Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Plattform

Unterstützt in:

Google SecOps

Wie im Artikel Die Plattform bedienen beschrieben, sind die Bereiche in SIEM und SOAR unterteilt. Das liegt daran, dass die Google Security Operations-Plattform Tools für die Sicherheits- und Ereignisverwaltung (SIEM) und die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) bietet. Einige Teile der Google SecOps-Plattform sind nur für SIEM oder SOAR spezifisch und werden daher entsprechend gekennzeichnet.

SIEM-Suche und SOAR-Suche

Auf der Google SecOps-Plattform gibt es zwei separate Suchbildschirme.

Über die SIEM-Suche werden Sie zur Seite UDM-Suche weitergeleitet. Mit der UDM-Suche können Sie UDM-Ereignisse (Unified Data Model) und -Benachrichtigungen in Ihrer Google Security Operations-Instanz finden. Sie können entweder nach einzelnen UDM-Ereignissen oder nach Gruppen von UDM-Ereignissen suchen, die mit freigegebenen Suchbegriffen verknüpft sind. Außerdem bietet sie eine einzigartige ganzheitliche Lösung, da die Suche auch Informationen zu Benachrichtigungen enthält, die über die SOAR-Connectors und Webhooks aufgenommen wurden. Weitere Informationen finden Sie unter SIEM-Suche.

Der Bildschirm „SOAR Search“ konzentriert sich auf zwei Hauptbereiche: Fälle und Entitäten. Auf diesem Bildschirm können Sie sowohl nach offenen als auch nach geschlossenen Fällen oder nach Entitäten suchen, die an Fällen beteiligt waren. Sie können die gewünschten Entitäten aufschlüsseln, um weitere Informationen zu erhalten. Sie können Bulk-Aktionen wie das Zusammenführen von Anfragen auf Ihre Suchergebnisse anwenden. Weitere Informationen finden Sie unter SOAR-Suche.

SIEM-Dashboards und SOAR-Dashboards

Auf SIEM-Dashboards werden Informationen zu Ihren UDM-Ereignisdaten angezeigt. Dazu gehören unter anderem Sicherheitstelemetrie, Datenaufnahmemesswerte, Erkennungen, Benachrichtigungen und IOCs. Weitere Informationen finden Sie unter SIEM-Dashboards.

Die SOAR-Dashboards enthalten Informationen zu Supportanfragen, Playbooks und SOC-Analystendaten. Sie können neue Dashboards erstellen und für andere Nutzer freigeben. Weitere Informationen finden Sie unter SOAR-Dashboards.

SIEM- und SOAR-Einstellungen

Die meisten SOAR-Verwaltungs- und Konfigurationsoptionen finden Sie in den SOAR-Einstellungen. Die meisten SIEM-Verwaltungs- und Konfigurationsoptionen finden Sie in den SIEM-Einstellungen. Die Berechtigungen werden für jede Seite der Plattform separat festgelegt und es gibt keine Abhängigkeiten zwischen ihnen. Sie können beispielsweise die Berechtigungen für Playbooks in den SOAR-Einstellungen für bestimmte Nutzergruppen einschränken und allen Modulen in den SIEM-Einstellungen volle Berechtigungen erteilen.

Es gibt jedoch einige Einstellungen, die für die gesamte Google SecOps-Plattform gelten. Diese plattformweiten Einstellungen werden über die SOAR-Einstellungen gesteuert. Dazu gehören die Seite IDP-Gruppenzuordnung, auf der alle Nutzergruppen der Google SecOps-Plattform zugeordnet werden, und die Seite Berechtigungsgruppen, auf der eine Landingpage für jede Nutzergruppe ausgewählt wird. Änderungen an Berechtigungen, die über die Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet werden, werden sofort angewendet. Berechtigungen, die über die SOAR-Einstellungen verwaltet werden, werden jedoch erst beim nächsten Anmelden des Nutzers auf der Plattform angewendet.

Informationen zu SIEM-Einstellungen finden Sie unter SIEM-Einstellungen.

Informationen zu SOAR-Einstellungen finden Sie unter SOAR-Einstellungen.

Datenaufnahme mit SecOps-SIEM und Drittanbieter-SIEMs

Die Google SecOps-Plattform bietet die Möglichkeit, nicht nur Benachrichtigungen über die integrierte SIEM-Plattform (die Rohprotokolle über Weiterleitungen und Datenfeeds aufnimmt) zu verarbeiten, sondern auch Benachrichtigungen von Drittanbieter-SIEMs (über SOAR > Connectors und Webhooks) zu akzeptieren.

So haben Sie die Flexibilität, sowohl andere SIEMs als auch unser eigenes SIEM-Angebot von Google SecOps zu nutzen. Google empfiehlt, nach Möglichkeit die integrierte SIEM zu verwenden, um die Nutzung zu vereinfachen.
Benachrichtigungen, die sowohl aus dem integrierten SIEM als auch aus Drittanbieter-SIEMs aufgenommen werden, können in Fälle gruppiert und im Rahmen der Funktionen zur Fallverwaltung betrachtet werden. Benachrichtigungen, die aus SIEMs von Drittanbietern aufgenommen werden, werden an die SIEM-Seite der Plattform gesendet und können über die UDM-Suche angezeigt werden. Sie unterliegen jedoch nicht den integrierten SIEM-Regeln.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten