Memahami platform Google SecOps

Setelah membaca artikel Menavigasi platform, Anda akan melihat bahwa ada area yang dibagi menjadi SIEM dan SOAR. Hal ini karena platform Google Security Operations menyediakan alat untuk informasi keamanan dan manajemen peristiwa (SIEM) serta orkestrasi, otomatisasi, dan respons keamanan (SOAR). Beberapa bagian platform Google SecOps hanya khusus untuk SIEM atau SOAR, sehingga diberi label demikian.

Penelusuran SIEM dan Penelusuran SOAR

Di platform Google SecOps, ada dua layar Penelusuran terpisah.

Penelusuran SIEM akan mengarahkan Anda ke halaman Penelusuran UDM. Dengan penelusuran UDM, Anda dapat menemukan peristiwa dan pemberitahuan Model Data Terpadu (UDM) di instance Google Security Operations. Anda dapat menelusuri peristiwa UDM individual atau grup peristiwa UDM yang terkait dengan istilah penelusuran bersama. Hal ini juga memberikan pengalaman holistik yang unik karena penelusuran juga menyertakan informasi tentang pemberitahuan yang diserap dari konektor SOAR dan webhook. Untuk informasi selengkapnya, lihat Penelusuran SIEM

Layar Penelusuran SOAR berfokus pada dua area utama: kasus dan entitas. Dari layar ini, Anda dapat menelusuri kasus yang terbuka atau ditutup atau menelusuri entitas yang terlibat dalam kasus. Anda dapat melihat perincian entitas yang Anda cari untuk melihat informasi selengkapnya tentang entitas tersebut. Anda dapat melakukan tindakan massal seperti menggabungkan kasus di hasil penelusuran. Untuk informasi selengkapnya, lihat Penelusuran SOAR.

Dasbor SIEM dan Dasbor SOAR

Dasbor SIEM menampilkan informasi tentang data peristiwa UDM Anda. Hal ini mencakup telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, IOC, dan lainnya. Untuk informasi selengkapnya, lihat Dasbor SIEM.

Dasbor SOAR menampilkan informasi tentang kasus, playbook, dan data analis SOC. Anda dapat membuat dasbor baru dan membagikannya kepada pengguna lain. Untuk mengetahui informasi selengkapnya, lihat Dasbor SOAR.

Setelan SIEM dan Setelan SOAR

Sebagian besar administrasi dan konfigurasi SOAR berada dalam Setelan SOAR dan sebagian besar administrasi dan konfigurasi SIEM berada dalam Setelan SIEM. Izin ditetapkan secara terpisah untuk setiap sisi platform dan tidak ada dependensi di antara keduanya. Misalnya, Anda dapat memilih untuk membatasi izin ke Playbook di Setelan SOAR untuk grup pengguna tertentu sekaligus memberikan izin penuh ke semua modul di setelan SIEM.

Namun, ada beberapa setelan yang berlaku untuk seluruh platform Google SecOps. Setelan di seluruh platform ini dikontrol dari setelan SOAR. Hal ini mencakup halaman Pemetaan Grup IdP yang memetakan semua grup pengguna platform Google SecOps dan halaman Grup Izin, yang menentukan pilihan halaman landing untuk setiap grup pengguna. Perubahan izin yang dikelola melalui Identity and Access Management (IAM) akan segera diterapkan. Namun, izin yang dikelola dari setelan SOAR hanya diterapkan saat pengguna login ke platform lagi.

Untuk informasi tentang setelan SIEM, lihat Setelan SIEM.

Untuk informasi tentang setelan SOAR, lihat Setelan SOAR.

Mengambil data menggunakan SecOps SIEM dan SIEM pihak ketiga

Platform Google SecOps menawarkan peluang untuk tidak hanya menyerap pemberitahuan menggunakan platform SIEM bawaan (yang menyerap log mentah menggunakan forwarder dan feed data), tetapi juga menerima pemberitahuan dari SIEM pihak ketiga (melalui SOAR > Konektor dan Webhook).

Hal ini memberi Anda fleksibilitas untuk memanfaatkan SIEM lain serta penawaran SIEM Google SecOps kami sendiri. Google merekomendasikan penggunaan SIEM bawaan jika memungkinkan untuk pengalaman yang lebih lancar.
Pemberitahuan yang diserap dari SIEM bawaan dan SIEM pihak ketiga dapat dikelompokkan ke dalam Kasus dan dilihat sebagai bagian dari fitur Pengelolaan Kasus. Notifikasi yang diserap dari SIEM pihak ketiga dikirim ke sisi SIEM platform dan dapat dilihat menggunakan penelusuran UDM, tetapi tidak tunduk pada aturan SIEM bawaan.