開始使用 Google Security Operations SOAR

如要開始使用 Google SecOps SOAR 平台，請先瞭解核心概念，這是我們文件內容的基礎。

連接器

連接器是 Google SecOps SOAR 系統擷取快訊 的管道。主要目標是將第三方工具的原始安全資料，轉換為標準化的 Google SecOps SOAR 資料。連接器會從第三方工具取得快訊 (或同等資料)，然後轉送至資料處理層。

案件、警示和事件

• 案件：頂層容器，由連接器從各種來源擷取的一或多個警告組成。
• 快訊：包含一或多個安全性事件的安全性通知。
• 實體：平台擷取事件後會進行分析，並摘錄事件的指標 (IOC、目的地、構件)，然後轉換成稱為「實體」的動態物件。

實體和本體

實體是動態物件，代表從快訊中擷取的關注點 (遭入侵指標 [IoC]、使用者帳戶、IP 位址)。

實體是關鍵，因為實體可啟用下列功能：

• 自動追蹤記錄。
• 相關警示會自動分組，不需手動處理。
• 根據關係找出惡意活動。

建立實體 (對應和建模)

為了在平台上以視覺化方式說明實體及其連結，本體設定程序會涉及對應和建模。在此過程中，您會選取快訊的視覺化呈現方式，以及應從中擷取的實體。

Google SecOps SOAR 提供最熱門 SIEM 產品的基礎本體規則，詳情請參閱「本體總覽」。

在 Google SecOps SOAR 中建立實體

對應和建模程序會定義實體在案件 (本體) 內建立和視覺化連結的方式。首次擷取新快訊類型時，系統會執行一次這項程序：

• 定義警告的視覺呈現方式，以及應擷取的實體。
• 這項功能會設定實體屬性，例如實體是內部還是外部 (根據設定)，或是惡意實體 (根據劇本結果)。

Google SecOps SOAR 針對最熱門的 SIEM 產品，提供開箱即用的基本本體規則。

如要瞭解對應和建模的詳細資訊，請參閱「建立實體 (對應和建模)」。

您可以使用對應和建模，定義實體的屬性，例如實體是內部還是外部，或是是否視為惡意。實體的「內部」或「外部」狀態取決於平台的設定。惡意狀態是由應對手冊中執行的產品決定。對應和建模的目的是指定重要詳細資料，例如資料的來源、時間戳記和類型。

資料首次擷取時，系統會執行一次對應和建模作業。之後，系統會將相關規則套用至每件新案件。方式 

應對手冊

應對手冊是一種自動化程序，可由預先定義的條件觸發。舉例來說，您可以設定一個觸發條件，使每個包含產品名稱「Mail」的警告會觸發特定的應對手冊。如此一來，從這個產品擷取至 Google SecOps SOAR 的每個警告都會附加此應對手冊。

此外，也會根據定義的條件樹狀結構 (流程) 執行一系列動作：

• 動作會根據警報實體的範圍，手動或自動執行。
• 系統會依序執行動作，直到觸發的警報得到最終解決方案為止。

舉例來說，您可以將「VirusTotal - Scan URL」動作設為只在特定實體類型 (例如網址實體) 上自動執行。

環境

環境是邏輯容器，用於實現資料隔離。

• 管理員可以定義不同環境，並將平台使用者指派給一或多個環境。
• 使用者只能查看指派給自己的環境中的案件和相關資訊。
• 部分使用者角色可存取所有環境，因此能完整存取平台中目前和日後的所有資料。