瀏覽 Google SecOps SOAR 平台
支援的國家/地區:
這份文件是 Google Security Operations SOAR 平台介面的完整參考指南。使用側邊導覽選單存取所有平台頁面和模組。本指南會將核心使用者目標 (從威脅回應和自動化開發到系統管理) 對應至導覽選單中的相應位置。
如要在 Google Security Operations SOAR 平台中瀏覽,請使用左側的導覽選單存取所有 Google SecOps SOAR 頁面。導覽選單會顯示不同的 Google SecOps SOAR 模組,並在指標懸停時展開。
Google SecOps SOAR 模組地圖
下表依主要功能和導覽選單中的位置,整理了平台的功能。
| 動作 | 所在位置 |
|---|---|
|
在平台中管理所有待處理案件。 |
案件 |
| 查看案件的專屬動作和待辦事項。 | 您的工作區 |
| 搜尋案件和實體。 | 搜尋 |
| 設計自動執行的動作序列 (應對手冊)。 | 「回應」>「劇本」 |
| 為不同執行個體設定整合功能。 | 「回覆」>「整合設定」 |
| 編輯預先定義的工作或建立新的排定工作。 | 「Response」>「Jobs Scheduler」 |
| 編輯商業整合的程式碼,或建立自訂整合項目。 | 「回應」> IDE |
| 存取及分析案件、應對手冊、環境和其他相關主題的資訊。 | 資訊主頁與報表 > 資訊主頁 |
| 使用 Looker 查看預先定義的 Google SecOps SOAR 報表和進階報表。 | 資訊主頁與報表 > 報表 |
| 安裝第三方整合服務,以及平台適用的用途和加強功能。 | Marketplace |
| 管理 SOAR 功能的所有管理員工作和設定。 | 設定 |
設定
| 動作 | 所在位置 |
|---|---|
| 在平台上新增使用者。 | 依序點選「設定」>「機構」>「使用者管理」。 |
| 定義環境並管理權限或角色。 | 「設定」>「機構」>「環境」 |
| 管理不同使用者群組的權限和限制。 | 「設定」>「機構」>「權限」 |
| 查看授權詳細資料和目前的 SOAR 版本。 | 依序點選「設定」>「機構」>「授權管理」 |
| 為安全團隊新增或編輯角色,控管案件和環境的存取權。 | 「設定」>「機構」>「角色」 |
| 在每頁的標題或所有匯出報表中顯示公司標誌 (重新打造品牌)。 | 機構 > 重新打造品牌 |
| 新增及管理自動新增至案件的標記。 | 「設定」>「案件資料」>「標記」 |
| 定義案件的不同階段。 | 依序點選「設定」>「案件資料」>「案件階段」 |
| 定義結案的根本原因,以及確切原因為何。 | 依序點選「設定」>「案件資料」>「案件結案根本原因」 |
| 設定案件名稱階層。 | 依序點選「設定」>「案件資料」>「案件名稱」 |
| 使用小工具定義預設案件和快訊檢視畫面。 | 依序點選「設定」>「案件資料」>「檢視畫面」 |
| 產生 API 金鑰,與 Google SecOps SOAR API 互動。 | 依序點選「設定」>「進階」>「API 金鑰」 |
| 查看平台中的所有使用者活動。 | 依序點選「設定」>「進階」>「稽核」 |
| 設定資料保留政策,以及不同環境間的案件處理方式。 | 依序選取「設定」>「進階」>「一般」 |
| 管理及設定預設時區和日期/時間格式。 | 「設定」>「進階」>「本地化」 |
| 定義快訊和溢位案件的分組規則。 | 依序點選「設定」>「進階」>「警報分組」 |
| 設定 SAML 供應商。 | 「設定」>「進階」>「外部驗證」 |
| 設定及管理遠端代理程式。 | 依序點選「設定」>「進階」>「遠端代理程式」 |
| 設定所有 Google SecOps SOAR 系統電子郵件的電子郵件地址。 | 依序點選「設定」>「進階」>「電子郵件設定」 |
| 授予 Google 支援團隊平台存取權。 | 依序點選「設定」「進階」「支援存取權」 |
| 查看擷取資料的屬性定義。 | 資料設定 > 屬性中繼資料 |
| 在平台上查看統計資料。 | 「資料設定」>「統計資料」 |
| 管理及設定與特定產品和事件相符的視覺化分組。 | 依序點選「設定」>「本體」>「本體狀態」 |
| 管理、編輯及建立視覺化分組。 | 依序點選「設定」>「本體」>「視覺系列」 |
| 在平台中定義環境。 | 「設定」>「環境」>「網路」 |
| 定義網域。 | 「設定」>「環境」>「網域」 |
| 定義自訂清單,內含使用者、IP 位址和其他實體。 | 「設定」>「環境」>「自訂清單」 |
| 定義用於應對手冊和其他動作的電子郵件範本。 | 依序前往「設定」>「環境」>「電子郵件範本」 |
| 定義用於應對手冊和其他動作的電子郵件 HTML 範本。 | 依序前往「設定」>「環境」>「電子郵件 HTML 範本」 |
| 定義不應分組的快訊實體,或不應顯示的實體。 | 依序前往「設定」>「環境」>「封鎖清單」 |
| 定義服務水準協議,以根據特定服務水準協議觸發條件解決案件和快訊。 | 「設定」>「環境」>「服務等級協議」 |
| 在「你的工作台」中定義使用者可選擇的要求。 | 「設定」>「環境」>「要求」 |
| 管理 Incident Manager 使用者所屬的部門。 | 依序點選「設定」>「Incident Manager」>「部門」 |
| 在 Incident Manager 中,為每個事件定義新增為協作者的使用者。 | 依序點按「設定」>「事件管理員」>「稽核人員」 |
| 定義哪些環境授權在 Incident Manager 中處理案件。 | 依序點選「設定」>「Incident Manager」>「環境」。 |
| 設定連接器,將快訊匯入平台。 | 擷取 > 連接器 |
| 設定 Webhook,將快訊匯入平台。 | 擷取 > Webhook |
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。