初始配置 Google SecOps 平台(仅限 SOAR 端)
支持以下语言:
Google SecOps
准备工作
Google 强烈建议您参加 Google SecOps 学习路线 。
设置用户群组
您需要创建或选择一个预定义的 SOC 角色和权限组,然后将其与从 SIEM 设置收到的 IdP 组进行映射。如需详细了解每项任务,请参阅以下文档:
使用连接器或网络钩子设置数据注入点
设置连接器或网络钩子,将提醒注入平台以进行分析。
这也可以通过下载整个用例来实现。如需了解每项任务的详细说明,请参阅以下文档:
- <ph type="x-smartling-placeholder"></ph> 使用连接器提取数据
- 使用 webhook 提取数据
- 从 Marketplace 运行用例
- 创建您自己的连接器(适用于高级用户)
对传入数据进行映射和建模
您可以控制传入的产品、事件和实体的映射方式 并进行建模以确保捕获到正确的信息。你可以定义 或者选择默认映射并 模型配置。有关上述各项任务的详细说明,请参阅 以下文档:
创建 playbook
借助 Google Security Operations,您可以使用一组顺序的手动和自动步骤(称为 playbook)来应对威胁。如需详细了解 Playbook,请参阅以下文档:
- “策略方案”页面上的内容
- 创建您的第一个自动化操作(手册)
- 从 Marketplace 运行用例
- <ph type="x-smartling-placeholder"></ph> 使用 Playbook 模拟器
分析支持请求和提醒
使用模拟案例和测试警报来测试您的配置和策略方案
然后再与他们合作
在提取提醒且 playbook 运行完毕后,您可以查看
案例和提醒,以了解接下来需要执行的操作,包括分类或
补救步骤。如需了解上述每项任务的详细说明,请参阅以下文档: