Sommario di SOAR

Puoi tornare a questo sommario in qualsiasi momento facendo clic su salire nella parte superiore dei documenti relativi a SOAR.

Google SecOps SOAR

Panoramica del prodotto

Guida introduttiva

Eseguire l'onboarding di Google SecOps SOAR

La tua scrivania

Panoramica di Workdesk

Compilare una richiesta dalla workdesk

Rispondere alle azioni in attesa dalla workdesk

Visualizzare le richieste dalla workdesk

Indagine su richieste e avvisi

Utilizzare le richieste

Panoramica delle richieste

Schermata Richieste

Panoramica dell'intestazione della coda delle richieste

Scheda Panoramica della richiesta

Scheda Case Wall

Messaggistica istantanea in una richiesta

Gestire le attività dalla schermata Richieste

Eseguire un'azione manuale

Gestire i tag dalla schermata Case (Richieste)

Intervenire su una richiesta

Contrassegnare una richiesta come incidente

Simulare richieste

Creare un caso di test

Come chiudere le richieste

Visualizzare i contenuti delle richieste chiuse

Definire i tag nelle richieste (Amministratore)

Definire una visualizzazione predefinita per le richieste (amministratore)

Riepilogo di Gemini

Aggiungere o eliminare le fasi della richiesta (amministratore)

Menu Opzioni di avviso nella schermata Richieste

Visualizzare i dati SIEM originali in una richiesta

Esplorare entità e avvisi (indagine)

Tipi di entità supportati

Esplorare la schermata di Entity Explorer

Eseguire un'azione collettiva su più richieste contemporaneamente

Misurare il tempo necessario agli analisti della sicurezza per chiudere o aprire una richiesta

Personalizzare la finestra di dialogo Chiudi richiesta (amministratore)

Assegnare un nome a una richiesta (amministratore)

Creare una richiesta manuale

Spostare una richiesta in un nuovo ambiente

Aggiungere o modificare le proprietà delle entità

Applicare e salvare i filtri

Selezione delle entità

Utilizzo degli avvisi

Scheda Panoramica degli avvisi

Scheda Playbook di avviso

Modificare la priorità dell'avviso anziché la priorità della richiesta

Scheda Eventi di avviso

Panoramica del meccanismo di raggruppamento degli avvisi (amministratore)

Eseguire nuovamente i playbook

Come configurare il meccanismo di overflow degli avvisi (amministratore)

Definire la visualizzazione predefinita degli avvisi (Amministrazione)

Gestire avvisi di grandi dimensioni

Utilizzare la schermata di ricerca

Importa i dati

Connettori

Importare i dati utilizzando i connettori

Visualizzare i log del connettore

Connettore ElasticSearch: mappare una data e un'ora personalizzate

Definire gli ambienti nei connettori

Webhook

Configurare un webhook

Rispondere agli avvisi

Lavorare con i playbook

Panoramica dei playbook

Utilizzare gli attivatori nelle guide strategiche

Utilizzare le azioni nelle guide strategiche

Utilizzare i flow nelle guide pratiche

Utilizzare lo strumento per la creazione di espressioni

Utilizzare il simulatore di playbook

Utilizzare il Navigatore playbook

Lavorare con i blocchi dei playbook

Panoramica del monitoraggio dei playbook

Definire visualizzazioni di avvisi personalizzate utilizzando Playbook Designer

Utilizzare gli attivatori di tipo di avviso in un playbook

Azioni collettive e filtri nei playbook

Utilizzare il widget HTML

Gestione del ciclo di vita dei playbook (video)

Azioni collettive del playbook (video)

Utilizzare il simulatore di playbook (video)

Eseguire la scansione di più URL in VirusTotal

Inserire elementi dei dati della richiesta in un messaggio email

Eseguire la scansione degli URL ricevuti via email

Inviare messaggi a un numero di telefono

Allega playbook a un avviso

Casi d'uso per lo Strumento per la creazione di espressioni

Assegna azioni e blocchi di playbook

Legenda delle icone dei playbook

Configurare i timeout per le azioni asincrone del playbook

Autorizzazioni del playbook

Assegnare i link di approvazione nelle azioni

Utilizzare azioni parallele

Utilizzare i widget predefiniti nella visualizzazione del playbook

Impedire agli utenti di modificare i playbook

Inviare un'email da Google SecOps

Creare playbook con Gemini

Ambiente di sviluppo integrato (IDE)

Utilizzare l'IDE

Creare un'azione personalizzata

Sviluppare una nuova integrazione (video)

Creare un'integrazione personalizzata

Convalida del codice personalizzato dell'IDE

Scrivere job

Testare le integrazioni in modalità di staging

Configurazione integrazioni

Configurare le integrazioni

Eseguire l'upgrade della versione di Python a 3.11

Supporta più istanze

Lavorare con un sistema di cassette di sicurezza esterne

La mia prima integrazione

Requisiti per la pubblicazione della prima integrazione

La mia prima azione

La mia prima automazione (playbook)

