瀏覽 Google SecOps 平台
支援的國家/地區:
Google secops
存取 Google Security Operations 平台時,您能看到的內容取決於所屬的權限群組。系統會根據您的權限,自訂滑動式左側導覽列。
如要快速存取與平台中目前頁面直接相關的說明文件,請按一下「說明」 ,然後選取「說明文件」。
如要在平台中瀏覽,請將指標懸停在左側滑動導覽列上,然後按一下即可存取所有 Google SecOps 頁面。
| 您要執行什麼操作? | 這項資訊會顯示在哪裡? |
|---|---|
|
在平台中管理所有待處理案件 |
案件 |
| 查看案件中需要完成的專屬動作和工作 | 您的工作區 |
|
在整個平台全面搜尋 |
調查 > SIEM 搜尋 |
| 搜尋案件和實體 |
調查 > SOAR 搜尋 |
|
在資訊主頁、編輯器和精選偵測項目中管理 SIEM 規則和偵測項目 |
「偵測」>「規則」>「偵測」 |
| 查看 SIEM 快訊和 IOC 比對結果 |
偵測 > 快訊 > IOC |
| 查看從 SIEM 衍生而來的風險分數和趨勢 |
偵測 > 風險分析 |
| 設計自動執行的動作序列,在相關快訊進入平台後立即啟動 | 「回應」>「劇本」 |
| 為不同執行個體設定整合功能 | 「回覆」>「整合設定」 |
| 編輯預先定義的工作,或建立可定期執行的工作 | 「Response」>「Jobs Scheduler」 |
| 編輯商業整合的程式碼,或建立自訂整合項目 | 「回應」> IDE |
|
根據 UDM 事件查看分析和報表 |
資訊主頁和報表 > SIEM 資訊主頁 |
| 存取及分析案件、應對手冊、環境等資訊 |
資訊主頁和報表 > SOAR 資訊主頁 |
| 使用 Looker 查看預先定義的 Google SecOps SOAR 報表和進階報表 |
資訊主頁和報表 > SOAR 報表 |
|
為平台安裝第三方整合服務、用途和外掛程式 |
Google Security Operations Marketplace |
| 管理 SIEM 的管理工作、擷取和剖析設定 | 「設定」>「SIEM 設定」 |
|
管理 SOAR 功能的所有管理員工作和設定 |
「設定」>「SOAR 設定」 |
SIEM 設定
| 您要執行什麼操作? | 這項資訊會顯示在哪裡? |
|---|---|
| 查看使用者和機構的詳細資料。 | 設定檔 |
| 查看平台 SIEM 端的所有使用者和群組 |
使用者與群組 |
| 查看平台 SIEM 元件的角色和權限 | 角色 |
| 設定及查看 SIEM 動態消息 | 動態消息 |
| 設定及查看 SIEM 轉寄站 | 轉寄者 |
| 管理剖析器和剖析器擴充功能 | 剖析器 |
| 分享及關聯多個 SIEM 安裝項目的資料 |
已連結的執行個體 |
| 管理哪些群組可以存取特定資料 |
資料存取權 |
| 查看貴機構可使用的記錄類型 |
可用的記錄類型 |
| 連結 Workspace 和 Google SecOps,偵測環境中的內部風險 |
Google Workspace |
| 設定 Bindplane 代理程式,以收集地端部署環境的記錄 |
Collection Agents |
| 定義實體、快訊和偵測項目的風險分數計算規則 |
實體風險分數 |
SOAR 設定
| 您要執行什麼操作? | 這項資訊會顯示在哪裡? |
|---|---|
| 查看 Google SecOps 平台的所有使用者 | 「機構」>「使用者管理」 |
| 定義環境 | 「機構」>「環境」 |
| 管理不同使用者群組的權限和限制 | 「機構」> 權限 |
| 查看授權詳細資料和目前的 SOAR 版本 | 「機構」>「授權管理」 |
| 新增或編輯安全性團隊的角色,控管案件和環境的存取權 | 「機構」>「角色」 |
| 新增及管理自動新增至案件的標記 | 案件資料 > 標記 |
| 定義貴機構使用的案件不同階段 | 案件資料 > 階段 |
| 定義結案的根本原因,是否為惡意以及確切原因為何 | 案件資料 > 案件關閉根本原因 |
| 設定案件名稱階層 | 案件資料 > 案件名稱 |
| 使用小工具定義預設案件和快訊檢視畫面 | 案件資料 > 檢視畫面 |
|
產生 API 金鑰,與 Google Security Operations API 互動 |
「進階」>「API 金鑰」 |
| 查看平台中的所有使用者活動 | 「進階」>「稽核」 |
| 設定資料保留政策,以及在不同環境間處理案件的政策 | 「進階」>「一般」 |
| 管理及設定預設時區和日期/時間格式 | 「進階」>「本地化」 |
| 定義警告分組和溢位案件的規則 | 「進階」>「快訊分組」 |
| 將 IdP 群組對應至 SOAR 使用者群組、SOC 角色和權限群組 | 「進階」>「IdP 群組對應」 |
| 設定及管理遠端代理程式 | 「進階」>「遠端服務專員」 |
| 設定用來傳送所有 SOAR 系統電子郵件的電子郵件地址 | 「進階」>「電子郵件設定」 |
| 允許 Google 支援團隊存取您的平台 | 依序點選「進階」>「支援服務」 |
| 查看擷取資料的屬性定義 | 資料設定 > 屬性中繼資料 |
| 在平台上查看統計資料 | 「資料設定」>「統計資料」 |
| 管理及設定與特定產品和事件相符的視覺化分組 | 本體 > 本體狀態 |
| 管理、編輯及建立視覺化分組 | 本體 > 視覺系列 |
| 在平台中定義環境 | 環境 > 網路 |
| 定義網域 | 環境 > 網域 |
|
定義自訂清單,內含使用者、IP 和其他實體 |
環境 > 自訂清單 |
|
定義用於應對手冊和其他動作的電子郵件範本 |
環境 > 電子郵件範本 |
|
定義用於應對手冊和其他動作的電子郵件 HTML 範本 |
環境 > 電子郵件 HTML 範本 |
| 定義快訊中不應分組的實體,或不應顯示的實體 | 環境 > 封鎖清單 |
| 定義服務水準協議,以根據特定服務水準協議觸發條件解決案件和快訊 | 「環境」>「服務水準協議」 |
| 定義使用者在工作區中可選擇的要求 | 「環境」>「要求」 |
|
管理與 Incident Manager 使用者相關聯的部門 |
事件管理員 > 部門 |
| 在 Incident Manager 中,為每個事件定義新增為協作者的使用者 | 事件管理員 > 稽核人員 |
| 定義哪些環境授權在事件管理員中處理案件 | 事件管理員 > 環境 |
| 設定連接器,將快訊匯入平台 | 擷取 > 連接器 |
| 設定 Webhook,將快訊匯入平台 | 擷取 > Webhook |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。