配置 Google SecOps 平台（仅限 SOAR 端）

准备工作

Google 强烈建议您先参加 Google SecOps 学习路线中的培训。

设置用户群组

您需要创建或选择一个预定义的 SOC 角色和权限组，然后将其与从 SIEM 设置收到的 IdP 组进行映射。如需详细了解每项任务，请参阅以下文档：

• 分配角色
• 分配权限组
• 将用户与 IdP 群组相关联

使用连接器或 Webhook 设置数据注入点

设置连接器或 webhook，将提醒注入到平台中进行分析。 也可以通过下载整个用例来实现此目的。如需了解每项任务的详细说明，请参阅以下文档：

• 使用连接器提取数据
• 使用 webhook 提取数据
• 从 Marketplace 运行用例
• 创建您自己的连接器（适用于高级用户）

映射和建模传入数据

您可以控制如何映射和建模传入的产品、事件和实体，以确保捕获正确的信息。您可以自行定义此元模型配置，也可以选择默认的映射和建模配置。如需了解每项任务的详细说明，请参阅以下文档：

• “本体”概览
• 创建视觉族群
• 创建实体

创建 playbook

借助 Google Security Operations，您可以使用一组顺序的手动和自动步骤（称为 playbook）来应对威胁。如需详细了解 Playbook，请参阅以下文档：

• “策略方案”页面上的内容
• 创建您的第一个自动化操作（Playbook）
• 从 Marketplace 运行用例
• 使用 Playbook 模拟器

分析支持请求和提醒

在正式使用配置和手册之前，请使用模拟支持请求和测试提醒来测试这些配置和手册。提取警报并运行完 Playbook 后，您可以查看支持请求和警报，了解后续需要执行的操作，包括分类或补救措施。如需了解上述每项任务的详细说明，请参阅以下文档：

• 支持请求概览
• 模拟支持请求
• 执行人工处置措施
• 探索提醒
• “实体探索器”页面