浏览 Google SecOps 平台
支持的语言:
Google SecOps
当您访问 Google Security Operations 平台时,您的视图取决于您所属的权限组。滑动式左侧导航栏会根据您的权限进行自定义。
如需快速访问与您在平台中查看的页面直接相关的文档,请依次点击 帮助 帮助和文档。
如需在平台中导航,请将指针悬停在左侧的滑动导航栏上,然后点击以访问所有 Google SecOps 页面。
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
|
在平台中管理所有收到的支持请求 |
案例 |
| 查看您需要在支持请求中完成的量身定制的操作和任务 | 您的工作桌 |
|
在整个平台中进行全方位搜索 |
调查 > SIEM 搜索 |
| 搜索支持请求和实体 |
调查 > SOAR 搜索 |
|
在信息中心、编辑器和精选检测中管理 SIEM 规则和检测 |
检测 > 规则 > 检测 |
| 查看 SIEM 提醒和 IOC 匹配项 |
检测 > 提醒 > IOC |
| 查看从 SIEM 得出的风险评分和趋势 |
检测 > 风险分析 |
| 设计自动执行的操作序列,以便在相关提醒进入平台后立即开始执行 | 响应 > 剧本 |
| 为不同实例配置集成 | 回答 > 集成设置 |
| 修改预定义作业或创建可定期运行的新作业 | 响应 > 作业调度器 |
| 修改商业集成代码或创建自定义集成 | 回答 > IDE |
|
查看基于 UDM 事件的分析和报告 |
信息中心和报告 > SIEM 信息中心 |
| 访问和分析有关支持请求、playbook、环境等的信息 |
信息中心和报告 > SOAR 信息中心 |
| 使用 Looker 查看预定义的 Google SecOps SOAR 报告和高级报告 |
信息中心和报告 > SOAR 报告 |
|
安装第三方集成以及平台 的应用场景和增强功能 |
Google Security Operations Marketplace |
| 管理 SIEM 的管理任务、提取和解析配置 | 设置 > SIEM 设置 |
|
管理 SOAR 功能的所有管理员任务和配置 |
设置 > SOAR 设置 |
SIEM 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看有关用户和组织的详细信息。 | 配置文件 |
| 查看平台 SIEM 端的所有用户和群组 |
用户和群组 |
| 查看平台 SIEM 组件的角色和权限 | 角色 |
| 配置和查看 SIEM Feed | Feed |
| 配置和查看 SIEM 转发器 | 转送方 |
| 管理解析器和解析器扩展程序 | 解析器 |
| 分享和关联来自多个 SIEM 安装的数据 |
关联的实例 |
| 管理哪些群组可以访问特定数据 |
数据访问 |
| 查看可在您的组织中使用的日志类型 |
可用的日志类型 |
| 关联 Workspace 和 Google SecOps,以检测您环境中的内部风险 |
Google Workspace |
| 设置 Bindplane 代理以收集本地日志 |
催收代理 |
| 定义用于计算实体、提醒和检测的风险得分的规则 |
实体风险得分 |
SOAR 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看 Google SecOps 平台中的所有用户 | 组织 > 用户管理 |
| 定义环境 | 组织 > 环境 |
| 管理不同用户组的权限和限制 | 组织 > 权限 |
| 查看许可详细信息和当前 SOAR 版本 | 组织 > 许可管理 |
| 为安全团队添加或修改角色,以控制对支持请求和环境的访问权限 | 组织 > 角色 |
| 添加和管理自动添加到支持请求中的标记 | 案例数据 > 标记 |
| 定义组织使用的支持请求的不同阶段 | 案例数据 > 阶段 |
| 指定根本原因以关闭案例,说明是否恶意行为以及实际原因 | 案例数据 > 案例关闭的根本原因 |
| 设置案例名称层次结构 | 案例数据 > 案例名称 |
| 使用 widget 定义默认支持请求和提醒视图 | 案例数据 > 视图 |
|
生成 API 密钥以与 Google Security Operations API 进行交互 |
高级 > API 密钥 |
| 查看平台中的所有用户活动 | 高级 > 审核 |
| 设置数据保留政策和环境间案例处理政策 | 高级 > 常规 |
| 管理和配置默认时区以及日期和时间格式 | 高级 > 本地化 |
| 定义用于对提醒和溢出支持请求进行分组的规则 | 高级 > 提醒分组 |
| 将 IdP 群组映射到 SOAR 用户群组、SOC 角色和权限组 | 高级 > IDP 组映射 |
| 设置和管理远程代理 | 高级 > 远程代理 |
| 配置发送所有 SOAR 系统电子邮件的电子邮件地址 | 高级 > 电子邮件设置 |
| 允许 Google 支持人员访问您的平台 | 高级 > 支持访问权限 |
| 查看提取的数据的属性定义 | 数据配置 > 媒体资源元数据 |
| 查看平台上的统计信息 | 数据配置 > 统计信息 |
| 管理和配置与特定产品和活动相符的视觉素材系列 | 本体 > 本体状态 |
| 管理、修改和创建视觉系列 | 本体 > 视觉系列 |
| 在平台中定义环境 | 环境 > 网络 |
| 定义网域 | 环境 > 网域 |
|
定义包含用户、IP 地址和其他实体的自定义列表 |
环境 > 自定义列表 |
|
定义要在 playbook 和其他操作中使用的电子邮件模板 |
环境 > 电子邮件模板 |
|
定义要在 playbook 和其他操作中使用的电子邮件 HTML 模板 |
环境 > 电子邮件 HTML 模板 |
| 定义提醒中不应分组的实体或不应显示的实体 | 环境 > 屏蔽列表 |
| 定义服务等级协议 (SLA),以便根据特定的 SLA 触发器来解决支持请求和提醒 | 环境 > SLA |
| 定义用户可在工作台选择的请求 | 环境 > 请求 |
|
管理与突发事件经理用户关联的部门 |
Incident Manager > 部门 |
| 将添加的用户定义为 Incident Manager 中每个突发事件的协作者 | Incident Manager > Auditors |
| 定义哪些环境有权在事件管理器中处理其支持请求 | Incident Manager > 环境 |
| 设置连接器以将提醒注入到平台中 | 提取 > 连接器 |
| 设置网络钩子以将提醒注入到平台中 | Ingestion > Webhook |
需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。