了解 Google SecOps 平台

按照浏览平台一文中的说明操作，您会看到一些区域被划分为 SIEM 和 SOAR。这是因为 Google Security Operations 平台提供安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 工具。Google SecOps 平台的某些部分仅适用于 SIEM 或 SOAR，因此会标记为此类。

SIEM 搜索和 SOAR 搜索

Google SecOps 平台中有两个单独的搜索屏幕。

SIEM 搜索功能会将您定向到 UDM 搜索页面。借助 UDM 搜索功能，您可以在 Google Security Operations 实例中查找统一数据模型 (UDM) 事件和提醒。您可以搜索个别 UDM 事件，也可以搜索与共享搜索字词相关联的 UDM 事件组。它还提供独特的整体体验，因为搜索还包含从 SOAR 连接器和 webhook 提取的提醒信息。如需了解详情，请参阅 SIEM 搜索

SOAR 搜索界面主要分为两个部分：支持请求和实体。在此屏幕中，您可以搜索待处理或已关闭的支持请求，也可以搜索与支持请求相关的实体。您可以展开所需的实体，查看其详细信息。您可以对搜索结果执行批量操作，例如合并支持请求。如需了解详情，请参阅 SOAR 搜索。

SIEM 信息中心和 SOAR 信息中心

SIEM 信息中心会显示与您的 UDM 事件数据相关的信息。这包括安全遥测数据、提取指标、检测、提醒、IOC 等。如需了解详情，请参阅 SIEM 信息中心。

SOAR 信息中心会显示有关支持请求、playbook 和 SOC 分析师数据的信息。您可以创建新的信息中心并与其他用户共享。如需了解详情，请参阅 SOAR 信息中心。

SIEM 设置和 SOAR 设置

大多数 SOAR 管理和配置都在 SOAR 设置中，大多数 SIEM 管理和配置都在 SIEM 设置中。平台的两端分别设置权限，并且两者之间没有依赖关系。例如，您可以选择在 SOAR 设置中为特定用户群组限制对 Playbook 的权限，同时在 SIEM 设置中为所有模块授予完整权限。

不过，有一些设置适用于整个 Google SecOps 平台。这些平台级设置可通过 SOAR 设置进行控制。 这包括用于映射所有 Google SecOps 平台用户群组的 IDP 群组映射页面，以及用于为每个用户群组指定着陆页选择的权限组页面。通过 Identity and Access Management (IAM) 管理的权限更改会立即应用。不过，通过 SOAR 设置管理的权限仅会在用户下次登录平台时应用。

如需了解 SIEM 设置，请参阅 SIEM 设置。

如需了解 SOAR 设置，请参阅 SOAR 设置。

使用 SecOps SIEM 和第三方 SIEM 提取数据

Google SecOps 平台不仅可让您使用内置 SIEM 平台（使用转发器和数据 Feed 来提取原始日志）提取提醒，还可接受来自第三方 SIEM 的提醒（通过 SOAR > 连接器和 Webhook）。

这样，您就可以灵活地利用其他 SIEM 以及我们自己的 Google SecOps SIEM 产品。Google 建议尽可能使用内置的 SIEM，以获得更顺畅的体验。
从内置 SIEM 和第三方 SIEM 提取的提醒可以分组为案例，并在案例管理功能中进行查看。从第三方 SIEM 提取的提醒会发送到平台的 SIEM 端，并且可以使用 UDM 搜索查看，但不受内置 SIEM 规则的约束。