הסבר על פלטפורמת Google SecOps
במאמר ניווט בפלטפורמה אפשר לראות שהאזורים מחולקים ל-SIEM ול-SOAR. הסיבה לכך היא שפלטפורמת Google Security Operations מספקת כלים לניהול אבטחת מידע ואירועים (SIEM) ולתיאום, אוטומציה ותגובה לאבטחה (SOAR). חלקים מסוימים בפלטפורמת Google SecOps ספציפיים ל-SIEM או ל-SOAR בלבד, ולכן הם מסומנים בהתאם.
חיפוש SIEM וחיפוש SOAR
בפלטפורמת Google SecOps יש שני מסכי חיפוש נפרדים.
החיפוש ב-SIEM מפנה אתכם לדף חיפוש UDM, שבו תוכלו למצוא ולחקור אירועים והתראות של Unified Data Model (UDM) במופע של Google Security Operations. אפשר לחפש אירועי UDM ספציפיים או קבוצות של אירועי UDM באמצעות מונחי חיפוש משותפים. החיפוש כולל גם התראות שנקלטו ממחברים ומ-webhook של SOAR. מידע נוסף זמין במאמר בנושא חיפוש SIEM
מסך החיפוש של SOAR מתמקד בשני אזורים עיקריים: תיקים וישויות. במסך הזה אפשר לחפש בקשות פתוחות או סגורות, או לחפש ישויות שהיו מעורבות בבקשות. אתם יכולים להעמיק בפרטים של הישויות שאתם מחפשים כדי לראות מידע נוסף עליהן. אפשר לבצע פעולות בכמות גדולה, כמו מיזוג של כרטיסים, על תוצאות החיפוש. מידע נוסף זמין במאמר בנושא חיפוש SOAR.
לוחות בקרה של SIEM ולוחות בקרה של SOAR
בלוחות הבקרה של SIEM מוצג מידע על נתוני האירועים של UDM. הנתונים האלה כוללים טלמטריה של אבטחה, מדדי קליטה, זיהויים, התראות, אינדיקטורים של פריצה (IOC) ועוד. מידע נוסף זמין במאמר בנושא לוחות בקרה של SIEM.
בלוחות הבקרה של SOAR מוצג מידע על בקשות, על ספרי הפעלה ועל נתונים של אנליסטים ב-SOC. אתם יכולים ליצור מרכזי בקרה חדשים ולשתף אותם עם משתמשים אחרים. מידע נוסף זמין במאמר בנושא לוחות בקרה של SOAR.
הגדרות SIEM והגדרות SOAR
רוב ההגדרות והניהול של SOAR נמצאים בהגדרות SOAR, ורוב ההגדרות והניהול של SIEM נמצאים בהגדרות SIEM. ההרשאות מוגדרות בנפרד לכל צד של הפלטפורמה, ואין תלות ביניהן. לדוגמה, אפשר להגביל את ההרשאות ל-Playbooks בהגדרות SOAR לקבוצות משתמשים מסוימות, ובמקביל לתת הרשאות מלאות לכל המודולים בהגדרות SIEM.
שינויים בהרשאות שמנוהלים באמצעות ניהול זהויות והרשאות גישה (IAM) מוחלים באופן מיידי. עם זאת, שינויים שמתבצעים בהגדרות SOAR נכנסים לתוקף רק אחרי שהמשתמש מתנתק ומתחבר מחדש. ההגדרות האלה ברמת הפלטפורמה כוללות את הדפים הבאים לניהול גישת משתמשים: * מיפוי קבוצות IdP: מיפוי של כל הקבוצות החיצוניות של ספקי הזהויות (IdP) לקבוצות משתמשים בפלטפורמת Google SecOps. * קבוצות הרשאות: מאפשרת להגדיר דף נחיתה שמוגדר כברירת מחדל לכל קבוצת משתמשים. שינויים בהרשאות שמנוהלות באמצעות ניהול זהויות והרשאות גישה (IAM) מיושמים באופן מיידי. עם זאת, הרשאות שמנוהלות מההגדרות של SOAR מוחלות רק בפעם הבאה שהמשתמש מתחבר לפלטפורמה.
מידע על הגדרות SIEM מופיע במאמר הגדרות SIEM.
פרטים על שמירת נתונים זמינים במאמר שמירת נתונים בחשבון Google SecOps.
מידע על הגדרות SOAR מופיע במאמר הגדרות SOAR.
העברת נתונים באמצעות SecOps SIEM ומערכות SIEM של צד שלישי
פלטפורמת Google SecOps מאפשרת לא רק להזין התראות באמצעות פלטפורמת SIEM המובנית (שמזינה יומנים גולמיים באמצעות כלי העברה ופידים של נתונים), אלא גם לקבל התראות ממערכות SIEM של צד שלישי (באמצעות SOAR > Connectors ו-Webhooks).
כך תוכלו להשתמש גם במערכות SIEM אחרות וגם ב-Google SecOps SIEM. Google ממליצה להשתמש ב-SIEM המובנה בכל מקום שאפשר, כדי ליהנות מחוויה חלקה יותר.
אפשר לקבץ התראות שנקלטו ממערכת SIEM מובנית וממערכות SIEM של צד שלישי במקרים, ולבדוק אותן כחלק מהתכונות של ניהול המקרים. התראות שנקלטות ממערכות SIEM של צד שלישי נשלחות לצד ה-SIEM של הפלטפורמה, ואפשר לראות אותן באמצעות חיפוש UDM, אבל הן לא כפופות לכללי ה-SIEM המובנים.
הבעיה עדיין לא נפתרה? קבלת תשובות מחברי הקהילה וממומחי Google SecOps.