Google SecOps プラットフォームを理解する

プラットフォームを操作するの記事に従うと、SIEM と SOAR に分かれている領域があります。これは、Google Security Operations プラットフォームは、セキュリティ情報およびイベント管理(SIEM)、およびセキュリティ オーケストレーション、自動化、レスポンス(SOAR)用のツールを提供しているためです。Google SecOps プラットフォームの一部は SIEM または SOAR のみに固有のため、そのようにラベル付けされます。

Google SecOps プラットフォームには、2 つの個別の検索画面があります。

SIEM 検索では、[UDM 検索] ページが表示されます。UDM 検索を使用すると、Google Security Operations インスタンスの統合データモデル(UDM)のイベントやアラートを検索できます。個別の UDM イベント、または共有検索キーワードに関連付けられている UDM イベントのグループに対して検索できます。検索には、SOAR コネクタと Webhook から取り込まれたアラートに関する情報も含まれるため、独自の包括的なエクスペリエンスも提供します。詳細については、SIEM 検索をご覧ください。

SOAR 検索画面は、ケースとエンティティという 2 つの主な領域に重点を置いています。この画面では、対応待ちのケースまたは終了したケースの両方、またはケースに関与しているエンティティを検索できます。探しているエンティティにドリルダウンして詳細情報を表示できます。検索結果に統合ケースなどの一括操作を行えます。詳細については、SOAR 検索をご覧ください。

SIEM ダッシュボードと SOAR ダッシュボード

SIEM ダッシュボードには、UDM イベントデータに関する情報が表示されます。これには、セキュリティ テレメトリー、取り込み指標、検出、アラート、IOC などが含まれます。詳細については、SIEM ダッシュボードをご覧ください。

SOAR ダッシュボードには、ケース、ハンドブック、SOC アナリストのデータに関する情報が表示されます。新しいダッシュボードを作成して他のユーザーと共有できます。詳細については、SOAR ダッシュボードをご覧ください。

SIEM 設定と SOAR 設定

SOAR の管理と構成の大部分は SOAR 設定にあり、SIEM の管理と構成の大部分は SIEM 設定にあります。権限はそれぞれのプラットフォームに別々に設定され、依存関係はありません。たとえば、特定のユーザー グループに対する SOAR 設定で、ハンドブックに対する権限を制限する一方で、SIEM 設定ですべてのモジュールに完全な権限を付与できます。

ただし、Google SecOps プラットフォーム全体に適用される設定がいくつかあります。プラットフォーム全体の設定は、SOAR 設定から制御されます。 これには、すべての Google SecOps プラットフォーム ユーザー グループをマッピングする [IdP グループ マッピング] ページと、各ユーザー グループのランディング ページの選択を定義する [権限グループ] ページが含まれます。Identity and Access Management(IAM)を介して管理される権限の変更はすぐに適用されます。ただし、SOAR 設定から管理される権限は、ユーザーが次回プラットフォームにログインするときにのみ適用されます。

SIEM 設定については、SIEM 設定をご覧ください。

SOAR 設定については、SOAR 設定をご覧ください。

SecOps SIEM とサードパーティの SIEM を使用してデータを取り込む

Google SecOps プラットフォームでは、組み込みの SIEM プラットフォーム(フォワーダーとデータフィードを使用して未加工のログを取り込む)を使用してアラートを取り込むだけでなく、サードパーティ SIEM からのアラートを受け取ることもできます(SOAR から Connectors と Webhook 経由で)。

これにより、他の SIEM や Google 独自の Google SecOps SIEM サービスを柔軟に活用できます。よりシームレスなエクスペリエンスのために、可能な限り組み込みの SIEM を使用することをおすすめします。
組み込みの SIEM とサードパーティの SIEMS の両方から取り込まれたアラートは、ケースにグループ化されてケース管理機能の一部として確認できます。サードパーティの SIEM から取り込まれたアラートはプラットフォームの SIEM 側に送信され、UDM 検索を使用して確認できますが、組み込みの SIEM ルールの対象ではありません。