浏览 Google Security Operations 平台
支持的平台:
Google SecOps
当您访问 Google 安全运营平台时,您看到的内容取决于您所属的权限组。系统会根据您的权限为您自定义滑动式左侧导航栏。
如需在平台中导航,请将光标悬停在左侧滑动导航栏上,然后点击以访问所有 Google 安全运营页面。
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
|
在平台中管理所有收到的支持请求 |
支持请求 |
| 查看针对支持请求量身定制的操作和任务,以及您需要完成的任务 | 您的工作桌 |
|
在整个平台中进行全面搜索 |
调查 > SIEM 搜索 |
| 搜索支持请求和实体 |
调查 > SOAR 搜索 |
|
在信息中心、编辑器和精选检测结果中管理 SIEM 规则和检测结果 |
检测 > 规则 > 检测 |
| 查看 SIEM 提醒和 IOC 匹配项 |
检测 > 提醒 > IOC |
| 查看 SIEM 生成的风险评分和趋势 |
检测 > 风险分析 |
| 设计自动操作序列,以便在相关提醒进入平台后立即启动这些操作 | 响应 > 手册 |
| 为不同的实例配置集成 | 回复 > 集成设置 |
| 修改预定义作业或创建可安排定期运行的新作业 | 响应 > 作业调度器 |
| 修改商业集成的代码或创建自定义集成 | 响应 > IDE |
|
查看基于 UDM 事件的分析和报告 |
信息中心和报告 > SIEM 信息中心 |
| 访问和分析有关支持请求、手册、环境等的信息 |
信息中心和报告 > SOAR 信息中心 |
| 使用 Looker 查看预定义的 Google SecOps SOAR 报告和高级报告 |
信息中心和报告 > SOAR 报告 |
| 将突发事件标记为危机情况,并创建专门的聊天室来处理该突发事件 | Incident Manager |
|
为该平台安装第三方集成以及应用场景和强大功能 |
Google Security Operations Marketplace |
| 管理 SIEM 的管理任务、提取和解析配置 | 设置 > SIEM 设置 |
|
管理 SOAR 功能的所有管理任务和配置 |
设置 > SOAR 设置 |
SIEM 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看用户和组织的详细信息。 | 配置文件 |
| 查看平台 SIEM 端的所有用户和群组 |
用户和群组 |
| 查看平台 SIEM 组件的角色和权限 | 角色 |
| 配置和查看 SIEM Feed | Feed |
| 配置和查看 SIEM 转发器 | 转运商 |
| 管理解析器和解析器扩展程序 | 解析器 |
| 查看关联的 Google Cloud Platform 项目信息 |
Google Cloud Platform |
| 为 SIEM 用户管理基于角色的访问权限控制 |
数据 RBAC |
| 将 Google Workspace 设置为将数据转发到 Google Security Operations |
Workspace 附件 |
SOAR 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看 Google SecOps 平台中的所有用户 | 组织 > 用户管理 |
| 定义环境 | 组织 > 环境 |
| 管理不同用户群组的权限和限制 | 组织 > 权限 |
| 查看许可详情和当前的 SOAR 版本 | 组织 > 许可管理 |
| 为安全团队添加或修改角色,以控制对支持请求和环境的访问权限 | 组织 > 角色 |
| 添加和管理自动添加到支持请求中的标记 | 支持请求数据 > 代码 |
| 定义贵组织使用的支持请求的不同阶段 | 支持请求数据 > 阶段 |
| 指定根本原因以关闭支持请求,说明是否恶意行为以及实际原因 | 案例数据 > 案例关闭的根本原因 |
| 设置案例名称层次结构 | 支持请求数据 > 支持请求名称 |
| 使用 widget 定义默认情况和提醒视图 | 案例数据 > 视图 |
|
生成 API 密钥以与 Google Security Operations API 交互 |
高级 > API 密钥 |
| 查看平台中的所有用户活动 | 高级> 审核 |
| 设置数据保留政策,以及在不同环境之间处理支持请求的政策 | 高级> 常规 |
| 管理和配置默认时区以及日期和时间格式 | 高级 > 本地化 |
| 定义用于分组提醒和溢出案例的规则 | 高级 > 提醒分组 |
| 将 IdP 组映射到 SOAR 用户组、SOC 角色和权限组 | 高级> IdP 组映射 |
| 设置和管理远程代理 | 高级 >远程代理 |
| 配置用于发送所有 SOAR 系统电子邮件的电子邮件地址 | 高级> 电子邮件设置 |
| 允许 Google 支持团队访问您的平台 | 高级> 支持访问权限 |
| 查看提取数据的属性定义 | 数据配置 > 房源元数据 |
| 在平台上查看统计信息 | 数据配置 > 统计 |
| 管理和配置与特定产品和活动相符的视觉素材系列 | 本体 > 本体状态 |
| 管理、修改和创建视觉系列 | 元语言 > 视觉族群 |
| 在平台中定义环境 | 环境 > 网络 |
| 定义网域 | 环境 > 网域 |
|
定义包含用户、IP 地址和其他实体的自定义列表 |
环境 > 自定义列表 |
|
定义要在 Playbook 和其他操作中使用的电子邮件模板 |
环境 > 电子邮件模板 |
|
定义要在 Playbook 和其他操作中使用的电子邮件 HTML 模板 |
环境 > 电子邮件 HTML 模板 |
| 定义提醒中不应分组的实体或不应显示的实体 | 环境 > 屏蔽列表 |
| 定义服务等级协议 (SLA),以便根据特定的 SLA 触发器来解决支持请求和提醒 | 环境 > SLA |
| 定义用户可以在工作台中选择的请求 | 环境 > 请求 |
|
管理与突发事件管理器用户关联的部门 |
突发事件管理器 > 部门 |
| 在 Incident Manager 中为每项服务中断定义添加为协作者的用户 | 突发事件管理器 > 审核员 |
| 指定哪些环境有权在 Incident Manager 中处理其支持请求 | Incident Manager > 环境 |
| 设置连接器以将提醒提取到平台 | 提取 > 连接器 |
| 设置 webhook 以将提醒提取到平台 | 提取 > Webhook |