Die Chronicle SecOps-Plattform

Im Artikel Auf der Plattform navigieren werden Sie feststellen, dass die Bereiche in SIEM und SOAR unterteilt sind. Das liegt daran, dass die Chronicle Security Operations-Plattform Tools für Security Information and Event Management (SIEM) sowie Sicherheitsorchestrierung, Automatisierung und Reaktion (Security Information and Event Management, SOAR) bietet. Einige Bereiche der Chronicle SecOps-Plattform sind entweder nur für SIEM oder SOAR spezifisch und sind daher entsprechend gekennzeichnet.

Auf der Chronicle SecOps-Plattform gibt es zwei separate Suchbildschirme.

SIEM Search leitet Sie auf die Seite UDM Search weiter. Mit der UDM-Suche können Sie Unified Data Model-Ereignisse und -Benachrichtigungen in Ihrer Chronicle-Instanz finden. Sie können entweder nach einzelnen UDM-Ereignissen oder Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind. Außerdem bietet die Suche ein ganzheitliches Erlebnis, da die Suche auch Informationen zu Benachrichtigungen enthält, die von den SOAR-Connectors und Webhooks aufgenommen wurden. Weitere Informationen finden Sie unter SIEM Search.

Der SOAR-Suchbildschirm konzentriert sich auf zwei Hauptbereiche: Fälle und Entitäten. Auf diesem Bildschirm können Sie sowohl nach offenen oder geschlossenen als auch nach Entitäten suchen, die an diesen Fällen beteiligt waren. Sie können die gesuchten Elemente aufschlüsseln, um weitere Informationen zu erhalten. Sie können Bulk-Aktionen ausführen, z. B. Fälle in Ihren Suchergebnissen zusammenführen. Weitere Informationen finden Sie unter SOAR-Suche.

SIEM- und SOAR-Dashboards

SIEM-Dashboards zeigen Informationen zu Ihren UDM-Ereignisdaten an. Dazu gehören Sicherheitstelemetrie, Aufnahmemesswerte, Erkennungen, Benachrichtigungen, IOCs und mehr. Weitere Informationen finden Sie unter SIEM-Dashboards.

Die SOAR-Dashboards enthalten Informationen zu Fällen, Playbooks und SOC-Analystendaten. Sie können neue Dashboards erstellen und für andere Nutzer freigeben. Weitere Informationen finden Sie unter SOAR-Dashboards.

SIEM-Einstellungen und SOAR-Einstellungen

Der Großteil der SOAR-Verwaltung und -Konfiguration befindet sich in den SOAR-Einstellungen und der Großteil der SIEM-Verwaltung und -Konfiguration in den SIEM-Einstellungen. Die Berechtigungen werden für jede Seite der Plattform separat festgelegt und es besteht keine Abhängigkeit zwischen ihnen. Sie können beispielsweise in den SOAR-Einstellungen für bestimmte Nutzergruppen die Berechtigungen auf Playbooks beschränken und allen Modulen in den SIEM-Einstellungen uneingeschränkte Berechtigungen erteilen.

Es gibt jedoch einige Einstellungen, die für die gesamte Chronicle SecOps-Plattform gelten. Diese plattformweiten Einstellungen werden über die SOAR-Einstellungen festgelegt. Dazu gehören die Seite IDP-Gruppenzuordnung, auf der alle Nutzergruppen der Chronicle SecOps-Plattform zugeordnet sind, und die Seite Berechtigungsgruppen, auf der für jede Nutzergruppe eine Auswahl der Landingpage festgelegt wird. Änderungen an Berechtigungen, die über Identity and Access Management (IAM) verwaltet werden, werden sofort angewendet. Über die SOAR-Einstellungen verwaltete Berechtigungen werden jedoch nur bei der nächsten Anmeldung des Nutzers auf der Plattform angewendet.

Informationen zu den SIEM-Einstellungen finden Sie unter SIEM-Einstellungen.

Informationen zu den SOAR-Einstellungen finden Sie unter SOAR-Einstellungen.

Daten mit SecOps SIEM und SIEMS von Drittanbietern aufnehmen

Die Chronicle SecOps-Plattform bietet nicht nur die Möglichkeit, Benachrichtigungen über die integrierte SIEM-Plattform aufzunehmen, die Rohlogs mit Forwardern und Datenfeeds aufnimmt, sondern auch Benachrichtigungen von SIEMS-Drittanbietern (über SOAR > Connectors und Webhooks) akzeptiert.

So können Sie flexibel andere SIEM-Tools sowie unser eigenes Chronicle SecOps SIEM-Angebot nutzen. Google empfiehlt, nach Möglichkeit das integrierte SIEM zu verwenden, um eine nahtlose Nutzung zu ermöglichen.
Benachrichtigungen, die sowohl über das integrierte SIEM als auch über SIEMS von Drittanbietern aufgenommen wurden, können in Cases gruppiert und im Rahmen der Case Management-Funktionen betrachtet werden. Benachrichtigungen, die aus SIEMs von Drittanbietern aufgenommen wurden, werden an die SIEM-Seite der Plattform gesendet und können über die UDM-Suche angezeigt werden. Sie unterliegen jedoch nicht den integrierten SIEM-Regeln.