Memahami platform Google SecOps

Setelah membaca artikel Menavigasi platform, Anda akan melihat bahwa ada area yang dibagi menjadi SIEM dan SOAR. Hal ini karena platform Google Security Operations menyediakan alat untuk informasi keamanan dan manajemen peristiwa (SIEM) serta orkestrasi, otomatisasi, dan respons keamanan (SOAR). Beberapa bagian platform SecOps Google hanya khusus untuk SIEM atau SOAR, sehingga diberi label demikian.

Penelusuran SIEM dan Penelusuran SOAR

Di platform SecOps Google, ada dua layar Penelusuran terpisah.

Penelusuran SIEM mengarahkan Anda ke halaman Penelusuran UDM, tempat Anda dapat menemukan dan menyelidiki peristiwa dan pemberitahuan Model Data Terpadu (UDM) di instance Google Security Operations Anda. Anda dapat menelusuri peristiwa UDM individual atau sekelompok peristiwa UDM menggunakan istilah penelusuran bersama. Penelusuran ini juga mencakup pemberitahuan yang dimasukkan dari webhook dan konektor SOAR. Untuk mengetahui informasi selengkapnya, lihat Penelusuran SIEM

Layar Penelusuran SOAR berfokus pada dua area utama: kasus dan entitas. Dari layar ini, Anda dapat menelusuri kasus yang terbuka atau tertutup, atau menelusuri entitas yang terlibat dalam kasus. Anda dapat melihat perincian entitas yang Anda cari untuk melihat informasi lebih lanjut tentang entitas tersebut. Anda dapat melakukan tindakan massal seperti menggabungkan kasus pada hasil penelusuran. Untuk mengetahui informasi selengkapnya, lihat Penelusuran SOAR.

Dasbor SIEM dan Dasbor SOAR

Dasbor SIEM menampilkan informasi tentang data peristiwa UDM Anda. Hal ini mencakup telemetri keamanan, metrik penyerapan, deteksi, pemberitahuan, IOC, dan lainnya. Untuk mengetahui informasi selengkapnya, lihat Dasbor SIEM.

Dasbor SOAR menampilkan informasi tentang kasus, playbook, dan data analis SOC. Anda dapat membuat dasbor baru dan membagikannya kepada pengguna lain. Untuk mengetahui informasi selengkapnya, lihat Dasbor SOAR.

Setelan SIEM dan Setelan SOAR

Sebagian besar administrasi dan konfigurasi SOAR berada dalam Setelan SOAR dan sebagian besar administrasi dan konfigurasi SIEM berada dalam Setelan SIEM. Izin ditetapkan secara terpisah untuk setiap sisi platform dan tidak ada dependensi di antara keduanya. Misalnya, Anda dapat memilih untuk membatasi izin ke Playbook di Setelan SOAR untuk grup pengguna tertentu, sekaligus memberikan izin penuh ke semua modul di setelan SIEM.

Perubahan izin yang dikelola dengan Identity and Access Management (IAM) akan diterapkan segera. Namun, perubahan yang dilakukan dari setelan SOAR hanya berlaku setelah pengguna logout dan login. Setelan di seluruh platform ini mencakup halaman berikut untuk mengelola akses pengguna: * Pemetaan Grup IDP: Memetakan semua grup Penyedia Identitas (IdP) eksternal ke grup pengguna platform SecOps Google. * Grup Izin: Memungkinkan Anda menentukan halaman landing default untuk setiap grup pengguna. Perubahan izin yang dikelola menggunakan Identity and Access Management (IAM) akan segera diterapkan. Namun, izin yang dikelola dari setelan SOAR hanya diterapkan saat pengguna berikutnya login ke platform.

Untuk mengetahui informasi tentang setelan SIEM, lihat Setelan SIEM.

Untuk mengetahui detail tentang retensi data, lihat Retensi Data di akun Google SecOps Anda.

Untuk mengetahui informasi tentang setelan SOAR, lihat Setelan SOAR.

Menyerap data menggunakan SecOps SIEM dan SIEM pihak ketiga

Platform Google SecOps menawarkan peluang untuk tidak hanya menyerap pemberitahuan menggunakan platform SIEM bawaan (yang menyerap log mentah menggunakan forwarder dan feed data), tetapi juga menerima pemberitahuan dari SIEM pihak ketiga (melalui SOAR > Konektor dan Webhook).

Hal ini memberi Anda fleksibilitas untuk memanfaatkan SIEM lain serta penawaran SIEM Google SecOps kami sendiri. Google merekomendasikan penggunaan SIEM bawaan jika memungkinkan untuk pengalaman yang lebih lancar.
Pemberitahuan yang diserap dari SIEM bawaan dan SIEM pihak ketiga dapat dikelompokkan ke dalam Kasus dan dilihat sebagai bagian dari fitur Pengelolaan Kasus. Peringatan yang di-ingest dari SIEM pihak ketiga dikirim ke sisi SIEM platform dan dapat dilihat menggunakan penelusuran UDM, tetapi tidak tunduk pada aturan SIEM bawaan.