Memahami platform Chronicle SecOps

Dengan mengikuti artikel Navigate the platform, Anda akan melihat bahwa ada area yang dibagi menjadi SIEM dan SOAR. Hal ini karena platform Chronicle Security Operations menyediakan alat untuk informasi keamanan dan pengelolaan peristiwa (SIEM) serta orkestrasi, otomatisasi, dan respons keamanan (SOAR). Beberapa bagian platform SecOps Chronicle bersifat khusus untuk SIEM atau SOAR, sehingga diberi label demikian.

Di platform SecOps Chronicle, ada dua layar Penelusuran terpisah.

SIEM Search mengarahkan Anda ke halaman UDM Search. Penelusuran UDM memungkinkan Anda menemukan peristiwa dan pemberitahuan Model Data Terpadu (UDM) di instance Chronicle. Anda dapat menelusuri peristiwa UDM satu per satu atau grup acara UDM yang terkait dengan istilah penelusuran bersama. Hal ini juga memberikan pengalaman menyeluruh yang unik karena penelusuran juga menyertakan informasi tentang notifikasi yang diserap dari konektor dan webhook SOAR. Untuk informasi selengkapnya, lihat Penelusuran SIEM

Layar Penelusuran SOAR berfokus pada dua area utama: kasus dan entitas. Dari layar ini, Anda dapat menelusuri kasus terbuka atau tertutup atau menelusuri entitas yang terlibat dalam kasus. Anda dapat melihat perincian ke entitas yang Anda cari untuk melihat informasi lebih lanjut tentang entitas tersebut. Anda dapat melakukan tindakan massal seperti menggabungkan kasus pada hasil penelusuran. Untuk informasi selengkapnya, lihat penelusuran SOAR.

Dasbor SIEM dan Dasbor SOAR

Dasbor SIEM menampilkan informasi tentang data peristiwa UDM Anda. Hal ini mencakup telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, IOC, dan lainnya. Untuk informasi selengkapnya, lihat Dasbor SIEM.

Dasbor SOAR menampilkan informasi tentang kasus, playbook, dan data analis SOC. Anda dapat membuat dasbor baru dan membagikannya kepada pengguna lain. Untuk informasi lebih lanjut, lihat dasbor SOAR.

Setelan SIEM dan Setelan SOAR

Sebagian besar administrasi dan konfigurasi SOAR berada dalam Setelan SOAR dan sebagian besar administrasi dan konfigurasi SIEM berada dalam Setelan SIEM. Izin ditetapkan secara terpisah untuk setiap sisi platform dan tidak ada dependensi di antara keduanya. Misalnya, Anda dapat memilih untuk membatasi izin ke Playbook di Setelan SOAR untuk grup pengguna tertentu sekaligus memberikan izin penuh ke semua modul dalam setelan SIEM.

Namun, ada beberapa setelan yang berlaku untuk seluruh platform SecOps Chronicle. Setelan seluruh platform ini dikontrol dari setelan SOAR. Hal ini mencakup halaman Pemetaan Grup IDP yang memetakan semua grup pengguna platform SecOps Chronicle dan halaman Permissions Groups, yang menentukan pilihan halaman landing untuk setiap grup pengguna. Perubahan izin yang dikelola melalui Identity and Access Management (IAM) akan segera diterapkan. Namun, izin yang dikelola dari setelan SOAR hanya diterapkan saat pengguna login kembali ke platform.

Untuk mengetahui informasi tentang setelan SIEM, lihat Setelan SIEM.

Untuk mengetahui informasi tentang setelan SOAR, lihat setelan SOAR.

Menyerap data menggunakan SecOps SIEM dan SIEMS pihak ketiga

Platform SecOps Chronicle menawarkan peluang untuk tidak hanya menyerap pemberitahuan menggunakan platform SIEM bawaan (yang menyerap log mentah menggunakan penerusan dan feed data), tetapi juga menerima pemberitahuan dari SIEMS pihak ketiga (melalui SOAR > Konektor dan Webhook).

Hal ini memberi Anda fleksibilitas untuk memanfaatkan SIEM lain serta penawaran SIEM Chronicle SecOps kami sendiri. Google merekomendasikan penggunaan SIEM bawaan jika memungkinkan untuk pengalaman yang lebih lancar.
Pemberitahuan yang diserap dari SIEM bawaan dan SIEMS pihak ketiga dapat dikelompokkan ke dalam Kasus dan ditinjau sebagai bagian dari fitur Pengelolaan Kasus. Pemberitahuan yang diserap dari SIEM pihak ketiga dikirim ke sisi SIEM platform dan dapat dilihat menggunakan penelusuran UDM, tetapi tidak tunduk pada aturan SIEM bawaan.