启用 Google SecOps SOAR 平台

本文档提供了有关 Google Security Operations SOAR 平台的全面分步入门和配置指南。该流程旨在建立用户访问权限、确保数据注入安全、规范化数据、构建自动化流程，并为实时运营做好准备。

准备工作

我们强烈建议您先完成 Google SIEM 和 SOAR 学习路线中的培训。

设置用户访问权限和角色

首先，您必须定义角色和权限组。如果您是 MSSP，还需要设置环境并将其与新用户相关联。如果您管理的是多租户环境，还必须定义环境。 如果需要，您还可以预配用户以使用 SAML 提供商登录。 如需查看每项任务的详细说明，请参阅以下文档：

• 管理角色和工作负载
• 管理权限组
• 添加新环境（主要适用于 MSSP）
• 向平台添加新用户
• 使用单点登录对用户进行身份验证（仅限 SOAR）

使用连接器或 Webhook 设置数据注入点

配置连接器或网络钩子以注入提醒进行分析。您还可以通过下载整个使用场景来实现此目的。如需查看每项任务的详细说明，请参阅以下文档：

• 使用 SOAR 连接器注入数据
• 设置网络钩子
• 运行使用情形
• 开发您的第一个电子邮件连接器（面向高级用户）

映射和建模传入数据（本体）

控制如何映射和建模传入的商品、事件和实体。这样可确保系统捕获并直观呈现正确的信息。您可以自行定义此本体配置，也可以选择默认的映射和建模配置。如需查看每项任务的详细说明，请参阅以下文档：

• 本体概览
• 使用可视化系列图映射安全事件关系
• 创建实体（映射和建模）

创建和测试自动化（playbook）

使用 playbook（一系列手动和自动步骤，用于应对威胁）构建自动化响应。如需详细了解 playbook，请参阅以下文档：

• 浏览“playbook”页面
• 创建您的第一个自动化操作
• 从 Marketplace 运行使用情形
• 使用 playbook 模拟器

分析支持请求和提醒

使用模拟情形和测试提醒来验证配置。上线后，分析支持请求和提醒，以确定分类或补救步骤。如需查看每项任务的详细说明，请参阅以下文档：

• 支持请求概览
• 针对支持请求采取行动
• 执行人工操作
• 查看“提醒概览”标签页
• 使用实体浏览器页面