Google SecOps-Plattform verwenden
Unterstützt in:
Google SecOps
Wenn Sie auf die Google Security Operations-Plattform zugreifen, hängt die Ansicht von den Berechtigungsgruppen ab, denen Sie zugewiesen sind. Die einblendbare Navigationsleiste auf der linken Seite wird basierend auf Ihren Berechtigungen angepasst.
Wenn Sie schnell auf Dokumentation zugreifen möchten, die sich direkt auf die Seite bezieht, die Sie in der Plattform aufrufen, klicken Sie auf Hilfe Hilfe und wählen Sie Dokumentation aus.
Um auf der Plattform zu navigieren, halten Sie den Mauszeiger über die einblendbare linke Navigationsleiste und klicken Sie dann, um auf alle Google SecOps-Seiten zuzugreifen.
| Was möchten Sie tun? | Wo finde ich die Funktion? |
|---|---|
|
Alle eingehenden Anfragen auf der Plattform verwalten |
Cases |
| Maßgeschneiderte Aktionen und Aufgaben für Fälle ansehen | Ihr Arbeitsplatz |
|
Ganzheitliche Suche auf der gesamten Plattform |
Prüfung > SIEM-Suche |
| Nach Anfragen und Rechtssubjekten suchen |
Untersuchung > SOAR-Suche |
|
SIEM-Regeln und ‑Erkennungen im Dashboard, Editor und in den kuratierten Erkennungen verwalten |
Erkennung > Regeln > Erkennungen |
| SIEM-Benachrichtigungen und IOC-Übereinstimmungen ansehen |
Erkennung > Benachrichtigungen > IOCs |
| Aus SIEM abgeleitete Risikobewertungen und ‑trends ansehen |
Erkennung > Risikoanalyse |
| Automatisierte Abfolge von Aktionen entwerfen, die gestartet werden, sobald die entsprechende Benachrichtigung auf der Plattform eingeht | Antwort > Playbooks |
| Integrationen für verschiedene Instanzen konfigurieren | Antwort > Einrichtung von Integrationen |
| Vordefinierte Jobs bearbeiten oder neue Jobs erstellen, die regelmäßig ausgeführt werden können | Antwort > Jobs Scheduler |
| Code von kommerziellen Integrationen bearbeiten oder benutzerdefinierte Integrationen erstellen | Antwort > IDE |
|
Analysen und Berichte auf Grundlage von UDM-Ereignissen ansehen |
Dashboard und Berichte > SIEM-Dashboards |
| Informationen zu Fällen, Playbooks, Umgebungen usw. aufrufen und analysieren |
Dashboard und Berichte > SOAR-Dashboards |
| Sowohl vordefinierte Google SecOps SOAR-Berichte als auch erweiterte Berichte mit Looker ansehen |
Dashboard und Berichte > SOAR-Berichte |
|
Drittanbieterintegrationen sowie Anwendungsfälle und Power-ups für die Plattform installieren |
Google Security Operations Marketplace |
| Verwaltung von Administrationsaufgaben, Aufnahme und Parsing-Konfiguration für SIEM | Einstellungen > SIEM-Einstellungen |
|
Alle Administratoraufgaben und Konfigurationen für SOAR-Funktionen verwalten |
Einstellungen > SOAR-Einstellungen |
SIEM-Einstellungen
| Was möchten Sie tun? | Wo finde ich die Funktion? |
|---|---|
| Details zu Nutzern und zur Organisation ansehen | Profil |
| Alle Nutzer und Gruppen auf der SIEM-Seite der Plattform ansehen |
Nutzer und Gruppen |
| Rollen und Berechtigungen für die SIEM-Komponenten der Plattform ansehen | Rollen |
| SIEM-Feeds konfigurieren und ansehen | Feeds |
| SIEM-Forwarder konfigurieren und ansehen | Spediteure |
| Parser und Parsererweiterungen verwalten | Parser |
| Daten aus mehreren SIEM-Installationen freigeben und in Beziehung setzen |
Verknüpfte Instanzen |
| Festlegen, welche Gruppen auf bestimmte Daten zugreifen können |
Datenzugriff |
| Logtypen ansehen, die in Ihrer Organisation verwendet werden können |
Verfügbare Logtypen |
| Workspace und Google SecOps verbinden, um Insiderrisiken in Ihrer Umgebung zu erkennen |
Google Workspace |
| BindPlane-Agenten zum Erfassen lokaler Logs einrichten |
Sammlungs-Agents |
| Regeln für die Berechnung von Risikobewertungen für Entitäten, Benachrichtigungen und Erkennungen definieren |
Risikobewertungen für Entitäten |
SOAR-Einstellungen
| Was möchten Sie tun? | Wo finde ich die Funktion? |
|---|---|
| Alle Nutzer in der Google SecOps-Plattform ansehen | Organisation > Nutzerverwaltung |
