Entender a plataforma do Google SecOps

No artigo Navegar pela plataforma, você vai notar que há áreas divididas em SIEM e SOAR. Isso acontece porque a plataforma Google Security Operations oferece ferramentas para gerenciamento de eventos e informações de segurança (SIEM) e orquestração, automação e resposta de segurança (SOAR). Algumas partes da plataforma Google SecOps são específicas para SIEM ou SOAR e, portanto, são rotuladas como tal.

Pesquisa no SIEM e no SOAR

Na plataforma do Google SecOps, há duas telas de pesquisa separadas.

A pesquisa do SIEM direciona você para a página Pesquisa do UDM. A pesquisa UDM permite encontrar eventos e alertas do Unified Data Model (UDM) na sua instância do Google Security Operations. Você pode pesquisar eventos individuais ou grupos de eventos da UDM vinculados a termos de pesquisa compartilhados. Ela também oferece uma experiência única e holística, já que a pesquisa também inclui informações sobre alertas que foram processados pelos conectores SOAR e webhooks. Para mais informações, consulte Pesquisa de SIEM.

A tela de pesquisa do SOAR se concentra em duas áreas principais: casos e entidades. Nessa tela, você pode pesquisar casos abertos ou encerrados ou entidades envolvidas em casos. Você pode detalhar as entidades que está procurando para conferir mais informações sobre elas. Você pode realizar ações em massa, como mesclar casos nos resultados da pesquisa. Para mais informações, consulte Pesquisa SOAR.

Painéis do SIEM e do SOAR

Os painéis do SIEM mostram informações sobre seus dados de eventos do UDM. Isso inclui telemetria de segurança, métricas de ingestão, detecções, alertas, IOCs e muito mais. Para mais informações, consulte Painéis do SIEM.

Os painéis de SOAR mostram informações sobre casos, playbooks e dados de analistas de SOC. Você pode criar novos painéis e compartilhá-los com outros usuários. Para mais informações, consulte Painéis do SOAR.

Configurações do SIEM e do SOAR

A maioria da administração e configuração do SOAR está nas configurações do SOAR, e a maioria da administração e configuração do SIEM está nas configurações do SIEM. As permissões são definidas separadamente para cada lado da plataforma, e não há dependência entre elas. Por exemplo, você pode limitar as permissões para playbooks nas configurações do SOAR para determinados grupos de usuários, mas dar permissões totais para todos os módulos nas configurações do SIEM.

No entanto, há algumas configurações que se aplicam a toda a plataforma do Google SecOps. Essas configurações são controladas nas configurações do SOAR. Isso inclui a página Mapeamento de grupo do IdP, que mapeia todos os grupos de usuários da plataforma Google SecOps, e a página Grupos de permissões, que define uma página de destino para cada grupo de usuários. As mudanças nas permissões gerenciadas pelo Identity and Access Management (IAM) são aplicadas imediatamente. No entanto, as permissões gerenciadas nas configurações de SOAR só são aplicadas na próxima vez que o usuário fizer login na plataforma.

Para informações sobre as configurações do SIEM, consulte Configurações do SIEM.

Para informações sobre as configurações do SOAR, consulte Configurações do SOAR.

Como ingerir dados usando o SecOps SIEM e SIEMs de terceiros

A plataforma Google SecOps oferece a oportunidade de não apenas receber alertas usando a plataforma SIEM integrada (que recebe registros brutos usando encaminhadores e feeds de dados), mas também aceita alertas de SIEMs de terceiros (via SOAR > Conectores e Webhooks).

Isso oferece a flexibilidade de aproveitar outros SIEMs, bem como nossa própria oferta de SIEM do Google SecOps. O Google recomenda usar o SIEM integrado sempre que possível para uma experiência mais simples.
Os alertas ingeridos do SIEM integrado e de terceiros podem ser agrupados em casos e analisados como parte dos recursos de gerenciamento de casos. Os alertas ingeridos de SIEMs de terceiros são enviados para o lado SIEM da plataforma e podem ser visualizados usando a pesquisa da UDM, mas não estão sujeitos às regras SIEM integradas.