了解 Google SecOps 平台

按照浏览平台一文中的说明操作，您会看到一些区域被划分为 SIEM 和 SOAR。这是因为 Google Security Operations 平台提供了用于安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应的工具 (SOAR)。Google SecOps 平台的某些部分仅特定于 SIEM 或 SOAR，因此带有相应标签。

SIEM 搜索和 SOAR 搜索

Google SecOps 平台中有两个单独的搜索屏幕。

SIEM 搜索会将您定向到 UDM 搜索页面。借助 UDM 搜索，您可以在 Google Security Operations 实例中查找统一数据模型 (UDM) 事件和提醒。您可以搜索单个 UDM 活动，也可以搜索与共享的搜索字词相关的 UDM 活动组。它还提供独特的整体体验，因为搜索还包含从 SOAR 连接器和 webhook 提取的提醒信息。如需了解详情，请参阅 SIEM 搜索

SOAR 搜索屏幕重点关注两个主要区域：案例和实体。在此屏幕中，您可以搜索待处理或已关闭的支持请求，也可以搜索与支持请求相关的实体。您可以展开所需的实体，查看有关它们的更多信息。您可以对搜索结果执行批量操作，例如合并支持请求。如需了解详情，请参阅 SOAR 搜索。

SIEM 信息中心和 SOAR 信息中心

SIEM 仪表板显示有关 UDM 事件数据的信息。这包括安全遥测数据、提取指标、检测、提醒、IOC 等。如需了解详情，请参阅 SIEM 信息中心。

SOAR 信息中心显示有关案例、策略方案和 SOC 分析师数据的信息。您可以创建新的信息中心并与其他用户共享。如需了解详情，请参阅 SOAR 信息中心。

SIEM 设置和 SOAR 设置

大多数 SOAR 管理和配置都在 SOAR 设置中，大多数 SIEM 管理和配置都在 SIEM 设置中。平台每端的权限均单独设置，彼此之间没有依赖关系。例如，您可以选择在 SOAR 设置中为特定用户群组限制对 Playbook 的权限，同时在 SIEM 设置中为所有模块授予完整权限。

不过，有一些设置适用于整个 Google SecOps 平台。这些平台级设置可通过 SOAR 设置进行控制。 其中包括 IDP 组映射页面（映射所有 Google SecOps 平台用户群组）和权限组页面（为每个用户群组定义着陆页选项）。通过 Identity and Access Management (IAM) 管理的权限更改会立即应用。但是，只有在用户下次登录平台时，才会应用通过 SOAR 设置管理的权限。

如需了解 SIEM 设置，请参阅 SIEM 设置。

如需了解 SOAR 设置，请参阅 SOAR 设置。

使用 SecOps SIEM 和第三方 SIEMS 注入数据

Google SecOps 平台不仅提供了使用内置 SIEM 平台（使用转发器和数据 Feed 注入原始日志）的提醒的功能，而且还接受来自第三方 SIEMS 的提醒（通过 SOAR > 连接器和 Webhook）。

这使您可以灵活地利用其他 SIEM 以及我们自己的 Google SecOps SIEM 产品。Google 建议尽可能使用内置 SIEM，以获得更顺畅的体验。
从内置 SIEM 和第三方 SIEM 提取的提醒可以分组为案例，并在案例管理功能中进行查看。从第三方 SIEM 提取的提醒会发送到平台的 SIEM 端，并且可以使用 UDM 搜索查看，但不受内置 SIEM 规则的约束。