| Umgebungen definieren | Organisation > Umgebungen |
| Berechtigungen und Einschränkungen für verschiedene Nutzergruppen verwalten | Organisation > Berechtigungen |
| Lizenzdetails und die aktuelle SOAR-Version ansehen | Organisation > Lizenzverwaltung |
| Rollen für Sicherheitsteams hinzufügen oder bearbeiten, um den Zugriff auf Fälle und Umgebungen zu steuern | Organisation> Rollen |
| Tags hinzufügen und verwalten, die Fällen automatisch hinzugefügt werden | Fall-Daten > Tags |
| Die verschiedenen Phasen eines Falls definieren, die von Ihrer Organisation verwendet werden | Fall-Daten > Phasen |
| Geben Sie an, warum ein Fall geschlossen wurde, ob ein schädlicher Prozess vorlag und was die Gründe dafür waren. | Falldaten > Gründe für Schließen des Falls |
| Hierarchie für den Fallnamen festlegen | Falldaten > Name der Anfrage |
| Standardansichten für Fälle und Benachrichtigungen mit Widgets definieren | Fall-Daten > Ansichten |
|
API-Schlüssel generieren, um mit der Google Security Operations API zu interagieren |
Erweitert > API-Schlüssel |
| Alle Nutzeraktivitäten auf der Plattform ansehen | Erweitert > Audit |
| Richtlinien für die Datenaufbewahrung und die Bearbeitung von Fällen zwischen Umgebungen festlegen | Erweitert > Allgemein |
| Standardzeitzonen und Standardformate für Datum und Uhrzeit verwalten und konfigurieren | Erweitert > Lokalisierung |
| Regeln für die Gruppierung von Benachrichtigungen und für Überlauf-Fälle definieren | Erweitert > Benachrichtigungsgruppierung |
| IdP-Gruppen SOAR-Nutzergruppen, SOC-Rollen und Berechtigungsgruppen zuordnen | Erweitert > IDP-Gruppenzuordnung |
| Remote-Agents einrichten und verwalten | Erweitert> Remote Agents |
| Konfigurieren Sie die E-Mail-Adresse, von der aus alle SOAR-System-E-Mails gesendet werden. | Erweitert > E-Mail-Einstellungen |
| Google-Support Zugriff auf Ihre Plattform gewähren | Erweitert > Supportzugriff |
| Attributdefinitionen für aufgenommene Daten ansehen | Datenkonfiguration > Metadaten für Properties |
| Statistiken auf der Plattform ansehen | Datenkonfiguration > Statistiken |
| Übereinstimmungen visueller Familien mit bestimmten Produkten und Veranstaltungen verwalten und konfigurieren | Ontologie > Ontologiestatus |
| Visuelle Familien verwalten, bearbeiten und erstellen | Ontologie > Visuelle Familien |
| Umgebungen auf der Plattform definieren | Umgebungen> Netzwerke |
| Domains definieren | Umgebungen > Domains |
|
Benutzerdefinierte Listen mit Nutzern, IP-Adressen und anderen Entitäten definieren |
Umgebungen > Benutzerdefinierte Listen |
|
E‑Mail-Vorlagen definieren, die in Playbooks und anderen Aktionen verwendet werden sollen |
Umgebungen > E-Mail-Vorlagen |
|
HTML-E-Mail-Vorlagen definieren, die in Playbooks und anderen Aktionen verwendet werden sollen |
Umgebungen > E-Mail-HTML-Vorlagen |
| Entitäten in Benachrichtigungen definieren, die nicht gruppiert oder nicht angezeigt werden sollen | Umgebungen > Blockierungsliste |
| Legen Sie für die Lösung von Fällen und Benachrichtigungen SLAs gemäß bestimmten SLA-Triggern fest. | Umgebungen > SLA |
| Anfragen definieren, aus denen Nutzer in ihrem Arbeitsbereich auswählen können | Umgebungen > Anfragen |
|
Abteilungen verwalten, denen Incident Manager-Nutzer zugeordnet sind |
Incident Manager> Abteilungen |
| Definieren Sie die Nutzer, die als Mitbearbeiter für jeden Vorfall im Incident Manager hinzugefügt wurden. | Incident Manager > Prüfer |
| Definieren Sie, für welche Umgebungen Anfragen vom Incident Manager bearbeitet werden dürfen. | Incident Manager> Umgebungen |
| Connectors einrichten, um Warnungen in die Plattform aufzunehmen | Erfassung > Connectors |
| Webhooks einrichten, um Warnungen in die Plattform aufzunehmen | Aufnahme > Webhooks |
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten