Diese Seite wurde von der Cloud Translation API übersetzt.

Google SecOps-Plattform

Unterstützt in:

Google SecOps

Im Artikel Auf der Plattform navigieren sehen Sie, dass die Bereiche in SIEM und SOAR unterteilt sind. Das liegt daran, dass die Google Security Operations-Plattform Tools für das Sicherheitsinformations- und Ereignismanagement (SIEM) und die Sicherheitsorchestrierung, Automatisierung und Reaktion (SOAR) bietet. Einige Teile der Google SecOps-Plattform sind entweder nur für SIEM oder nur für SOAR bestimmt und werden daher entsprechend gekennzeichnet.

SIEM-Suche und SOAR-Suche

Auf der Google SecOps-Plattform gibt es zwei separate Suchbildschirme.

Über die SIEM-Suche werden Sie zur Seite UDM-Suche weitergeleitet, auf der Sie UDM-Ereignisse (Unified Data Model) und ‑Benachrichtigungen in Ihrer Google Security Operations-Instanz finden und untersuchen können. Sie können nach einzelnen UDM-Ereignissen oder nach Gruppen von UDM-Ereignissen mit gemeinsamen Suchbegriffen suchen. Die Suche umfasst auch Benachrichtigungen, die über SOAR-Connectors und Webhooks aufgenommen wurden. Weitere Informationen finden Sie unter SIEM-Suche.

Der SOAR Search-Bildschirm konzentriert sich auf zwei Hauptbereiche: Fälle und Entitäten. Auf diesem Bildschirm können Sie sowohl nach offenen als auch nach geschlossenen Fällen oder nach Entitäten suchen, die in Fälle verwickelt waren. Sie können die gewünschten Elemente aufschlüsseln, um weitere Informationen zu erhalten. Sie können Bulk-Aktionen wie das Zusammenführen von Fällen für Ihre Suchergebnisse ausführen. Weitere Informationen finden Sie unter SOAR-Suche.

SIEM- und SOAR-Dashboards

In SIEM-Dashboards werden Informationen zu Ihren UDM-Ereignisdaten angezeigt. Dazu gehören Sicherheitstelemetrie, Aufnahmemesswerte, Erkennungen, Benachrichtigungen, IOCs und mehr. Weitere Informationen finden Sie unter SIEM-Dashboards.

In den SOAR-Dashboards werden Informationen zu Fällen, Playbooks und SOC-Analystendaten angezeigt. Sie können neue Dashboards erstellen und für andere Nutzer freigeben. Weitere Informationen finden Sie unter SOAR-Dashboards.

SIEM-Einstellungen und SOAR-Einstellungen

Der Großteil der SOAR-Administration und -Konfiguration befindet sich in den SOAR-Einstellungen und der Großteil der SIEM-Administration und -Konfiguration in den SIEM-Einstellungen. Die Berechtigungen werden für jede Seite der Plattform separat festgelegt und es gibt keine Abhängigkeit zwischen ihnen. Sie können beispielsweise Berechtigungen für Playbooks in den SOAR-Einstellungen für bestimmte Nutzergruppen einschränken, während Sie in den SIEM-Einstellungen vollständige Berechtigungen für alle Module erteilen.

Berechtigungsänderungen, die mit der Identitäts- und Zugriffsverwaltung (Identity and Access Management, IAM) verwaltet werden, werden sofort angewendet. Änderungen, die über die SOAR-Einstellungen vorgenommen werden, werden jedoch erst wirksam, nachdem sich der Nutzer ab- und wieder angemeldet hat. Diese plattformweiten Einstellungen umfassen die folgenden Seiten zum Verwalten des Nutzerzugriffs: * IDP Group Mapping (IdP-Gruppenzuordnung): Ordnet alle externen IdP-Gruppen (Identity Provider, Identitätsanbieter) den Nutzergruppen der Google SecOps-Plattform zu. * Berechtigungsgruppen: Hiermit können Sie für jede Nutzergruppe eine Standard-Landingpage definieren. Änderungen an Berechtigungen, die mit Identity and Access Management (IAM) verwaltet werden, werden sofort angewendet. Berechtigungen, die über die SOAR-Einstellungen verwaltet werden, werden jedoch erst beim nächsten Anmelden des Nutzers auf der Plattform angewendet.

Informationen zu SIEM-Einstellungen finden Sie unter SIEM-Einstellungen.

Weitere Informationen zur Datenaufbewahrung finden Sie unter Datenaufbewahrung in Ihrem Google SecOps-Konto.

Informationen zu SOAR-Einstellungen finden Sie unter SOAR-Einstellungen.

Daten mit SecOps SIEM und SIEM-Drittanbieterdiensten aufnehmen

Die Google SecOps-Plattform bietet die Möglichkeit, nicht nur Benachrichtigungen über die integrierte SIEM-Plattform zu erfassen (die Rohlogs über Forwarder und Datenfeeds erfasst), sondern auch Benachrichtigungen von SIEMs von Drittanbietern zu akzeptieren (über SOAR > Connectors und Webhooks).

So können Sie neben unserem eigenen Google SecOps SIEM-Angebot auch andere SIEMs nutzen. Google empfiehlt, das integrierte SIEM nach Möglichkeit zu verwenden, um die Nutzung zu vereinfachen.
Benachrichtigungen, die sowohl vom integrierten SIEM als auch von SIEMs von Drittanbietern erfasst werden, können in Fällen gruppiert und im Rahmen der Funktionen für die Fallverwaltung betrachtet werden. Warnungen, die aus SIEMs von Drittanbietern aufgenommen werden, werden an die SIEM-Seite der Plattform gesendet und können über die UDM-Suche aufgerufen werden. Sie unterliegen jedoch nicht den integrierten SIEM-Regeln.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten