Cette page a été traduite par l'API Cloud Translation.

Comprendre la plate-forme Google SecOps

Compatible avec:

Google SecOps

Après avoir lu l'article Parcourir la plate-forme, vous constaterez que les zones sont divisées en SIEM et SOAR. En effet, la plate-forme Google Security Operations fournit des outils de gestion des informations et des événements de sécurité (SIEM) et d'orchestration de la sécurité, d'automatisation et de réponse (SOAR). Certaines parties de la plate-forme Google SecOps sont spécifiques au SIEM ou au SOAR uniquement et sont donc identifiées comme telles.

Recherche SIEM et recherche SOAR

La plate-forme Google SecOps comporte deux écrans de recherche distincts.

La recherche SIEM vous redirige vers la page Recherche UDM. La recherche UDM vous permet de trouver des événements et des alertes UDM (Unified Data Model) dans votre instance Google Security Operations. Vous pouvez rechercher des événements UDM individuels ou des groupes d'événements UDM associés à des termes de recherche partagés. Elle offre également une expérience globale unique, car la recherche inclut également des informations sur les alertes qui ont été ingérées à partir des connecteurs SOAR et des webhooks. Pour en savoir plus, consultez Recherche SIEM.

L'écran de recherche SOAR se concentre sur deux domaines principaux: les demandes et les entités. Sur cet écran, vous pouvez rechercher des demandes ouvertes ou clôturées, ou des entités impliquées dans des demandes. Vous pouvez accéder aux entités qui vous intéressent pour en savoir plus à leur sujet. Vous pouvez effectuer des actions groupées, comme fusionner des demandes, sur vos résultats de recherche. Pour en savoir plus, consultez la section Recherche SOAR.

Tableaux de bord SIEM et SOAR

Les tableaux de bord SIEM affichent des informations sur vos données d'événements UDM. Cela inclut la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes, les indicateurs de compromission, etc. Pour en savoir plus, consultez Tableaux de bord SIEM.

Les tableaux de bord SOAR affichent des informations sur les demandes, les playbooks et les données des analystes du SOC. Vous pouvez créer des tableaux de bord et les partager avec d'autres utilisateurs. Pour en savoir plus, consultez la section Tableaux de bord SOAR.

Paramètres SIEM et SOAR

La plupart des tâches d'administration et de configuration de SOAR se trouvent dans les paramètres SOAR, et la plupart des tâches d'administration et de configuration de SIEM se trouvent dans les paramètres SIEM. Les autorisations sont définies séparément pour chaque côté de la plate-forme et aucune dépendance ne les lie. Par exemple, vous pouvez choisir de limiter les autorisations aux playbooks dans les paramètres SOAR pour certains groupes d'utilisateurs, tout en accordant des autorisations complètes à tous les modules dans les paramètres SIEM.

Toutefois, certains paramètres s'appliquent à l'ensemble de la plate-forme Google SecOps. Ces paramètres à l'échelle de la plate-forme sont gérés depuis les paramètres SOAR. Cela inclut la page Mappage des groupes d'IDP, qui met en correspondance tous les groupes d'utilisateurs de la plate-forme Google SecOps, et la page Groupes d'autorisations, qui définit une page de destination pour chaque groupe d'utilisateurs. Les modifications apportées aux autorisations gérées via Identity and Access Management (IAM) sont appliquées immédiatement. Toutefois, les autorisations gérées à partir des paramètres SOAR ne sont appliquées que la prochaine fois que l'utilisateur se connectera à la plate-forme.

Pour en savoir plus sur les paramètres SIEM, consultez Paramètres SIEM.

Pour en savoir plus sur les paramètres SOAR, consultez Paramètres SOAR.

Ingérer des données à l'aide d'un SIEM SecOps et de SIEM tiers

La plate-forme Google SecOps permet d'ingérer des alertes à l'aide de la plate-forme SIEM intégrée (qui ingère les journaux bruts à l'aide de transferts et de flux de données), mais aussi d'accepter les alertes de SIEM tiers (via SOAR > Connecteurs et Webhooks).

Vous pouvez ainsi utiliser d'autres SIEM, ainsi que notre propre offre SIEM Google SecOps. Google recommande d'utiliser le SIEM intégré dans la mesure du possible pour une expérience plus fluide.
Les alertes ingérées à la fois par le SIEM intégré et par des SIEM tiers peuvent être regroupées dans des demandes et examinées dans le cadre des fonctionnalités de gestion des demandes. Les alertes ingérées à partir de systèmes SIEM tiers sont envoyées côté SIEM de la plate-forme et peuvent être consultées à l'aide de la recherche UDM, mais ne sont pas soumises aux règles SIEM intégrées.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.