Google Security Operations SOAR 使用入门

若要开始使用 Google SecOps SOAR 平台，您必须先了解核心概念，这些概念构成了我们文档的基础。

连接器

连接器是 Google SecOps SOAR 中提醒 的数据注入点。其主要目标是将第三方工具中的原始安全数据转换为标准化的 Google SecOps SOAR 数据。连接器从第三方工具获取提醒（或等效数据），然后将其转发到数据处理层。

案例、提醒和事件

• Case：顶级容器，由使用连接器从各种来源提取的一个或多个提醒组成。
• 提醒：包含一个或多个安全事件的安全通知。
• 实体：提取后，平台会分析这些事件，并提取其指标（IOC、目的地、制品），然后将其转换为称为实体的动态对象。

实体和本体

实体是动态对象，表示从提醒中提取的感兴趣点（入侵指标 [IoC]、用户账号、IP 地址）。

实体之所以重要，是因为它们能够实现以下功能：

• 自动跟踪历史记录。
• 无需人工干预即可将相关提醒分组。
• 基于关系搜寻恶意活动。

实体创建（映射和建模）

为了直观地展示平台中的实体及其连接，需要进行本体的配置过程，包括映射和建模。在此过程中，您需要选择提醒的可视化表示形式以及应从中提取的实体。

Google SecOps SOAR 为大多数热门 SIEM 产品提供开箱即用的基本本体规则。如需了解详情，请参阅本体概览。

在 Google SecOps SOAR 中创建实体

映射和建模流程定义了如何在案例（本体）中创建实体并以直观方式连接实体。此过程会在首次接收新提醒类型时发生一次：

• 它定义了提醒的直观表示形式以及应提取哪些实体。
• 它会设置实体属性，例如实体是内部实体还是外部实体（基于配置），或者是否是恶意实体（基于剧本结果）。

Google SecOps SOAR 为大多数热门 SIEM 产品提供开箱即用的基本本体规则。

如需详细了解映射和建模，请参阅创建实体（映射和建模）。

通过使用映射和建模，您可以定义实体的属性，例如它是内部实体还是外部实体，或者是否被视为恶意实体。实体的内部或外部状态由平台的设置决定。其恶意状态由在 playbook 中运行的产品决定。映射和建模的目的是指定关键详细信息，例如数据的来源、时间戳和类型。

映射和建模会在首次注入数据时进行一次。之后，系统会将相关规则应用于每个新的入站支持请求。 再由Cloud Run部署 

策略方案

playbook 是一种可由预定义条件触发的自动化流程。例如，您可以为包含产品名称“Mail”的每个提醒触发 playbook：触发后，playbook 会附加到从相应产品提取到 Google SecOps SOAR 中的每个提醒。

它还会根据已定义的条件树（流程）执行一系列操作：

• 操作配置为在提醒实体的范围内手动或自动运行。
• 系统会按定义的顺序运行操作，直至触发提醒得到最终解决。

例如，您可以将 VirusTotal - 扫描网址操作配置为仅在特定实体类型（例如网址实体）上自动运行。

环境

环境是用于实现数据隔离的逻辑容器。

• 管理员可以定义不同的环境，并将平台用户分配给其中一个或多个环境。
• 用户只能查看自己所属环境中的支持请求和相关信息。
• 某些用户角色有权访问所有环境，因此可以完全访问平台中的所有当前和未来数据。