Google Security Operations プラットフォームを操作する

Chronicle Security Operations プラットフォームにアクセスすると、割り当てられている権限グループによって表示が異なります。スライドする左側のナビゲーション バーは、権限に基づいてカスタマイズされています。

プラットフォーム内を移動するには、スライドする左側のナビゲーション バーの上にポインタを置き、クリックしてすべての Google Security Operations 画面にアクセスします。

実行する処理 どこで探すか
受信したすべてのケースをプラットフォームで管理する
 ケース
ケースに対して行う必要があるカスタマイズされたアクションとタスクを表示する ユーザーのデスク
プラットフォーム全体で総合的に検索する
 調査 > SIEM 検索
ケースとエンティティを検索する
 調査 > SOAR 検索
SIEM ルールと検出をダッシュボード、エディタ、キュレートされた検出で管理する
 検出 > ルール > 検出
SIEM アラートと IOC 一致を表示する
 検出 > アラート > IOC
SIEM から得られたリスクスコアと傾向を表示する 検出 > リスク分析
関連するアラートがプラットフォームに到着したらすぐに開始される一連の自動アクションを設計する レスポンス > ハンドブック
異なるインスタンスの統合を構成する レスポンス > 統合の設定
事前定義ジョブを編集するか、定期的に実行するようにスケジュールできる新しいジョブを作成する レスポンス > ジョブ スケジューラ
商用統合のコードを編集するか、カスタム統合を作成する レスポンス > IDE
UDM イベントに基づいて分析とレポートを確認する
 ダッシュボードとレポート > SIEM ダッシュボード
ケース、ハンドブック、環境などに関する情報にアクセスして分析する ダッシュボードとレポート > SOAR ダッシュボード
Looker を使用して、事前定義された Google Security Operations SOAR レポートと高度なレポートの両方を表示する ダッシュボードとレポート > SOAR レポート
インシデントを危機的な状況としてハイライト表示し、インシデントに対処する専用のスペースを作成する インシデント マネージャー
サードパーティ統合に加えて、プラットフォームのユースケースとパワーアップをインストールする
 Google Security Operations Marketplace
SIEM の管理タスク、取り込み、解析構成を管理する 設定 > SIEM 設定
SOAR 機能のすべての管理タスクと構成を管理する
 設定 > SOAR 設定


SIEM 設定

実行する処理 どこで探すか
ユーザーと組織の詳細を表示する。 プロファイル
プラットフォームの SIEM 側のすべてのユーザーとグループを表示する ユーザーとグループ
プラットフォームの SIEM コンポーネントのロールと権限を表示する ロール
SIEM フィードを構成して表示する フィード
SIEM フォワーダーを構成して表示する フォワーダー
パーサーとパーサー拡張機能を管理する パーサー
関連する Google Cloud Platform プロジェクトの情報を表示する
 Google Cloud Platform
SIEM ユーザーのロールベースのアクセス制御を管理する
 データ RBAC
Google Workspace を設定して Google Security Operations にデータを転送する
 Workspace の接続

SOAR 設定

実行する処理 どこで探すか
Google SecOps プラットフォーム内のすべてのユーザーを表示する 組織 > ユーザー管理
環境の定義 組織 > 環境
異なるユーザー グループの権限と制限を管理する 組織 > 権限
ライセンスの詳細と現在の SOAR バージョンを表示する 組織 > ライセンス管理
セキュリティ チームのロールを追加または編集して、ケースや環境へのアクセスを制御する 組織 > ロール
ケースに自動的に追加されるタグを追加して管理する ケースデータ > タグ
組織で使用されるケースのさまざまなステージを定義する ケースデータ > ステージ
ケースをクローズする根本的な原因(悪意のあるものかどうか、実際の原因は何か)を定義する ケースデータ > ケース クローズの根本原因
ケース名の階層を設定する ケースデータ > ケース名
ウィジェットを使用してデフォルトのケースとアラートのビューを定義する ケースデータ > ビュー
Google Security Operations API とやり取りするための API キーを生成する
 詳細 > API キー
プラットフォーム内のすべてのユーザー アクティビティを見る 詳細 > 監査
環境間のデータ保持と処理のケースに関するポリシーを設定する 詳細 > 全般
デフォルトのタイムゾーンと日付と時刻の形式を管理、構成する 詳細 > ローカライズ
アラートをグループ化してオーバーフローする場合のルールを定義する 詳細 > アラート グループ
IdP グループを SOAR ユーザー グループ、SOC ロール、権限グループにマッピングする 詳細 > IDP グループ マッピング
リモート エージェントを設定して管理する 詳細 > リモート エージェント
すべての SOAR システムメールの送信元のメールアドレスを構成する 詳細 > メール設定
Google サポートにプラットフォームへのアクセスを許可する 詳細 > サポート アクセス
取り込まれたデータのプロパティ定義を表示する データ構成 > プロパティ メタデータ
プラットフォームに関する統計情報を表示する データ構成 > 統計情報
特定の商品とイベントに対応するビジュアル ファミリーの一致を管理、構成する オントロジー > オントロジー ステータス
ビジュアル ファミリーを管理、編集、作成する オントロジー > ビジュアル ファミリー
プラットフォーム内の環境を定義する 環境 > ネットワーク
ドメインを定義する 環境 > ドメイン
ユーザー、IP、その他のエンティティで構成されるカスタムリストを定義する
 環境 > カスタムリスト
ハンドブックやその他のアクションで使用するメール テンプレートを定義する
 環境 > メール テンプレート
ハンドブックやその他のアクションで使用するメール HTML テンプレートを定義する
 環境 > メール HTML テンプレート
アラートでグループ化してはならないエンティティや、表示されるべきではないエンティティを定義する 環境>ブロックリスト
特定の SLA トリガーに従って、ケースとアラートを解決するための SLA を定義する 環境 > SLA
ユーザーがワークデスクで選択できるようにリクエストを定義する 環境 > リクエスト
インシデント マネージャー ユーザーが関連付けられている部門を管理する
 インシデント マネージャー > 部門
インシデント マネージャー内のすべてのインシデントの共同編集者として追加されるユーザーを定義する インシデント マネージャー > 監査者
インシデント マネージャーでケースを処理することが許可されている環境を定義する インシデント マネージャー > 環境
コネクタを設定してプラットフォームにアラートを取り込む 取り込み > コネクタ
Webhook を設定して、プラットフォームにアラートを取り込む 取り込み > Webhook