了解 Google SecOps 平台

按照浏览平台一文中的说明操作，您会看到平台分为 SIEM 和 SOAR 两个区域。这是因为 Google Security Operations 平台提供了安全信息和事件管理 (SIEM) 以及安全编排、自动化和响应 (SOAR) 工具。Google SecOps 平台的某些部分仅适用于 SIEM 或 SOAR，因此会相应地进行标记。

SIEM 搜索和 SOAR 搜索

在 Google SecOps 平台中，有两个单独的“搜索”界面。

SIEM 搜索会将您定向到 UDM 搜索页面，您可以在该页面中查找和调查 Google Security Operations 实例中的统一数据模型 (UDM) 事件及提醒。您可以使用共享的搜索字词搜索单个 UDM 事件或一组 UDM 事件。搜索还包括从 SOAR 连接器和 Webhook 提取的提醒。 如需了解详情，请参阅 SIEM 搜索

SOAR 搜索界面侧重于两个主要方面：支持请求和实体。在此界面中，您可以搜索未结或已结的诉讼请求，也可以搜索涉及诉讼请求的实体。您可以下钻到要查找的实体，以查看有关这些实体的更多信息。您可以对搜索结果执行批量操作，例如合并支持请求。如需了解详情，请参阅 SOAR 搜索。

SIEM 信息中心和 SOAR 信息中心

SIEM 信息中心会显示有关 UDM 事件数据的信息。这包括安全遥测数据、提取指标、检测结果、提醒、IOC 等。如需了解详情，请参阅 SIEM 信息中心。

SOAR 信息中心会显示有关案例、playbook 和 SOC 分析师数据的信息。您可以创建新的信息中心并与其他用户共享。如需了解详情，请参阅 SOAR 信息中心。

SIEM 设置和 SOAR 设置

大多数 SOAR 管理和配置都位于“SOAR 设置”中，而大多数 SIEM 管理和配置都位于“SIEM 设置”中。权限是针对平台每一侧单独设置的，两者之间没有依赖关系。例如，您可以选择在 SOAR 设置中限制特定用户群组对 Playbook 的权限，同时在 SIEM 设置中向所有模块授予完整权限。

使用 Identity and Access Management (IAM) 管理的权限变更会立即生效。不过，通过 SOAR 设置所做的更改只有在用户退出并重新登录后才会生效。 这些平台级设置包含以下用于管理用户访问权限的页面： * IDP 群组映射：将所有外部身份提供方 (IdP) 群组映射到 Google SecOps 平台用户群组。 * 权限组：可让您为每个用户组定义默认着陆页。使用 Identity and Access Management (IAM) 管理的权限发生更改时，系统会立即应用这些更改。不过，通过 SOAR 设置管理的权限仅在用户下次登录平台时生效。

如需了解 SIEM 设置，请参阅 SIEM 设置。

如需详细了解数据保留，请参阅 Google SecOps 账号中的数据保留。

如需了解 SOAR 设置，请参阅 SOAR 设置。

使用 SecOps SIEM 和第三方 SIEM 注入数据

Google SecOps 平台不仅可以使用内置的 SIEM 平台（该平台使用转发器和数据 Feed 注入原始日志）注入提醒，还可以接受来自第三方 SIEM 的提醒（通过 SOAR > 连接器和 Webhook）。

这样，您就可以灵活地使用其他 SIEM 以及我们自己的 Google SecOps SIEM 产品。Google 建议尽可能使用内置 SIEM，以获得更顺畅的体验。
从内置 SIEM 和第三方 SIEM 提取的提醒可以分组到案例中，并作为案例管理功能的一部分进行查看。从第三方 SIEM 提取的提醒会发送到平台的 SIEM 端，可以使用 UDM 搜索查看，但不受内置 SIEM 规则的约束。