瞭解 Google SecOps 平台

請參閱「瀏覽平台」一文，瞭解 SIEM 和 SOAR 的劃分區域。這是因為 Google Security Operations 平台提供安全資訊與事件管理 (SIEM) 和安全調度管理、自動化與應變 (SOAR) 工具。Google SecOps 平台的部分功能僅適用於 SIEM 或 SOAR，因此會標示為僅適用於其中一項。

SIEM 搜尋和 SOAR 搜尋

Google SecOps 平台有兩個不同的「搜尋」畫面。

系統會將您導向「UDM 搜尋」頁面，您可以在該頁面中，尋找及調查 Google Security Operations 執行個體中的統合式資料模型 (UDM) 事件和快訊。您可以使用共用的搜尋字詞，搜尋個別或群組 UDM 事件。搜尋結果也包括從 SOAR 連接器和 Webhook 擷取的快訊。詳情請參閱 SIEM 搜尋

SOAR 搜尋畫面主要有兩個區域：案件和實體。您可以在這個畫面中搜尋未結或已結案件，也可以搜尋案件中涉及的實體。您可以向下鑽研至所需實體，查看相關詳細資訊。您可以對搜尋結果執行大量動作，例如合併案件。詳情請參閱「SOAR 搜尋」。

SIEM 資訊主頁和 SOAR 資訊主頁

SIEM 資訊主頁會顯示 UDM 事件資料的相關資訊。包括安全性遙測、擷取指標、偵測結果、快訊、IOC 等。詳情請參閱「SIEM 資訊主頁」。

SOAR 資訊主頁會顯示案件、應對手冊和 SOC 分析師資料的相關資訊。您可以建立新的資訊主頁，並與其他使用者共用。詳情請參閱「SOAR 資訊主頁」。

SIEM 設定和 SOAR 設定

SOAR 的大部分管理和設定作業都位於 SOAR 設定中，而 SIEM 的大部分管理和設定作業都位於 SIEM 設定中。平台兩側的權限是分開設定，彼此沒有相依性。舉例來說，您可以選擇在 SOAR 設定中限制特定使用者群組的 Playbook 權限，同時在 SIEM 設定中授予所有模組的完整權限。

透過 Identity and Access Management (IAM) 管理的權限變更會立即套用。不過，使用者必須登出並重新登入，SOAR 設定的變更才會生效。這些平台全域設定包含下列頁面，可管理使用者存取權： * IDP 群組對應：將所有外部身分識別提供者 (IdP) 群組對應至 Google SecOps 平台使用者群組。 * 權限群組：可為每個使用者群組定義預設到達網頁。使用 Identity and Access Management (IAM) 管理的權限變更會立即套用。不過，透過 SOAR 設定管理的權限，只會在使用者下次登入平台時套用。

如需 SIEM 設定的相關資訊，請參閱「SIEM 設定」。

如要瞭解資料保留政策詳情，請參閱「Google SecOps 帳戶中的資料保留政策」。

如要瞭解 SOAR 設定，請參閱「SOAR 設定」。

使用 SecOps SIEM 和第三方 SIEM 擷取資料

Google SecOps 平台不僅提供內建的 SIEM 平台 (透過轉送器和資料動態饋給擷取原始記錄)，還可透過 SOAR > 連接器和 Webhook 接受來自第三方 SIEM 的快訊。

這樣一來，您就能靈活運用其他 SIEM，以及我們自家的 Google SecOps SIEM 服務。Google 建議盡可能使用內建 SIEM，以獲得更流暢的體驗。
從內建 SIEM 和第三方 SIEM 擷取的快訊可以分組為案件，並透過案件管理功能查看。從第三方 SIEM 擷取的快訊會傳送到平台的 SIEM 端，並可使用 UDM 搜尋查看，但不會受到內建 SIEM 規則的約束。