瀏覽 Google SecOps SOAR 平台

支援的國家/地區:

這份文件是 Google Security Operations SOAR 平台介面的完整參考指南。使用側邊導覽選單存取所有平台頁面和模組。本指南會將核心使用者目標 (從威脅回應和自動化開發到系統管理) 對應至導覽選單中的相應位置。

如要在 Google Security Operations SOAR 平台中瀏覽,請使用左側的導覽選單存取所有 Google SecOps SOAR 頁面。導覽選單會顯示不同的 Google SecOps SOAR 模組,並在指標懸停時展開。

Google SecOps SOAR 模組地圖

下表依主要功能和導覽選單中的位置,整理了平台的功能。

動作 所在位置
在平台中管理所有待處理案件。
案件
查看案件的專屬動作和待辦事項。 您的工作區
搜尋案件和實體。 搜尋
設計自動執行的動作序列 (應對手冊)。 「回應」>「劇本」
為不同執行個體設定整合功能。 「回覆」>「整合設定」
編輯預先定義的工作或建立新的排定工作。 「Response」>「Jobs Scheduler」
編輯商業整合的程式碼,或建立自訂整合項目。 「回應」> IDE
存取及分析案件、應對手冊、環境和其他相關主題的資訊。 資訊主頁與報表 > 資訊主頁
使用 Looker 查看預先定義的 Google SecOps SOAR 報表和進階報表。 資訊主頁與報表 > 報表
安裝第三方整合服務,以及平台適用的用途和加強功能。 Marketplace
管理 SOAR 功能的所有管理員工作和設定。 設定

設定

動作 所在位置
在平台上新增使用者。 依序點選「設定」>「機構」>「使用者管理」
定義環境並管理權限或角色。 「設定」>「機構」>「環境」
管理不同使用者群組的權限和限制。 「設定」>「機構」>「權限」
查看授權詳細資料和目前的 SOAR 版本。 依序點選「設定」>「機構」>「授權管理」
為安全團隊新增或編輯角色,控管案件和環境的存取權。 「設定」>「機構」>「角色」
在每頁的標題或所有匯出報表中顯示公司標誌 (重新打造品牌)。 機構 > 重新打造品牌
新增及管理自動新增至案件的標記。 「設定」>「案件資料」>「標記」
定義案件的不同階段。 依序點選「設定」>「案件資料」>「案件階段」
定義結案的根本原因,以及確切原因為何。 依序點選「設定」>「案件資料」>「案件結案根本原因」
設定案件名稱階層。 依序點選「設定」>「案件資料」>「案件名稱」
使用小工具定義預設案件和快訊檢視畫面。 依序點選「設定」>「案件資料」>「檢視畫面」
產生 API 金鑰,與 Google SecOps SOAR API 互動。 依序點選「設定」>「進階」>「API 金鑰」
查看平台中的所有使用者活動。 依序點選「設定」>「進階」>「稽核」
設定資料保留政策,以及不同環境間的案件處理方式。 依序選取「設定」>「進階」>「一般」
管理及設定預設時區和日期/時間格式。 「設定」>「進階」>「本地化」
定義快訊和溢位案件的分組規則。 依序點選「設定」>「進階」>「警報分組」
設定 SAML 供應商。 「設定」>「進階」>「外部驗證」
設定及管理遠端代理程式。 依序點選「設定」>「進階」>「遠端代理程式」
設定所有 Google SecOps SOAR 系統電子郵件的電子郵件地址。 依序點選「設定」>「進階」>「電子郵件設定」
授予 Google 支援團隊平台存取權。 依序點選「設定」「進階」「支援存取權」
查看擷取資料的屬性定義。 資料設定 > 屬性中繼資料
在平台上查看統計資料。 「資料設定」>「統計資料」
管理及設定與特定產品和事件相符的視覺化分組。 依序點選「設定」>「本體」>「本體狀態」
管理、編輯及建立視覺化分組。 依序點選「設定」>「本體」>「視覺系列」
在平台中定義環境。 「設定」>「環境」>「網路」
定義網域。 「設定」>「環境」>「網域」
定義自訂清單,內含使用者、IP 位址和其他實體。 「設定」>「環境」>「自訂清單」
定義用於應對手冊和其他動作的電子郵件範本。 依序前往「設定」>「環境」>「電子郵件範本」
定義用於應對手冊和其他動作的電子郵件 HTML 範本。 依序前往「設定」>「環境」>「電子郵件 HTML 範本」
定義不應分組的快訊實體,或不應顯示的實體。 依序前往「設定」>「環境」>「封鎖清單」
定義服務水準協議,以根據特定服務水準協議觸發條件解決案件和快訊。 「設定」>「環境」>「服務等級協議」
在「你的工作台」中定義使用者可選擇的要求。 「設定」>「環境」>「要求」
管理 Incident Manager 使用者所屬的部門。 依序點選「設定」>「Incident Manager」>「部門」
在 Incident Manager 中,為每個事件定義新增為協作者的使用者。 依序點按「設定」>「事件管理員」>「稽核人員」
定義哪些環境授權在 Incident Manager 中處理案件。 依序點選「設定」>「Incident Manager」>「環境」
設定連接器,將快訊匯入平台。 擷取 > 連接器
設定 Webhook,將快訊匯入平台。 擷取 > Webhook

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。