관리자)

Gemini 요약

케이스 단계 추가 또는 삭제(관리자)

Cases 화면의 알림 옵션 메뉴

케이스에서 원본 SIEM 데이터 보기

항목 및 알림 살펴보기(조사)

지원되는 항목 유형

항목 탐색기 화면 탐색

한 번에 여러 케이스의 일괄 작업 수행

보안 분석가가 케이스를 종료하거나 제기하는 데 걸리는 시간 측정

새로운 케이스 종료 근본 원인 추가(관리자)

케이스 이름 지정(관리자)

수동 케이스 만들기

케이스를 새 환경으로 이동

항목 속성 추가 또는 수정

필터 적용 및 저장

항목 선택

알림으로 작업하기

알림 개요 탭

알림 플레이북 탭

케이스 우선순위 대신 알림 우선순위 변경

알림 이벤트 탭

알림 그룹화 메커니즘 개요(관리자)

플레이북 다시 실행

알림 그룹화(동영상)

알림 오버플로 메커니즘 구성 방법(관리자)

기본 알림 뷰 정의(관리자)

대규모 알림 처리

검색

검색 화면 사용

데이터 수집

커넥터

커넥터를 사용하여 데이터 수집

커넥터 로그 보기

ElasticSearch 커넥터: 커스텀 날짜 및 시간 매핑

커넥터에서 환경 정의

웹훅

웹훅 설정

알림에 응답

플레이북 사용

플레이북 개요

플레이북에서 트리거 사용

플레이북에서 작업 사용

플레이북에서 흐름 사용

표현식 빌더 사용

플레이북 시뮬레이터 사용

플레이북 탐색기 사용

플레이북 블록 작업

플레이북 모니터링 개요

Playbook Designer를 사용하여 맞춤설정된 알림 뷰 정의

플레이북에서 알림 유형 트리거 사용

플레이북의 일괄 작업 및 필터

HTML 위젯 사용

플레이북 블록 만들기(동영상)

플레이북 수명 주기 관리(동영상)

플레이북 일괄 작업(동영상)

플레이북 시뮬레이터 사용(동영상)

VirusTotal에서 여러 URL 스캔

케이스 데이터 요소를 이메일 메시지에 넣기

이메일로 받은 URL 스캔

전화번호로 메시지 보내기

알림에 플레이북 연결

표현식 빌더의 사용 사례

작업 및 플레이북 블록 할당

플레이북 아이콘 범례

플레이북 비동기 작업 제한 시간 구성

플레이북 권한

작업에 승인 링크 할당

병렬 작업 사용

플레이북 보기에서 사전 정의된 위젯 사용

사용자의 플레이북 변경 방지

Google SecOps에서 이메일 보내기

Gemini로 플레이북 만들기

통합 개발 환경(IDE)

IDE 사용

커스텀 작업 만들기

새 통합 개발(동영상)

커스텀 통합 빌드

IDE 커스텀 코드 검증

쓰기 작업

스테이징 모드에서 통합 테스트

통합 설정

통합 구성

Python 버전을 3.11로 업그레이드

여러 인스턴스 지원

외부 vault 시스템 사용

첫 번째 통합

첫 번째 통합 게시 요구사항

첫 번째 작업

첫 번째 자동화(플레이북)

첫 번째 커넥터

커넥터 개발

커넥터 구성

커넥터 테스트

매핑 및 모델 알림

첫 번째 사용 사례

첫 번째 사용 사례 게시를 위한 요구사항

이슈 관리자

이슈 관리자 개요

이슈 관리자에서 이슈 열기

케이스 화면에서 이슈 열기

이슈 관리자 부서 정의

이슈 관리자에서 감사관 정의

승인된 환경 정의

이슈 관리에 공동작업자 초대

이슈 관리자 대시보드 사용

워크스테이션 사용

이슈 보고서 만들기

이슈 관리자 사용(동영상)

Google SecOps Marketplace

Google SecOps Marketplace 사용

사용 사례 실행

파워업

커넥터

이메일 유틸리티

보강

파일 유틸리티

함수

GitSync

TemplateEngine

통계

목록

도구

모니터링 및 보고

대시보드

대시보드 개요

새 대시보드 추가

대시보드 위젯 추가

예시: 대시보드에 새 위젯 추가

대시보드 화면 개요

보고서

보고서 이해

Looker에서 고급 보고서 사용

심층적인 기본 고급 보고서

ROI 보고서 생성(SOC 관리자)

4가지 고급 보고서 심층 분석

설정

환경

새 환경 추가

환경 그룹 만들기(SOAR만 해당)

환경에서 동적 파라미터 사용

환경 삭제

동적 매개변수 사용(동영상)

환경 정렬(동영상)

다른 환경에 대한 액세스 허용

권한

권한 그룹 사용

고객 ID 보기

역할 작업

API 키 사용

Google 지원에서 플랫폼에 액세스하도록 허용

로그인 후 방문 페이지 정의

사용자 작업(SOAR 전용)

SOAR 플랫폼에 새 사용자 추가

공동작업자 사용자 추가의 이점

공동작업자 사용자 만들기

보기 전용 권한이 있는 사용자 만들기

SOAR에서 사용자 계정 중지 또는 삭제

사용자 유형

관리 사용자 만들기

이메일 초대 기본 요건

비밀번호 정책(SOAR만 해당)

케이스 관리 제휴(SOAR만 해당)

SAML 개요(SOAR만 해당)

SAML 제공업체 구성

Workspace용 SAML 구성

Microsoft Azure용 SAML 구성

Okta의 SAML 구성

Okta 제공업체 구성(동영상)

SAML 구성 방법(동영상)

JIT(Just-In-Time) 사용자 프로비저닝

여러 SAML 제공업체 구성

일반적인 SAML 문제 해결

온톨로지

온톨로지 개요

모델 계열 및 필드 매핑 보기

시각적 계열

구성할 이벤트 결정

매핑 구성 및 시각적 계열 할당

항목 구분 기호로 작업하기

항목 만들기(매핑 및 모델링)

구성 태스크

알림에서 항목을 제외하는 차단 목록 만들기

커스텀 목록 만들기

이메일 HTML 템플릿 만들기

이메일 템플릿 만들기

MSSP의 도메인 정의

사용자의 요청 정의(관리자)

네트워크 관리하기

서비스수준계약(SLA) 설정

이메일 HTML 템플릿에서 동적 변수 사용

고급 태스크

Google 지원 티켓 열기

Google SecOps 플랫폼에 대한 액세스 제어

시스템 데이터 보관 정의

사용자 활동 모니터링

리브랜딩

모든 사용자의 시간대 설정(관리자)

이메일 설정

서비스 한도 보기 및 변경

속성 메타데이터 관리

원시 Python 로그 검색

SOAR 삭제 후 정리

원격 에이전트

원격 에이전트 개요

요구사항 및 기본 요건

원격 에이전트 아키텍처

원격 에이전트 확장 전략

원격 에이전트 관리

Docker를 사용하여 에이전트 만들기

RHEL에서 설치 프로그램을 사용하여 에이전트 만들기

CentOS에서 설치 프로그램을 사용하여 에이전트 만들기

에이전트 Docker 이미지 업그레이드

RHEL용 설치 프로그램으로 에이전트 업그레이드

CentOS용 설치 프로그램으로 에이전트 업그레이드

원격 에이전트 수정

원격 에이전트 재배포

설치 프로그램 및 Docker 에이전트 구성

데이터 흐름 및 프로토콜

통합 및 커넥터 설정

에이전트 테스트

원격 에이전트 업그레이드

원격 에이전트에 고가용성 배포

문제 해결