Questa pagina è stata tradotta dall'API Cloud Translation.

Informazioni sulla piattaforma Google SecOps

Supportato in:

Google SecOps

Se leggi l'articolo Navigare nella piattaforma, noterai che le aree sono suddivise in SIEM e SOAR. Questo perché la piattaforma Google Security Operations fornisce strumenti per la gestione degli eventi e delle informazioni di sicurezza (SIEM) e per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR). Alcune parti della piattaforma Google SecOps sono specifiche solo per SIEM o SOAR e pertanto sono etichettate come tali.

Ricerca SIEM e Ricerca SOAR

Nella piattaforma Google SecOps sono presenti due schermate di ricerca separate.

La ricerca SIEM ti reindirizza alla pagina Ricerca UDM. La ricerca UDM ti consente di trovare eventi e avvisi Unified Data Model (UDM) nella tua istanza Google Security Operations. Puoi cercare singoli eventi UDM o gruppi di eventi UDM legati a termini di ricerca condivisi. Fornisce inoltre un'esperienza olistica unica, in quanto la ricerca include anche informazioni sugli avvisi importati dai connettori e dai webhook SOAR. Per ulteriori informazioni, consulta Ricerca SIEM

La schermata di ricerca SOAR si concentra su due aree principali: richieste ed entità. In questa schermata puoi cercare richieste aperte o chiuse oppure entità coinvolte nelle richieste. Puoi visualizzare in dettaglio le entità che stai cercando per visualizzare ulteriori informazioni. Puoi eseguire azioni collettive come l'unione di richieste nei risultati di ricerca. Per saperne di più, consulta Ricerca SOAR.

Dashboard SIEM e dashboard SOAR

Le dashboard SIEM mostrano informazioni sui dati degli eventi UDM. Sono inclusi i dati di telemetria sulla sicurezza, le metriche di importazione, i rilevamenti, gli avvisi, gli indicatori di compromissione e altro ancora. Per ulteriori informazioni, consulta Dashboard SIEM.

Le dashboard SOAR mostrano informazioni su richieste, playbook e dati degli analisti SOC. Puoi creare nuove dashboard e condividerle con altri utenti. Per ulteriori informazioni, vedi Dashboard SOAR.

Impostazioni SIEM e Impostazioni SOAR

La maggior parte dell'amministrazione e della configurazione di SOAR si trova nelle impostazioni di SOAR, mentre la maggior parte dell'amministrazione e della configurazione di SIEM si trova nelle impostazioni di SIEM. Le autorizzazioni vengono impostate separatamente per ogni lato della piattaforma e non esiste alcuna dipendenza tra loro. Ad esempio, puoi scegliere di limitare le autorizzazioni ai playbook nelle impostazioni SOAR per determinati gruppi di utenti, concedendo al contempo autorizzazioni complete a tutti i moduli nelle impostazioni SIEM.

Tuttavia, esistono alcune impostazioni che si applicano all'intera piattaforma Google SecOps. Queste impostazioni a livello di piattaforma sono controllate dalle impostazioni SOAR. Sono incluse la pagina Mappatura dei gruppi di IdP, che mappa tutti i gruppi di utenti della piattaforma Google SecOps, e la pagina Gruppi di autorizzazioni, che definisce una scelta di pagina di destinazione per ogni gruppo di utenti. Le modifiche alle autorizzazioni gestite tramite Identity and Access Management (IAM) vengono applicate immediatamente. Tuttavia, le autorizzazioni gestite dalle impostazioni SOAR vengono applicate solo alla successiva autenticazione dell'utente nella piattaforma.

Per informazioni sulle impostazioni SIEM, vedi Impostazioni SIEM.

Per informazioni sulle impostazioni SOAR, consulta Impostazioni SOAR.

Importazione dei dati utilizzando SIEM di SecOps e SIEM di terze parti

La piattaforma Google SecOps offre l'opportunità non solo di importare gli avvisi utilizzando la piattaforma SIEM integrata (che importa i log non elaborati utilizzando inoltratori e feed di dati), ma accetta anche gli avvisi di SIEM di terze parti (tramite SOAR > Connettori e webhook).

In questo modo, hai la flessibilità di utilizzare altri SIEM, oltre alla nostra offerta SIEM Google SecOps. Google consiglia di utilizzare il SIEM integrato, se possibile, per un'esperienza più fluida.
Gli avvisi importati sia dal SIEM integrato sia da SIEM di terze parti possono essere raggruppati in richieste ed esaminati nell'ambito delle funzionalità di gestione delle richieste. Gli avvisi importati da SIEM di terze parti vengono inviati al lato SIEM della piattaforma e possono essere visualizzati utilizzando la ricerca UDM, ma non sono soggetti alle regole SIEM incorporate.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.