Google SecOps プラットフォームを理解する

プラットフォームを操作するの記事に沿って操作すると、SIEM と SOAR に分割された領域が表示されます。これは、Google Security Operations プラットフォームは、セキュリティ情報およびイベント管理（SIEM）、およびセキュリティ オーケストレーション、自動化、レスポンス（SOAR）用のツールを提供しているためです。Google SecOps プラットフォームの一部は、SIEM または SOAR に固有のものであるため、そのようにラベル付けされています。

SIEM 検索と SOAR 検索

Google SecOps プラットフォームには、2 つの個別の検索画面があります。

SIEM 検索では、[UDM 検索] ページが表示されます。UDM 検索を使用すると、Google Security Operations インスタンスの統合データモデル（UDM）のイベントやアラートを検索できます。共有検索キーワードに関連付けられている個別の UDM イベントまたは UDM イベントのグループを検索できます。検索には、SOAR コネクタと Webhook から取り込まれたアラートに関する情報も含まれるため、独自の包括的なエクスペリエンスも提供します。詳細については、SIEM 検索をご覧ください。

SOAR 検索画面では、ケースとエンティティの 2 つの主要な領域に焦点を当てています。この画面から、オープンまたはクローズされたケースの両方を検索したり、ケースに関連するエンティティを検索したりできます。目的のエンティティをドリルダウンして、詳細情報を確認できます。検索結果に対して、ケースの統合などの一括操作を行えます。詳細については、SOAR 検索をご覧ください。

SIEM ダッシュボードと SOAR ダッシュボード

SIEM ダッシュボードには、UDM イベントデータに関する情報が表示されます。これには、セキュリティ テレメトリー、取り込み指標、検出、アラート、IOC などが含まれます。詳細については、SIEM ダッシュボードをご覧ください。

SOAR ダッシュボードには、ケース、ハンドブック、SOC アナリストのデータに関する情報が表示されます。新しいダッシュボードを作成して、他のユーザーと共有できます。詳細については、SOAR ダッシュボードをご覧ください。

SIEM 設定と SOAR 設定

SOAR の管理と構成の大部分は SOAR 設定にあり、SIEM の管理と構成の大部分は SIEM 設定にあります。権限はそれぞれのプラットフォームに別々に設定され、依存関係はありません。たとえば、特定のユーザー グループに対する SOAR 設定で、ハンドブックに対する権限を制限する一方で、SIEM 設定ですべてのモジュールに完全な権限を付与できます。

ただし、Google SecOps プラットフォーム全体に適用される設定もあります。プラットフォーム全体の設定は、SOAR 設定から制御されます。 これには、すべての Google SecOps プラットフォーム ユーザー グループをマッピングする [IDP Group Mapping] ページと、各ユーザー グループのランディング ページの選択を定義する [Permissions Groups] ページが含まれます。Identity and Access Management（IAM）で管理される権限の変更はすぐに適用されます。ただし、SOAR 設定から管理される権限は、ユーザーが次回プラットフォームにログインするときにのみ適用されます。

SIEM 設定については、SIEM 設定をご覧ください。

SOAR 設定については、SOAR 設定をご覧ください。

SecOps SIEM とサードパーティ SIEM を使用したデータの取り込み

Google SecOps プラットフォームでは、組み込みの SIEM プラットフォーム（フォワーダーとデータフィードを使用して未加工のログを取り込む）を使用してアラートを取り込むだけでなく、サードパーティ SIEM からのアラートを受け取ることもできます（SOAR から Connectors と Webhook 経由で）。

これにより、Google 独自の Google SecOps SIEM サービスだけでなく、他の SIEM も柔軟に利用できます。よりシームレスな操作を実現するため、可能な限り組み込みの SIEM を使用することをおすすめします。
組み込みの SIEM とサードパーティの SIEM の両方から取り込まれたアラートは Cases にグループ化され、Cases 管理機能の一部として確認できます。サードパーティの SIEM から取り込まれたアラートはプラットフォームの SIEM 側に送信され、UDM 検索を使用して確認できますが、組み込みの SIEM ルールの対象ではありません。