加入 Google SecOps 平台（仅限 SOAR 端）

准备工作

Google 强烈建议您先完成 Google SecOps 学习路线中的培训。

设置用户群组

您需要创建或选择预定义的 SOC 角色和权限组，然后将它们与从 SIEM 设置收到的 IdP 群组进行映射。如需查看每项任务的详细说明，请参阅以下文档：

• 分配角色
• 分配权限组
• 将用户与 IdP 群组相关联

使用连接器或 Webhook 设置数据注入点

设置连接器或 Webhook，将提醒注入到平台中以进行分析。 您也可以通过下载整个使用场景来实现此目的。如需查看每项任务的详细说明，请参阅以下文档：

• 使用连接器注入数据
• 使用 Webhook 注入数据
• 从 Marketplace 运行使用情形
• 创建自己的连接器（适用于高级用户）

映射和建模传入数据

您可以控制如何映射和建模传入的产品、事件和实体，以确保捕获正确的信息。您可以自行定义此本体配置，也可以选择默认的映射和建模配置。如需查看每项任务的详细说明，请参阅以下文档：

• 本体概览
• 创建视觉系列
• 创建实体

创建 playbook

借助 Google Security Operations，您可以使用一系列手动和自动步骤（称为 playbook）来响应威胁。如需详细了解 playbook，请参阅以下文档：

• “策略方案”界面上的内容
• 创建您的第一个自动化操作（playbook）
• 从 Marketplace 运行使用情形
• 使用 playbook 模拟器

分析支持请求和提醒

在正式使用配置和剧本之前，请先使用模拟支持请求和测试提醒对其进行测试。 在系统接收到提醒并完成剧本运行后，您可以查看支持请求和提醒，了解接下来需要执行的操作，包括分诊或补救步骤。如需详细了解上述各项任务，请参阅以下文档：

• 支持请求概览
• 模拟支持请求
• 执行手动操作
• 探索提醒
• “实体探索器”页面