導入 Google SecOps SOAR 平台

這份文件提供完整逐步指南，協助您啟用及設定 Google Security Operations SOAR 平台。這個程序會建立使用者存取權、確保資料擷取安全無虞、正規化資料、建構自動化程序，並為正式作業做好準備。

事前準備

強烈建議您先完成 Google SIEM 和 SOAR 學習路徑中的訓練課程。

設定使用者存取權和角色

如要開始使用，您必須定義角色和權限群組。如果您是 MSSP，也需要設定環境，並將環境與新使用者建立關聯。如果您管理多租戶環境，也必須定義環境。 如有需要，您也可以佈建使用者，讓他們透過 SAML 提供者登入。 如需各項工作的詳細操作說明，請參閱下列文件：

• 管理角色和工作負載
• 管理權限群組
• 新增環境 (主要適用於 MSSP)
• 在平台上新增使用者
• 使用單一登入 (SSO) 驗證使用者 (僅限 SOAR)

使用連接器或 Webhook 設定資料擷取點

設定連接器或 Webhook，擷取警報以供分析。您也可以下載整個用途，如需各項工作的詳細操作說明，請參閱下列文件：

• 使用 SOAR 連接器擷取資料
• 設定 Webhook
• 執行用途
• 開發第一個電子郵件連接器 (適用於進階使用者)

對應及模擬傳入資料 (本體)

控管如何對應及建立連入產品、事件和實體的模型。確保系統擷取並顯示正確資訊。您可以自行定義本體設定，或選擇預設的對應和模型設定。如需各項工作的詳細操作說明，請參閱下列文件：

• 本體總覽
• 使用視覺化系列對應安全性事件關係
• 建立實體 (對應和建模)

建立及測試自動化動作 (應對手冊)

使用應對手冊 (一系列手動和自動步驟，可因應威脅) 建構自動回覆。如要進一步瞭解劇本，請參閱下列文件：

• 探索教戰手冊頁面
• 建立第一個自動化動作
• 從 Marketplace 執行用途
• 使用應對手冊模擬工具

分析案件和快訊

使用模擬案件和測試快訊驗證設定。上線後，請分析案件和快訊，判斷分類或補救步驟。如需各項工作的詳細操作說明，請參閱下列文件：

• 案件總覽
• 對案件採取行動
• 執行手動操作
• 查看快訊總覽分頁
• 瀏覽「實體探索工具」頁面