Google Security Operations プラットフォームを操作する
以下でサポートされています。
Google SecOps
Google Security Operations プラットフォームにアクセスすると、割り当てられている権限グループによって表示が異なります。スライドする左側のナビゲーション バーは、権限に基づいてカスタマイズされています。
プラットフォーム内を移動するには、スライドする左側のナビゲーション バーの上にポインタを置き、クリックしてすべての Google Security Operations ページにアクセスします。
| 実行する処理 | どこで探すか |
|---|---|
|
受信したすべてのケースをプラットフォームで管理する |
ケース |
| ケースに対して行う必要があるカスタマイズされたアクションとタスクを表示する | ユーザーのデスク |
|
プラットフォーム全体で総合的に検索する |
調査 > SIEM 検索 |
| ケースとエンティティを検索する |
調査 > SOAR 検索 |
|
SIEM ルールと検出をダッシュボード、エディタ、キュレートされた検出で管理する |
検出 > ルール > 検出 |
| SIEM アラートと IOC の一致を表示する |
検出 > アラート > IOC |
| SIEM から得られたリスクスコアと傾向を確認する |
検出 > リスク分析 |
| 関連するアラートがプラットフォームに到着したらすぐに開始される一連の自動アクションを設計する | レスポンス > ハンドブック |
| 異なるインスタンスの統合を構成する | レスポンス > 統合の設定 |
| 事前定義ジョブを編集するか、定期的に実行するようにスケジュールできる新しいジョブを作成する | レスポンス > ジョブ スケジューラ |
| 商用統合のコードを編集するか、カスタム統合を作成する | レスポンス > IDE |
|
UDM イベントに基づいて分析とレポートを確認する |
ダッシュボードとレポート > SIEM ダッシュボード |
| ケース、ハンドブック、環境などに関する情報にアクセスして分析する |
ダッシュボードとレポート > SOAR ダッシュボード |
| Looker を使用して、事前定義された Google SecOps SOAR レポートと高度なレポートの両方を表示する |
ダッシュボードとレポート > SOAR レポート |
| インシデントを危機的な状況としてハイライト表示し、インシデントに対処する専用のスペースを作成する | インシデント マネージャー |
|
サードパーティ統合に加えて、プラットフォームのユースケースとパワーアップをインストールする |
Google Security Operations Marketplace |
| SIEM の管理タスク、取り込み、解析構成を管理する | 設定 > SIEM 設定 |
|
SOAR 機能のすべての管理タスクと構成を管理する |
設定 > SOAR 設定 |
SIEM 設定
| 実行する処理 | どこで探すか |
|---|---|
| ユーザーと組織の詳細を表示する。 | プロファイル |
| プラットフォームの SIEM 側ですべてのユーザーとグループを表示する |
ユーザーとグループ |
| プラットフォームの SIEM コンポーネントのロールと権限を表示する | ロール |
| SIEM フィードの構成と表示 | フィード |
| SIEM フォワーダーを構成して表示する | フォワーダー |
| パーサーとパーサー拡張機能を管理する | パーサー |
| 関連する Google Cloud Platform プロジェクト情報を表示する |
Google Cloud Platform |
| SIEM ユーザーのロールベースのアクセス制御を管理する |
データ RBAC |
| Google Security Operations にデータを転送するように Google Workspace を設定する |
Workspace Attach |
SOAR 設定
| 実行する処理 | どこで探すか |
|---|---|
| Google SecOps プラットフォームのすべてのユーザーを表示する | 組織 > ユーザー管理 |
| 環境を定義する | 組織 > 環境 |
| 異なるユーザー グループの権限と制限を管理する | 組織 > 権限 |
| ライセンスの詳細と現在の SOAR バージョンを表示する | 組織 > ライセンス管理 |
| セキュリティ チームのロールを追加または編集して、ケースや環境へのアクセスを制御する | 組織 > ロール |
| ケースに自動的に追加されるタグを追加、管理します。 | ケースデータ > タグ |
| 組織で使用されるケースのさまざまなステージを定義する | ケースデータ > ステージ |
| ケースをクローズする根本的な原因(悪意のあるものかどうか、実際の原因は何か)を定義する | ケースデータ > ケース クローズの根本原因 |
| ケース名の階層を設定します | ケースデータ > ケース名 |
| ウィジェットを使用してデフォルトのケースとアラートのビューを定義する | ケースデータ > ビュー |
|
Google Security Operations API とやり取りするための API キーを生成する |
詳細 > API キー |
| プラットフォーム内のすべてのユーザー アクティビティを見る | 詳細 > 監査 |
| 環境間のデータ保持と処理のケースに関するポリシーを設定する | 詳細 > 全般 |
| デフォルトのタイムゾーンと日付と時刻の形式を管理、構成する | 詳細 > ローカライズ |
| アラートをグループ化してオーバーフローする場合のルールを定義する | 詳細 > アラート グループ |
| IdP グループを SOAR ユーザー グループ、SOC ロール、権限グループにマッピングする | 詳細 > IDP グループ マッピング |
| リモート エージェントを設定して管理する | 詳細 > リモート エージェント |
| すべての SOAR システムメールの送信元のメールアドレスを構成する | 詳細 > メール設定 |
| Google サポートにプラットフォームへのアクセスを許可する | 詳細 > サポート アクセス |
| 取り込まれたデータのプロパティ定義を表示します。 | データ構成 > プロパティ メタデータ |
| プラットフォームに関する統計情報を表示する | データ構成 > 統計情報 |
| 特定の商品とイベントに対応するビジュアル ファミリーの一致を管理、構成する | オントロジー > オントロジー ステータス |
| ビジュアル ファミリーを管理、編集、作成する | [オントロジー] > [ビジュアル ファミリー] |
| プラットフォームで環境を定義する | 環境 > ネットワーク |
| ドメインを定義する | 環境 > ドメイン |
|
ユーザー、IP、その他のエンティティで構成されるカスタムリストを定義する |
環境 > カスタムリスト |
|
ハンドブックやその他のアクションで使用するメール テンプレートを定義する |
環境 > メール テンプレート |
|
ハンドブックやその他のアクションで使用するメール HTML テンプレートを定義する |
環境 > メール HTML テンプレート |
| アラートでグループ化してはならないエンティティや、表示されるべきではないエンティティを定義する | 環境 > 拒否リスト |
| 特定の SLA トリガーに従って、ケースとアラートを解決するための SLA を定義する | [環境] > [SLA] |
| ユーザーがワークデスクで選択できるようにリクエストを定義する | 環境 > リクエスト |
|
インシデント マネージャー ユーザーが関連付けられている部門を管理する |
インシデント マネージャー > 部門 |
| インシデント マネージャー内のすべてのインシデントの共同編集者として追加されるユーザーを定義する | インシデント マネージャー > 監査者 |
| インシデント マネージャーでケースを処理することが許可されている環境を定義する | インシデント マネージャー > 環境 |
| コネクタを設定してプラットフォームにアラートを取り込む | 取り込み > コネクタ |
| Webhook を設定してプラットフォームにアラートを取り込む | 取り込み > Webhook |