Il mio primo connettore

Sviluppare il connettore

Configura il connettore

Testa il connettore

Avvisi relativi a mappe e modelli

Il mio primo caso d'uso

Requisiti per la pubblicazione del primo caso d'uso

Gestore incidenti

Panoramica di Gestione degli incidenti

Aprire un incidente da Incident Manager

Aprire un incidente dalla schermata Richieste

Definire i reparti per Incident Manager

Definire gli auditor in Gestore incidenti

Definire gli ambienti autorizzati

Invitare collaboratori a Incident Manage

Utilizzare la dashboard di Incident Manager

Utilizzare la workstation

Creare un report sugli incidenti

Google SecOps Marketplace

Utilizzare Google SecOps Marketplace

Eseguire casi d'uso

Potenziamenti

Connettori

Utilità email

Arricchimento

Utilità per i file

Funzioni

GitSync

TemplateEngine

Approfondimenti

Elenchi

Strumenti

Monitoraggio e report

Dashboard

Panoramica della dashboard

Aggiungere nuove dashboard

Aggiungere widget della dashboard

Esempio: aggiungi un nuovo widget a una dashboard

Panoramica della schermata della dashboard

Report

Informazioni sui report

Utilizzare i report avanzati in Looker

Utilizzare le esplorazioni di Looker nei report SOAR

Report avanzati predefiniti dettagliati

Generare report sul ROI (gestore SOC)

Approfondimento di quattro report avanzati

API SOAR

API SOAR di Google SecOps

Impostazioni

Ambienti

Aggiungere un nuovo ambiente

Creare gruppi di ambienti (solo SOAR)

Utilizzare i parametri dinamici negli ambienti

Eliminare un ambiente

Utilizzare i parametri dinamici (video)

Consentire l'accesso ad altri ambienti

Autorizzazioni

Lavorare con i gruppi di autorizzazioni

Visualizzare l'ID cliente

Lavorare con i ruoli

Lavorare con le chiavi API

Consentire all'Assistenza Google di accedere alla tua piattaforma

Definire una pagina di destinazione dopo l'accesso

Lavorare con gli utenti (solo SOAR)

Aggiungere un nuovo utente alla piattaforma SOAR

Vantaggi dell'aggiunta di un utente collaboratore

Creare un utente collaboratore

Creare un utente con autorizzazione di sola visualizzazione

Disattivare o eliminare un account utente in SOAR

Tipi di utenti

Creare un utente gestito

Prerequisiti per gli inviti via email

Criteri relativi alle password (solo SOAR)

Federazione della gestione delle richieste (solo SOAR)

Panoramica di SAML (solo SOAR)

Configurare un provider SAML

Configurazione SAML per Workspace

Configurazione SAML per Microsoft Azure

Configurazione SAML per Okta

Provisioning degli utenti just-in-time

Configurare più provider SAML

Risoluzione dei problemi comuni di SAML

Ontologia

Panoramica dell'ontologia

Visualizzare la famiglia di modelli e la mappatura dei campi

Famiglie visive

Decidi quali eventi configurare

Configurare la mappatura e assegnare famiglie di visualizzazioni

Lavorare con i delimitatori di entità

Creare entità (mappatura e definizione del modello)

Attività di configurazione

Creare un elenco di blocco per escludere le entità dagli avvisi

Creare elenchi personalizzati

Creare modelli HTML email

Creare modelli email

Definire i domini per gli MSSP

Definire le richieste per gli utenti (amministratore)

Gestire le reti

Impostare l'accordo sul livello del servizio (SLA)

Utilizzare le variabili dinamiche nei modelli HTML delle email

Attività avanzate

Aprire un ticket per l'Assistenza Google

Controllare l'accesso alla piattaforma Google SecOps

Definire la conservazione dei dati di sistema

Monitorare le attività degli utenti

Rebranding

Impostare il fuso orario per tutti gli utenti (amministratore)

Configurare l'email

Visualizzare e modificare i limiti di servizio

Gestire i metadati della proprietà

Recuperare i log non elaborati di Python

Pulizia dopo la rimozione di SOAR

Agenti remoti

Panoramica degli agenti remoti

Requisiti e prerequisiti

Architettura degli agenti remoti

Strategia di scalabilità degli agenti remoti

Gestire gli agenti remoti

Creare un agente con Docker

Creare un agente con il programma di installazione su RHEL

Creare un agente con il programma di installazione su CentOS

Eseguire l'upgrade dell'immagine Docker dell'agente

Eseguire l'upgrade dell'agente con il programma di installazione per RHEL

Eseguire l'upgrade dell'agente con il programma di installazione per CentOS

Modificare l'agente remoto

Ridistribuire l'agente remoto

Configurazione dell'installatore e dell'agente Docker

Protocolli e flussi di dati

Configurare integrazioni e connettori

Agenti di test

Eseguire l'upgrade degli agenti remoti

Eseguire il deployment dell'alta disponibilità per gli agenti remoti

Risoluzione dei problemi