Questa pagina è stata tradotta dall'API Cloud Translation.

Comprendere la piattaforma Google SecOps

Supportato in:

Google secops

Seguendo l'articolo Navigare nella piattaforma, vedrai che le aree sono suddivise in SIEM e SOAR. Questo perché la piattaforma Google Security Operations fornisce strumenti per la gestione degli eventi e delle informazioni di sicurezza (SIEM) e per l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR). Alcune parti della piattaforma Google SecOps sono specifiche solo per SIEM o SOAR e pertanto sono etichettate come tali.

Ricerca SIEM e ricerca SOAR

Nella piattaforma Google SecOps sono presenti due schermate di ricerca separate.

La ricerca SIEM ti indirizza alla pagina Ricerca UDM, dove puoi trovare ed esaminare eventi e avvisi Unified Data Model (UDM) nella tua istanza di Google Security Operations. Puoi cercare singoli eventi UDM o gruppi di eventi UDM utilizzando termini di ricerca condivisi. La ricerca include anche gli avvisi inseriti dai connettori SOAR e dai webhook. Per ulteriori informazioni, consulta Ricerca SIEM.

La schermata di ricerca SOAR si concentra su due aree principali: richieste ed entità. In questa schermata puoi cercare pratiche aperte o chiuse oppure entità coinvolte nelle pratiche. Puoi visualizzare in dettaglio le entità che stai cercando per ottenere ulteriori informazioni. Puoi eseguire azioni collettive come unire le richieste nei risultati di ricerca. Per maggiori informazioni, consulta Ricerca SOAR.

Dashboard SIEM e SOAR

Le dashboard SIEM mostrano informazioni sui dati degli eventi UDM. Sono inclusi dati di telemetria sulla sicurezza, metriche di importazione, rilevamenti, avvisi, indicatori di compromissione e altro ancora. Per saperne di più, vedi Dashboard SIEM.

Le dashboard SOAR mostrano informazioni su richieste, playbook e dati degli analisti del SOC. Puoi creare nuove dashboard e condividerle con altri utenti. Per ulteriori informazioni, vedi Dashboard SOAR.

Impostazioni SIEM e SOAR

La maggior parte dell'amministrazione e della configurazione di SOAR si trova nelle impostazioni di SOAR, mentre la maggior parte dell'amministrazione e della configurazione di SIEM si trova nelle impostazioni di SIEM. Le autorizzazioni vengono impostate separatamente per ogni lato della piattaforma e non esiste alcuna dipendenza tra loro. Ad esempio, potresti scegliere di limitare le autorizzazioni ai playbook nelle impostazioni SOAR per determinati gruppi di utenti, concedendo invece autorizzazioni complete a tutti i moduli nelle impostazioni SIEM.

Le modifiche alle autorizzazioni gestite con Identity and Access Management (IAM) vengono applicate immediatamente. Tuttavia, le modifiche apportate dalle impostazioni SOAR diventano effettive solo dopo che l'utente si disconnette e accede di nuovo. Queste impostazioni a livello di piattaforma includono le seguenti pagine per gestire l'accesso degli utenti: * Mappatura dei gruppi IdP: mappa tutti i gruppi di provider di identità (IdP) esterni ai gruppi di utenti della piattaforma Google SecOps. * Gruppi di autorizzazioni: consente di definire una pagina di destinazione predefinita per ogni gruppo di utenti. Le modifiche alle autorizzazioni gestite tramite Identity and Access Management (IAM) vengono applicate immediatamente. Tuttavia, le autorizzazioni gestite dalle impostazioni SOAR vengono applicate solo al successivo accesso dell'utente alla piattaforma.

Per informazioni sulle impostazioni SIEM, vedi Impostazioni SIEM.

Per maggiori dettagli sulla conservazione dei dati, consulta Conservazione dei dati nel tuo account Google SecOps.

Per informazioni sulle impostazioni SOAR, consulta Impostazioni SOAR.

Importazione di dati utilizzando SecOps SIEM e SIEM di terze parti

La piattaforma Google SecOps offre l'opportunità non solo di importare avvisi utilizzando la piattaforma SIEM integrata (che importa log non elaborati utilizzando i forwarder e i feed di dati), ma accetta anche avvisi da SIEM di terze parti (tramite SOAR > Connettori e webhook).

In questo modo, puoi usufruire di altri SIEM, nonché della nostra offerta SIEM Google SecOps. Google consiglia di utilizzare il SIEM integrato, ove possibile, per un'esperienza più fluida.
Gli avvisi importati sia da SIEM integrato sia da SIEM di terze parti possono essere raggruppati in richieste e visualizzati nell'ambito delle funzionalità di gestione delle richieste. Gli avvisi importati da SIEM di terze parti vengono inviati alla parte SIEM della piattaforma e possono essere visualizzati utilizzando la ricerca UDM, ma non sono soggetti alle regole SIEM integrate.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.