Comprendre la plate-forme Google SecOps

Compatible avec :

En suivant l'article Parcourir la plate-forme, vous verrez que les zones sont divisées en SIEM et SOAR. En effet, la plate-forme Google Security Operations fournit des outils de gestion des informations et des événements de sécurité (SIEM) ainsi que d'orchestration, d'automatisation et de réponse de sécurité (SOAR). Certaines parties de la plate-forme Google SecOps sont spécifiques à SIEM ou à SOAR uniquement et sont donc étiquetées comme telles.

Dans la plate-forme Google SecOps, il existe deux écrans de recherche distincts.

La recherche SIEM vous redirige vers la page Recherche UDM, où vous pouvez trouver et examiner les événements et les alertes UDM (Unified Data Model) dans votre instance Google Security Operations. Vous pouvez rechercher des événements UDM individuels ou des groupes d'événements UDM à l'aide de termes de recherche partagés. La recherche inclut également les alertes ingérées à partir des connecteurs SOAR et des webhooks. Pour en savoir plus, consultez Recherche SIEM.

L'écran de recherche SOAR se concentre sur deux zones principales : les requêtes et les entités. Sur cet écran, vous pouvez rechercher des demandes ouvertes ou fermées, ou des entités impliquées dans des demandes. Vous pouvez accéder aux entités qui vous intéressent pour en savoir plus. Vous pouvez effectuer des actions groupées, comme fusionner des demandes, sur vos résultats de recherche. Pour en savoir plus, consultez Recherche SOAR.

Tableaux de bord SIEM et SOAR

Les tableaux de bord SIEM affichent des informations sur les données de vos événements UDM. Cela inclut la télémétrie de sécurité, les métriques d'ingestion, les détections, les alertes, les IOC et plus encore. Pour en savoir plus, consultez Tableaux de bord SIEM.

Les tableaux de bord SOAR affichent des informations sur les demandes, les playbooks et les données des analystes SOC. Vous pouvez créer des tableaux de bord et les partager avec d'autres utilisateurs. Pour en savoir plus, consultez Tableaux de bord SOAR.

Paramètres SIEM et SOAR

La majorité de l'administration et de la configuration SOAR se trouve dans les paramètres SOAR, et la majorité de l'administration et de la configuration SIEM se trouve dans les paramètres SIEM. Les autorisations sont définies séparément pour chaque côté de la plate-forme et ne sont pas liées entre elles. Par exemple, vous pouvez choisir de limiter les autorisations aux playbooks dans les paramètres SOAR pour certains groupes d'utilisateurs, tout en accordant des autorisations complètes à tous les modules dans les paramètres SIEM.

Les modifications d'autorisation gérées avec Identity and Access Management (IAM) sont appliquées immédiatement. Toutefois, les modifications apportées aux paramètres SOAR ne prennent effet qu'une fois que l'utilisateur s'est déconnecté et reconnecté. Ces paramètres à l'échelle de la plate-forme incluent les pages suivantes pour gérer l'accès des utilisateurs : * Mappage des groupes IdP : mappe tous les groupes de fournisseurs d'identité (IdP) externes aux groupes d'utilisateurs de la plate-forme Google SecOps. * Groupes d'autorisations : vous permet de définir une page de destination par défaut pour chaque groupe d'utilisateurs. Les modifications apportées aux autorisations gérées à l'aide d'Identity and Access Management (IAM) sont appliquées immédiatement. Toutefois, les autorisations gérées à partir des paramètres SOAR ne sont appliquées que la prochaine fois que l'utilisateur se connecte à la plate-forme.

Pour en savoir plus sur les paramètres SIEM, consultez Paramètres SIEM.

Pour en savoir plus sur la conservation des données, consultez Conservation des données dans votre compte Google SecOps.

Pour en savoir plus sur les paramètres SOAR, consultez Paramètres SOAR.

Ingérer des données à l'aide de SIEM SecOps et de SIEM tiers

La plate-forme Google SecOps permet non seulement d'ingérer des alertes à l'aide de la plate-forme SIEM intégrée (qui ingère les journaux bruts à l'aide de redirecteurs et de flux de données), mais accepte également les alertes provenant de SIEM tiers (via SOAR > Connecteurs et Webhooks).

Vous pouvez ainsi profiter d'autres SIEM en plus de notre propre offre Google SecOps SIEM. Google recommande d'utiliser le SIEM intégré dans la mesure du possible pour une expérience plus fluide.
Les alertes ingérées à partir du SIEM intégré et des SIEM tiers peuvent être regroupées dans des cas et examinées dans le cadre des fonctionnalités de gestion des cas. Les alertes ingérées à partir de systèmes SIEM tiers sont envoyées au côté SIEM de la plate-forme et peuvent être consultées à l'aide de la recherche UDM, mais ne sont pas soumises aux règles SIEM intégrées.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.