Entender a plataforma do Google SecOps

Compatível com:

Seguindo o artigo Navegar pela plataforma, você vai notar que há áreas divididas em SIEM e SOAR. Isso porque a plataforma Google Security Operations oferece ferramentas para gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Algumas partes da plataforma Google SecOps são específicas apenas para SIEM ou SOAR e, portanto, são rotuladas como tal.

Na plataforma Google SecOps, há duas telas de pesquisa separadas.

A pesquisa do SIEM direciona você à página Pesquisa do UDM, onde é possível encontrar e investigar eventos e alertas do Modelo de dados unificado (UDM) na sua instância do Google Security Operations. Você pode pesquisar eventos individuais ou grupos de eventos da UDM usando termos de pesquisa compartilhados. A pesquisa também inclui alertas ingeridos de conectores e webhooks do SOAR. Para mais informações, consulte Pesquisa do SIEM.

A tela de pesquisa do SOAR se concentra em duas áreas principais: casos e entidades. Nessa tela, você pode pesquisar casos abertos ou fechados ou entidades envolvidas neles. É possível detalhar as entidades que você está procurando para ver mais informações sobre elas. Você pode realizar ações em massa, como mesclar casos nos resultados da pesquisa. Para mais informações, consulte Pesquisa do SOAR.

Painéis do SIEM e do SOAR

Os painéis do SIEM mostram informações sobre os dados de eventos da UDM. Isso inclui telemetria de segurança, métricas de ingestão, detecções, alertas, IOCs e muito mais. Para mais informações, consulte Painéis do SIEM.

Os painéis do SOAR mostram informações sobre casos, playbooks e dados de analistas do SOC. Você pode criar e compartilhar painéis com outros usuários. Para mais informações, consulte Painéis do SOAR.

Configurações do SIEM e do SOAR

A maior parte da administração e configuração do SOAR está localizada nas configurações do SOAR, e a maior parte da administração e configuração do SIEM está localizada nas configurações do SIEM. As permissões são definidas separadamente para cada lado da plataforma, e não há dependência entre elas. Por exemplo, você pode limitar as permissões aos playbooks nas configurações do SOAR para determinados grupos de usuários e conceder permissões completas a todos os módulos nas configurações do SIEM.

As mudanças de permissão gerenciadas com o Identity and Access Management (IAM) são aplicadas imediatamente. No entanto, as mudanças feitas nas configurações do SOAR só entram em vigor depois que o usuário sai e faz login novamente. Essas configurações em toda a plataforma incluem as seguintes páginas para gerenciar o acesso do usuário: * Mapeamento de grupos do IdP: mapeia todos os grupos externos do provedor de identidade (IdP) para grupos de usuários da plataforma Google SecOps. * Grupos de permissões: permite definir uma página de destino padrão para cada grupo de usuários. As mudanças nas permissões gerenciadas com o Identity and Access Management (IAM) são aplicadas imediatamente. No entanto, as permissões gerenciadas nas configurações de SOAR só são aplicadas na próxima vez que o usuário faz login na plataforma.

Para informações sobre as configurações do SIEM, consulte Configurações do SIEM.

Para mais detalhes sobre a retenção de dados, consulte Retenção de dados na sua conta do Google SecOps.

Para informações sobre as configurações do SOAR, consulte Configurações do SOAR.

Ingestão de dados usando o SIEM do SecOps e SIEMs de terceiros

A plataforma Google SecOps oferece a oportunidade de ingerir alertas usando a plataforma SIEM integrada (que ingere registros brutos usando encaminhadores e feeds de dados) e também aceita alertas de SIEMs de terceiros (via SOAR > Conectores e webhooks).

Isso oferece a flexibilidade de aproveitar outros SIEMs, além da nossa oferta do SIEM do Google SecOps. O Google recomenda usar o SIEM integrado sempre que possível para ter uma experiência mais tranquila.
Os alertas ingeridos do SIEM integrado e de SIEMs de terceiros podem ser agrupados em casos e analisados como parte dos recursos de gerenciamento de casos. Os alertas ingeridos de SIEMs de terceiros são enviados para o lado do SIEM da plataforma e podem ser vistos usando a pesquisa da UDM, mas não estão sujeitos às regras integradas do SIEM.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.