Esta página foi traduzida pela API Cloud Translation.

Compreenda a plataforma Google SecOps

Compatível com:

Google secops

Seguindo o artigo Navegue na plataforma, vai ver que existem áreas divididas em SIEM e SOAR. Isto deve-se ao facto de a plataforma Google Security Operations fornecer ferramentas para a gestão de eventos e informações de segurança (SIEM) e a orquestração, automatização e resposta de segurança (SOAR). Algumas partes da plataforma Google SecOps são específicas apenas do SIEM ou do SOAR e, por isso, estão etiquetadas como tal.

SIEM Search e SOAR Search

Na plataforma Google SecOps, existem dois ecrãs de pesquisa separados.

A pesquisa SIEM direciona para a página Pesquisa UDM. A pesquisa UDM permite-lhe encontrar eventos e alertas do modelo de dados unificado (UDM) na sua instância do Google Security Operations. Pode pesquisar eventos de UDM individuais ou grupos de eventos de UDM associados a termos de pesquisa partilhados. Também oferece uma experiência exclusivamente holística, uma vez que a pesquisa também inclui informações sobre alertas carregados a partir dos conectores SOAR e webhooks. Para mais informações, consulte SIEM Search

O ecrã de pesquisa SOAR centra-se em duas áreas principais: registos e entidades. Neste ecrã, pode pesquisar casos abertos ou fechados, ou pesquisar entidades envolvidas em casos. Pode detalhar as entidades que procura para ver mais informações sobre elas. Pode realizar ações em massa, como unir registos, nos resultados da pesquisa. Para mais informações, consulte o artigo Pesquisa SOAR.

Painéis de controlo SIEM e painéis de controlo SOAR

Os painéis de controlo SIEM apresentam informações sobre os dados de eventos da UDM. Isto inclui telemetria de segurança, métricas de carregamento, deteções, alertas, IOCs e muito mais. Para mais informações, consulte o artigo Painéis de controlo do SIEM.

Os painéis de controlo da SOAR apresentam informações sobre registos, manuais de procedimentos e dados de analistas do SOC. Pode criar novos painéis de controlo e partilhá-los com outros utilizadores. Para mais informações, consulte o artigo Painéis de controlo SOAR.

Definições de SIEM e SOAR

A maioria da administração e configuração do SOAR encontra-se nas definições do SOAR, e a maioria da administração e configuração do SIEM encontra-se nas definições do SIEM. As autorizações são definidas separadamente para cada lado da plataforma e não existe dependência entre elas. Por exemplo, pode optar por limitar as autorizações aos manuais de procedimentos nas definições de SOAR para determinados grupos de utilizadores, ao mesmo tempo que concede autorizações completas a todos os módulos nas definições de SIEM.

No entanto, existem algumas definições que se aplicam a toda a plataforma Google SecOps. Estas definições ao nível da plataforma são controladas a partir das definições da SOAR. Isto inclui a página Mapeamento de grupos do IDP, que mapeia todos os grupos de utilizadores da plataforma Google SecOps, e a página Grupos de autorizações, que define uma escolha de página de destino para cada grupo de utilizadores. As alterações nas autorizações geridas através da gestão de identidade e de acesso (IAM) são aplicadas imediatamente. No entanto, as autorizações geridas a partir das definições do SOAR só são aplicadas na próxima vez que o utilizador iniciar sessão na plataforma.

Para obter informações sobre as definições do SIEM, consulte o artigo Definições do SIEM.

Para informações sobre as definições de SOAR, consulte o artigo Definições de SOAR.

Carregar dados através do SIEM do SecOps e de SIEMS de terceiros

A plataforma Google SecOps oferece a oportunidade de não só carregar alertas através da plataforma SIEM incorporada (que carrega registos não processados através de encaminhadores e feeds de dados), mas também aceita alertas de SIEMs de terceiros (através de SOAR > Conectores e webhooks).

Isto oferece-lhe a flexibilidade de tirar partido de outros SIEMs, bem como da nossa própria oferta de SIEM do Google SecOps. A Google recomenda a utilização do SIEM incorporado sempre que possível para uma experiência mais integrada.
Os alertas carregados a partir do SIEM incorporado e dos SIEMs de terceiros podem ser agrupados em registos e analisados como parte das funcionalidades de gestão de registos. Os alertas carregados a partir de SIEMs de terceiros são enviados para o lado do SIEM da plataforma e podem ser vistos através da pesquisa UDM, mas não estão sujeitos às regras de SIEM incorporadas.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.