熟悉 Google Security Operations 平台
支持的平台:
Google SecOps
当您访问 Google 安全运营平台时,您看到的内容取决于您所属的权限组。左侧导航栏是为您量身定制的 授予适当的权限
如需在平台中导航,请将光标悬停在左侧滑动导航栏上,然后点击以访问所有 Google 安全运营页面。
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
|
管理平台中的所有传入支持请求 |
支持请求 |
| 查看针对支持请求量身定制的操作和任务,以及您需要完成的任务 | 您的工作桌 |
|
在整个平台上进行搜索 |
调查 > SIEM 搜索 |
| 搜索支持请求和实体 |
调查 > SOAR 搜索 |
|
在信息中心、编辑器和精选检测结果中管理 SIEM 规则和检测结果 |
检测 > 规则 > 检测 |
| 查看 SIEM 提醒和 IOC 匹配项 |
检测 > 提醒 > IOC |
| 查看 SIEM 的风险得分和趋势 |
检测 > 风险分析 |
| 设计自动化操作序列,以便在出现相关主题后立即启动 警报进入平台 | 响应 > playbook |
| 为不同实例配置集成 | 回复 > 集成设置 |
| 修改预定义作业或创建可安排定期运行的新作业 | 响应 > 作业调度程序 |
| 修改商业集成代码或创建自定义 集成 | 响应 > IDE |
|
查看基于 UDM 事件的分析和报告 |
信息中心和报告 > SIEM 信息中心 |
| 访问和分析有关支持请求、手册、环境等的信息 |
信息中心和报告 > SOAR 信息中心 |
| 使用以下命令查看预定义的 Google Security Operations SOAR 报告和高级报告: Looker |
信息中心和报告 > SOAR 报告 |
| 将突发事件标记为危机情况,并创建专门的聊天室来处理该突发事件 | Incident Manager |
|
安装第三方集成以及
平台 |
Google Security Operations Marketplace |
| 管理 SIEM 的管理任务、注入和解析配置 | 设置 > SIEM 设置 |
|
管理 SOAR 功能的所有管理任务和配置 |
设置 > SOAR 设置 |
SIEM 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看有关用户和组织的详细信息。 | 配置文件 |
| 查看平台 SIEM 端中的所有用户和群组 |
用户和群组 |
| 查看平台 SIEM 组件的角色和权限 | 角色 |
| 配置和查看 SIEM Feed | Feed |
| 配置和查看 SIEM 转发器 | 转发器 |
| 管理解析器和解析器扩展程序 | 解析器 |
| 查看关联的 Google Cloud Platform 项目信息 |
Google Cloud Platform |
| 为 SIEM 用户管理基于角色的访问权限控制 |
数据 RBAC |
| 设置 Google Workspace 以将数据转发到 Google Security Operations |
Workspace 附件 |
SOAR 设置
| 您想要执行什么操作? | 在哪里可以找到它? |
|---|---|
| 查看 Google SecOps 平台中的所有用户 | 组织 > 用户管理 |
| 定义环境 | 组织 > 环境 |
| 管理不同用户群组的权限和限制 | 组织 > 权限 |
| 查看许可详情和当前的 SOAR 版本 | 组织 > 许可管理 |
| 为安全团队添加或修改角色,以控制对支持请求和环境的访问权限 | 组织 > 角色 |
| 添加和管理自动添加到支持请求的标签 | 支持请求数据 > 代码 |
| 定义贵组织使用的支持请求的不同阶段 | 案例数据 > 阶段 |
| 确定关闭案例的根本原因,无论案例是否恶意 而真正的原因是什么 | 案例数据 > 案例关闭根本原因 |
| 设置支持请求名称层次结构 | 支持请求数据 > 支持请求名称 |
| 使用 widget 定义默认案例和提醒视图 | 案例数据 > 视图 |
|
生成与 Google Security Operations API 交互的 API 密钥 |
高级 > API 密钥 |
| 查看平台中的所有用户活动 | 高级 > 审核 |
| 设置数据保留策略和以下服务之间的支持请求处理政策: 环境 | 高级 > 常规 |
| 管理和配置默认时区以及日期和时间格式 | 高级 > 本地化 |
| 定义用于分组提醒和溢出案例的规则 | 高级 > 提醒分组 |
| 将 IdP 群组映射到 SOAR 用户群组、SOC 角色和权限群组 | 高级 > IDP 组映射 |
| 设置和管理远程代理 | 高级 >远程代理 |
| 配置所有 SOAR 系统电子邮件的来源电子邮件地址 已发送 | 高级 > 电子邮件设置 |
| 允许 Google 支持团队访问您的平台 | 高级 > 支持访问权限 |
| 查看提取数据的属性定义 | 数据配置 > 属性元数据 |
| 查看平台上的统计信息 | 数据配置 > 统计信息 |
| 管理和配置与特定商品匹配的视觉系列,以及 活动 | 本体 > 本体状态 |
| 管理、修改和创建视觉系列 | 元语言 > 视觉族群 |
| 在平台中定义环境 | 环境 > 网络 |
| 定义网域 | 环境 > 网域 |
|
定义包含用户、IP 地址和其他实体的自定义列表 |
环境 > 自定义列表 |
|
定义要在 Playbook 和其他操作中使用的电子邮件模板 |
环境 > 电子邮件模板 |
|
定义要在 playbook 和其他操作中使用的电子邮件 HTML 模板 |
环境 > 电子邮件 HTML 模板 |
| 定义不应分组的提醒中的实体或不应显示的实体 | 环境 > 屏蔽名单 |
| 定义 SLA,以便根据特定 SLA 触发器解决支持请求和提醒 | 环境 > SLA |
| 定义用户可以在工作台中选择的请求 | 环境 > 请求 |
|
管理与突发事件管理器用户关联的部门 |
Incident Manager > Departments |
| 针对 Incident Manager | Incident Manager > Auditors |
| 指定哪些环境有权在哪些环境中处理其支持请求 突发事件管理员 | Incident Manager > 环境 |
| 设置连接器以将提醒提取到平台 | 提取 > 连接器 |
| 设置 webhook 以将提醒提取到平台 | 提取 > Webhook |