開始使用 Google Security Operations SOAR

如要開始使用 Google SecOps SOAR 平台，請先瞭解核心概念，這是我們文件內容的基礎。

連接器

連接器是將快訊 擷取至 Google SecOps SOAR 的點。主要目標是將第三方工具的原始安全資料，轉換為標準化的 Google SecOps SOAR 資料。連結器會從第三方工具取得快訊 (或同等資料)，然後轉送至資料處理層。

案件、警示和事件

• 案件：頂層容器，由使用連接器從各種來源擷取的一或多個快訊組成。
• 快訊：包含一或多個安全性事件的安全性通知。
• 實體：平台擷取並轉換這些事件和指標 (IOC、目的地、構件) 後，會將其轉換為稱為實體的動態物件。

實體和本體

實體是動態物件，代表從快訊中擷取的關注點 (遭入侵指標 [IoC]、使用者帳戶、IP 位址)。

實體是關鍵，因為實體可啟用下列功能：

• 自動追蹤記錄。
• 相關警示會自動分組，不需手動處理。
• 根據關係搜尋惡意活動。

建立實體 (對應和建模)

為了在平台上以視覺化方式呈現實體及其連結，本體論的設定程序會涉及對應和建模。在此過程中，您會選取快訊的視覺化呈現方式，以及應從中擷取的實體。

Google SecOps SOAR 提供最熱門 SIEM 產品的基本本體規則，詳情請參閱「本體總覽」。

在 Google SecOps SOAR 中建立實體

對應和建模程序會定義如何在案件 (本體) 中建立實體，以及以視覺化方式連結實體。首次擷取新快訊類型時，系統會執行一次這項程序：

• 定義快訊的視覺呈現方式，以及應擷取的實體。
• 這項功能會設定實體屬性，例如實體是內部還是外部 (根據設定)，或是惡意實體 (根據劇本結果)。

Google SecOps SOAR 針對最熱門的 SIEM 產品，提供開箱即用的基本本體規則。

如要瞭解對應和建模的詳細資訊，請參閱「建立實體 (對應和建模)」。

您可以使用對應和建模，定義實體的屬性，例如實體是內部還是外部，或是是否視為惡意。實體的「內部」或「外部」狀態取決於平台的設定。惡意狀態是由應對手冊中執行的產品決定。對應和建模的目的是指定重要詳細資料，例如資料的來源、時間戳記和類型。

資料首次擷取時，系統會執行一次對應和建模作業。之後，系統會將相關規則套用至每件新案件。再由 Cloud Run 部署 

應對手冊

應對手冊是自動化程序，可由預先定義的條件觸發。舉例來說，您可以針對每個含有「郵件」產品名稱的警示觸發應對手冊。觸發後，應對手冊會附加至從這個產品擷取至 Google SecOps SOAR 的每個警示。

此外，系統也會根據定義的條件樹狀結構 (流程) 執行一系列動作：

• 動作可設為在快訊實體範圍內手動或自動執行。
• 系統會依定義的順序執行動作，直到觸發快訊的最終解決方案出爐為止。

舉例來說，您可以將「VirusTotal - Scan URL」動作設為只在特定實體類型 (例如網址實體) 上自動執行。

環境

環境是邏輯容器，用於實現資料隔離。

• 管理員可以定義不同環境，並將平台使用者指派給一或多個環境。
• 使用者只能查看指派給自己的環境中的案件和相關資訊。
• 部分使用者角色可存取所有環境，因此能完整存取平台中目前和日後的所有資料。