このページは Cloud Translation API によって翻訳されました。

Google SecOps プラットフォームを理解する

以下でサポートされています。

Google SecOps

プラットフォームの操作の記事に沿って操作すると、SIEM と SOAR に分割された領域が表示されます。これは、Google Security Operations プラットフォームは、セキュリティ情報およびイベント管理（SIEM）、およびセキュリティオーケストレーション、自動化、レスポンス（SOAR）用のツールを提供しているためです。Google SecOps プラットフォームの一部は SIEM または SOAR のいずれか専用であるため、そのようにラベル付けされています。

SIEM 検索と SOAR 検索

Google SecOps プラットフォームには、2 つの個別の検索画面があります。

SIEM 検索では、[UDM 検索] ページが表示されます。このページでは、Google Security Operations インスタンスの統合データモデル（UDM）のイベントやアラートを検索して調査できます。共有検索キーワードを使用して、個々の UDM イベントまたは UDM イベントのグループを検索できます。検索には、SOAR コネクタと Webhook から取り込まれたアラートも含まれます。詳細については、SIEM 検索をご覧ください。

SOAR 検索画面では、ケースとエンティティの 2 つの主要な領域に焦点が当てられています。この画面では、オープンまたはクローズされたケースを検索したり、ケースに関与したエンティティを検索したりできます。探しているエンティティにドリルダウンして、詳細情報を確認できます。検索結果に対して、ケースの統合などの一括操作を行えます。詳細については、SOAR 検索をご覧ください。

SIEM ダッシュボードと SOAR ダッシュボード

SIEM ダッシュボードには、UDM イベントデータに関する情報が表示されます。これには、セキュリティテレメトリー、取り込み指標、検出、アラート、IOC などが含まれます。詳細については、SIEM ダッシュボードをご覧ください。

SOAR ダッシュボードには、ケース、ハンドブック、SOC アナリストのデータに関する情報が表示されます。新しいダッシュボードを作成して、他のユーザーと共有できます。詳細については、SOAR ダッシュボードをご覧ください。

SIEM 設定と SOAR 設定

SOAR の管理と構成の大部分は SOAR 設定にあり、SIEM の管理と構成の大部分は SIEM 設定にあります。権限はそれぞれのプラットフォームに別々に設定され、依存関係はありません。たとえば、特定のユーザーグループに対する SOAR 設定で、ハンドブックに対する権限を制限する一方で、SIEM 設定ですべてのモジュールに完全な権限を付与できます。

Identity and Access Management（IAM）で管理される権限の変更は、すぐに適用されます。ただし、SOAR 設定から行った変更は、ユーザーがログアウトしてログインした後にのみ有効になります。これらのプラットフォーム全体の設定には、ユーザーアクセスを管理するための次のページが含まれます。 * IDP Group Mapping: すべての外部 ID プロバイダ（IdP）グループを Google SecOps プラットフォームユーザーグループにマッピングします。* 権限グループ: 各ユーザーグループのデフォルトのランディングページを定義できます。Identity and Access Management（IAM）を使用して管理される権限の変更は、すぐに適用されます。ただし、SOAR 設定から管理される権限は、ユーザーが次回プラットフォームにログインするときにのみ適用されます。

SIEM 設定については、SIEM 設定をご覧ください。

データ保持の詳細については、Google SecOps アカウントでのデータ保持をご覧ください。

SOAR 設定については、SOAR 設定をご覧ください。

SecOps SIEM とサードパーティ SIEM を使用したデータの取り込み

Google SecOps プラットフォームでは、組み込みの SIEM プラットフォーム（フォワーダーとデータフィードを使用して未加工のログを取り込む）を使用してアラートを取り込むだけでなく、サードパーティ SIEM からのアラートを受け取ることもできます（SOAR から Connectors と Webhook 経由で）。

これにより、Google SecOps SIEM だけでなく、他の SIEM も柔軟に活用できます。シームレスなエクスペリエンスを実現するため、可能な限り組み込みの SIEM を使用することをおすすめします。
組み込みの SIEM とサードパーティの SIEM の両方から取り込まれたアラートは Cases にグループ化され、Cases 管理機能の一部として確認できます。サードパーティの SIEM から取り込まれたアラートはプラットフォームの SIEM 側に送信され、UDM 検索を使用して確認できますが、組み込みの SIEM ルールの対象ではありません。

さらにサポートが必要な場合 コミュニティメンバーや Google SecOps のプロフェッショナルから回答を得ることができます。