Esta página foi traduzida pela API Cloud Translation.

Compreenda a plataforma Google SecOps

Compatível com:

Google secops

Seguindo o artigo Navegue na plataforma, verá que existem áreas divididas em SIEM e SOAR. Isto deve-se ao facto de a plataforma Google Security Operations fornecer ferramentas para informações de segurança e gestão de eventos (SIEM) e orquestração, automatização e resposta de segurança (SOAR). Algumas partes da plataforma Google SecOps são específicas apenas do SIEM ou do SOAR e, por isso, estão etiquetadas como tal.

SIEM Search e SOAR Search

Na plataforma Google SecOps, existem dois ecrãs de pesquisa separados.

A pesquisa SIEM direciona para a página Pesquisa UDM, onde pode encontrar e investigar eventos e alertas do modelo de dados unificado (UDM) na sua instância do Google Security Operations. Pode pesquisar eventos UDM individuais ou grupos de eventos UDM através de termos de pesquisa partilhados. A pesquisa também inclui alertas carregados a partir de conectores SOAR e webhooks. Para mais informações, consulte SIEM Search

O ecrã de pesquisa da SOAR centra-se em duas áreas principais: registos e entidades. Neste ecrã, pode pesquisar casos abertos ou fechados, ou pesquisar entidades envolvidas em casos. Pode detalhar as entidades que procura para ver mais informações sobre elas. Pode realizar ações em massa, como unir registos, nos resultados da pesquisa. Para mais informações, consulte o artigo Pesquisa SOAR.

Painéis de controlo SIEM e painéis de controlo SOAR

Os painéis de controlo SIEM apresentam informações sobre os dados de eventos da UDM. Isto inclui telemetria de segurança, métricas de carregamento, deteções, alertas, IOCs e muito mais. Para mais informações, consulte o artigo Painéis de controlo do SIEM.

Os painéis de controlo da SOAR apresentam informações sobre registos, manuais de procedimentos e dados de analistas do SOC. Pode criar novos painéis de controlo e partilhá-los com outros utilizadores. Para mais informações, consulte o artigo Painéis de controlo SOAR.

Definições de SIEM e SOAR

A maioria da administração e configuração do SOAR encontra-se nas definições do SOAR, e a maioria da administração e configuração do SIEM encontra-se nas definições do SIEM. As autorizações são definidas separadamente para cada lado da plataforma e não existe dependência entre elas. Por exemplo, pode optar por limitar as autorizações aos manuais de procedimentos nas definições de SOAR para determinados grupos de utilizadores, ao mesmo tempo que concede autorizações completas a todos os módulos nas definições de SIEM.

As alterações de autorizações geridas com a gestão de identidade e de acesso (IAM) são aplicadas imediatamente. No entanto, as alterações feitas nas definições do SOAR só entram em vigor depois de o utilizador terminar sessão e iniciar sessão novamente. Estas definições ao nível da plataforma incluem estas páginas para gerir o acesso dos utilizadores: * Mapeamento de grupos do IdP: mapeia todos os grupos do fornecedor de identidade (IdP) externo para grupos de utilizadores da plataforma Google SecOps. * Grupos de autorizações: permite-lhe definir uma página de destino predefinida para cada grupo de utilizadores. As alterações às autorizações geridas através da gestão de identidade e de acesso (IAM) são aplicadas imediatamente. No entanto, as autorizações geridas a partir das definições do SOAR só são aplicadas na próxima vez que o utilizador iniciar sessão na plataforma.

Para obter informações sobre as definições do SIEM, consulte o artigo Definições do SIEM.

Para detalhes sobre a retenção de dados, consulte o artigo Retenção de dados na sua conta do Google SecOps.

Para informações sobre as definições de SOAR, consulte o artigo Definições de SOAR.

Carregar dados através do SIEM do SecOps e de SIEMs de terceiros

A plataforma Google SecOps oferece a oportunidade de não só carregar alertas através da plataforma SIEM incorporada (que carrega registos não processados através de encaminhadores e feeds de dados), mas também aceita alertas de SIEMs de terceiros (através de SOAR > Conectores e webhooks).

Isto oferece-lhe a flexibilidade de tirar partido de outros SIEMs, bem como da nossa própria oferta de SIEM do Google SecOps. A Google recomenda a utilização do SIEM incorporado sempre que possível para uma experiência mais integrada.
Os alertas carregados a partir do SIEM incorporado e dos SIEMs de terceiros podem ser agrupados em registos e analisados como parte das funcionalidades de gestão de registos. Os alertas carregados a partir de SIEMs de terceiros são enviados para o lado do SIEM da plataforma e podem ser vistos através da pesquisa UDM, mas não estão sujeitos às regras de SIEM incorporadas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.