Cette page a été traduite par l'API Cloud Translation.

Comprendre la plate-forme Google SecOps

Compatible avec:

Google SecOps

Après avoir suivi l'article Naviguer sur la plate-forme, vous découvrirez qu'il existe des catégories divisées entre SIEM et SOAR. En effet, la plate-forme Google Security Operations fournit des outils de gestion des informations et des événements de sécurité (SIEM, Security Information and Event Management) et d'orchestration de la sécurité, d'automatisation et de réponse (SOAR, Security Orchestration, Automation and Response). Certaines parties de la plate-forme Google SecOps sont propres à la solution SIEM ou SOAR uniquement, et sont donc libellées comme telles.

Recherche SIEM et recherche SOAR

La plate-forme Google SecOps comprend deux écrans de recherche distincts.

La recherche SIEM vous redirige vers la page de recherche UDM. La recherche UDM vous permet de trouver des événements et des alertes UDM (Unified Data Model) dans votre instance Google Security Operations. Vous pouvez rechercher des événements UDM individuels ou des groupes d'événements UDM associés à des termes de recherche partagés. Elle offre également une expérience globale unique, car la recherche inclut également des informations sur les alertes qui ont été ingérées à partir des connecteurs SOAR et des webhooks. Pour en savoir plus, consultez la page Recherche SIEM.

L'écran de recherche SOAR se concentre sur deux zones principales: les demandes et les entités. Sur cet écran, vous pouvez rechercher des demandes ouvertes ou clôturées, ou des entités impliquées dans des demandes. Vous pouvez accéder aux entités qui vous intéressent pour en savoir plus à leur sujet. Vous pouvez effectuer des actions groupées, comme fusionner des demandes, sur vos résultats de recherche. Pour en savoir plus, consultez la section Recherche SOAR.

Tableaux de bord SIEM et tableaux de bord SOAR

Les tableaux de bord SIEM affichent des informations sur vos données d'événements UDM. Cela inclut les données télémétriques de sécurité, les métriques d'ingestion, les détections, les alertes, les IOC, etc. Pour en savoir plus, consultez la page Tableaux de bord SIEM.

Les tableaux de bord SOAR affichent des informations sur les demandes, les playbooks et les données des analystes du SOC. Vous pouvez créer des tableaux de bord et les partager avec d'autres utilisateurs. Pour en savoir plus, consultez la section Tableaux de bord SOAR.

Paramètres SIEM et paramètres SOAR

La plupart des tâches d'administration et de configuration de SOAR se trouvent dans les paramètres SOAR, et la plupart des tâches d'administration et de configuration de SIEM se trouvent dans les paramètres SIEM. Les autorisations sont définies séparément pour chaque côté de la plate-forme, et il n'existe aucune dépendance entre elles. Par exemple, vous pouvez choisir de limiter les autorisations aux playbooks dans les paramètres SOAR pour certains groupes d'utilisateurs, tout en accordant des autorisations complètes à tous les modules dans les paramètres SIEM.

Toutefois, certains paramètres s'appliquent à l'ensemble de la plate-forme Google SecOps. Ces paramètres sont contrôlés à l'échelle de la plate-forme depuis les paramètres SOAR. Cela inclut la page Mappage de groupes IdP, qui mappe tous les groupes d'utilisateurs de la plate-forme Google SecOps, et la page Groupes d'autorisations, qui définit le choix de la page de destination pour chaque groupe d'utilisateurs. Les modifications des autorisations gérées via Identity and Access Management (IAM) sont appliquées immédiatement. Toutefois, les autorisations gérées à partir des paramètres SOAR ne sont appliquées que la prochaine fois que l'utilisateur se connectera à la plate-forme.

Pour en savoir plus sur les paramètres SIEM, consultez Paramètres SIEM.

Pour en savoir plus sur les paramètres SOAR, consultez Paramètres SOAR.

Ingérer des données à l'aide de SIEM SecOps et de systèmes SIEM tiers

La plate-forme Google SecOps permet non seulement d'ingérer des alertes via la plate-forme SIEM intégrée (qui ingère les journaux bruts à l'aide de redirecteurs et de flux de données), mais aussi d'accepter les alertes de SIEMS tiers (via SOAR > Connecteurs et webhooks).

Vous avez ainsi la possibilité de profiter d'autres solutions SIEM, ainsi que de notre propre offre SIEM Google SecOps. Google recommande d'utiliser le SIEM intégré dans la mesure du possible pour une expérience plus fluide.
Les alertes ingérées à partir des outils SIEM intégrés et tiers peuvent être regroupées en demandes et examinées dans le cadre des fonctionnalités de gestion des demandes. Les alertes ingérées par des SIEM tiers sont envoyées du côté SIEM de la plate-forme et peuvent être vues à l'aide de la recherche UDM, mais elles ne sont pas soumises aux règles SIEM intégrées.