加入 Google SecOps 平台 (僅限 SOAR)

事前準備

Google 強烈建議您先完成 Google SecOps 學習路徑的訓練課程。

設定使用者群組

您需要建立或選取預先定義的 SOC 角色和權限群組，然後將這些角色和群組對應至從 SIEM 設定收到的 IdP 群組。如需各項工作的詳細操作說明，請參閱下列文件：

• 指派角色
• 指派權限群組
• 將使用者對應至 IdP 群組

使用連接器或 Webhook 設定資料擷取點

設定連接器或 Webhook，將快訊匯入平台進行分析。您也可以下載整個用途，如需各項工作的詳細操作說明，請參閱下列文件：

• 使用連接器擷取資料
• 使用 Webhook 擷取資料
• 從 Marketplace 執行用途
• 建立專屬連接器 (適用於進階使用者)

對應及建立傳入資料模型

您可以控管如何對應及模擬傳入的產品、事件和實體，確保系統擷取正確資訊。您可以自行定義這個本體設定，也可以選擇預設的對應和模型設定。如需各項工作的詳細操作說明，請參閱下列文件：

• 本體總覽
• 建立視覺化系列
• 建立實體

建立應對手冊

Google Security Operations 可讓您使用一系列手動和自動步驟 (稱為應對手冊) 應對威脅。如要進一步瞭解劇本，請參閱下列文件：

• 劇本畫面顯示的內容
• 建立第一個自動化動作 (教戰手冊)
• 從 Marketplace 執行用途
• 使用應對手冊模擬工具

分析案件和快訊

使用模擬案件和測試快訊，在正式啟用設定和劇本前進行測試。系統擷取快訊並執行完劇本後，您就可以查看案件和快訊，瞭解後續需要執行的動作，包括分類或補救步驟。如需各項工作的詳細操作說明，請參閱下列文件：

• 案件總覽
• 模擬案件
• 執行手動動作
• 探索快訊
• 實體探索工具頁面