SOAR TOC

您可以随时点击 SOAR 文档顶部的 返回到此目录。

Google SecOps SOAR

产品概览

使用入门

Google SecOps 发布计划

开始使用 Google SecOps SOAR

管理用户偏好设置

您的工作桌

Workdesk 概览

在工作桌中填写申请

响应工作桌中的待处理操作

在工作台查看支持请求

调查案例和提醒

处理支持请求

支持请求概览

探索“案例”页面布局和选项

探索支持请求队列标题

在“概览”标签页中查看具体个案数据

创建自定义字段（管理员）

“案例墙”标签页

就支持请求进行即时通讯

跟踪支持请求中的任务和标记

执行手动操作

针对支持请求采取行动

创建测试用例

解决并关闭支持请求

为支持请求定义默认视图（管理员）

Gemini 摘要

添加或删除支持请求阶段（管理员）

“案例”界面中的“提醒选项”菜单

查看支持请求中的原始 SIEM 数据

探索实体和提醒（调查）

支持的实体类型

浏览实体资源管理器界面

一次对多个支持请求执行批量操作

衡量安全分析师关闭或上报支持请求所需的时间

自定义“关闭支持请求”对话框（管理员）

命名支持请求（管理员）

创建人工支持请求

将支持请求移至新环境

添加或修改实体属性

应用和保存过滤条件

实体选择

使用提醒

“提醒概览”标签页

“提醒手册”标签页

更改提醒优先级，而不是支持请求优先级

“提醒事件”标签页

提醒分组机制概览（管理员）

重新运行 playbook

如何配置提醒溢出机制（管理员）

定义默认的提醒视图（管理员）

处理大型提醒

搜索

使用搜索界面

注入数据

连接器

使用连接器注入数据

查看连接器日志

ElasticSearch 连接器：映射自定义日期和时间

在连接器中定义环境

网络钩子

设置网络钩子

响应提醒

使用 playbook

Playbook 概览

在 playbook 中使用触发器

使用 playbook 中的操作

在 playbook 中使用 flow

使用表达式构建器

使用 playbook 模拟器

使用 Playbook 导航器

使用 playbook 代码块

Playbook 监控概览

使用 Playbook Designer 定义自定义提醒视图

在 playbook 中使用提醒类型触发器

playbook 中的批量操作和过滤条件

使用 HTML widget

playbook 生命周期管理（视频）

Playbook 批量操作（视频）

使用 playbook 模拟器（视频）

在 VirusTotal 中扫描多个网址

将支持请求数据元素放入电子邮件中

扫描通过电子邮件收到的网址

向手机号码发送消息

将 playbook 附加到提醒

表达式构建器的应用场景

分配操作和 playbook 块

playbook 图标图例

为 playbook 异步操作配置超时

Playbook 权限

在操作中分配审批链接

使用并行操作

在 playbook 视图中使用预定义的微件

禁止用户更改剧本

通过 Google SecOps 发送电子邮件

使用 Gemini 创建 playbook

集成开发环境 (IDE)

使用 IDE

创建自定义操作

开发新的集成（视频）

构建自定义集成

写入作业

在预发布模式下测试集成

集成设置

配置集成

将 Python 版本升级到 3.11

支持多个实例

使用外部保险库系统

创建您的第一个自定义集成

发布第一个集成需满足的要求

创建您的第一个操作

我的第一个自动化操作（策略方案）

开发您的第一个连接器

开发连接器

配置连接器

测试连接器

地图和模型提醒

创建您的第一个使用情形

Google SecOps Marketplace

使用 Google SecOps Marketplace

运行用例

增强工具

连接器

电子邮件实用工具

丰富度

文件实用程序

函数

GitSync

TemplateEngine

数据分析

列表

工具

监控和报告

信息中心

信息中心概览

添加新信息中心

添加信息中心微件

示例：向信息中心添加新微件

信息中心界面概览

报告

了解报告

在 Looker 中使用高级报告

在 SOAR 报告中使用 Looker 探索

深入了解默认高级报告

生成投资回报率报告（SOC 管理员）

深入了解四种高级报告

SOAR API

Google SecOps SOAR API

设置

环境

使用环境

创建环境组（仅限 SOAR）

在环境中使用了动态参数

使用动态参数（视频）

权限

使用权限组

查看您的客户 ID

使用角色

使用 API 密钥

允许 Google 支持人员访问您的平台

定义登录后的着陆页

与用户协作（仅限 SOAR）

向 SOAR 平台添加新用户

添加协作者用户的优势

创建协作者用户

创建仅具有查看权限的用户

在 SOAR 中停用或删除用户账号

用户类型

创建受管理的账号

电子邮件邀请的前提条件

密码政策（仅限 SOAR）

案例管理联合（仅限 SOAR）

SAML 概览（仅限 SOAR）

配置外部身份验证

Workspace 的 SAML 配置

Microsoft Azure 的 SAML 配置

Okta 的 SAML 配置

即时用户预配

IdP 群组映射（仅限 SOAR）

配置多个 SAML 提供方

排查常见的 SAML 问题

本体

本体概览

查看模型系列和字段映射

视觉系列

确定要配置哪些活动

配置映射并分配视觉系列

使用实体分隔符

创建实体（映射和建模）

配置任务

创建屏蔽名单以从提醒中排除实体

创建自定义列表

创建电子邮件 HTML 模板

创建电子邮件模板

为 MSSP 定义网域

管理环境负载均衡

为用户定义请求（管理员）

管理网络

设置服务等级协议 (SLA)

在电子邮件 HTML 模板中使用动态变量

高级任务

为 Google 支持团队开立工单

收集 SOAR 日志

控制对 Google SecOps 平台的访问权限

定义系统数据保留

监控用户活动

品牌改名

为所有用户设置时区（管理员）

设置电子邮件

查看和更改服务限制

管理房源元数据

检索原始 Python 日志

移除 SOAR 后进行清理

迁移到 Google Cloud

远程代理

远程代理概览

要求和前提条件

远程代理架构

远程客服人员伸缩策略

管理远程代理

使用 Docker 创建代理

在 RHEL 上使用安装程序创建代理

在 CentOS 上使用安装程序创建代理

升级代理 Docker 映像

升级 RHEL 上使用安装程序部署的代理

升级 CentOS 上使用安装程序部署的代理

修改远程代理

重新部署远程代理

安装程序和 Docker 代理配置

数据流和协议

设置集成和连接器

测试代理

升级远程代理

为远程代理部署高可用性

问题排查