SIEM-Inhaltsverzeichnis
Klicken Sie
oben in jedem SIEM-Dokument, um zu diesem Inhaltsverzeichnis zurückzukehren.
Google SecOps SIEM
Schnellstart: Benachrichtigung prüfen
Nutzereinstellungen konfigurieren (nur SIEM)
Onboarding für Google SecOps
Google SecOps-Abrechnungskomponenten
Projekt für Google SecOps konfigurieren Google Cloud
Google SecOps-Instanz zu einem BYOP-Projekt migrieren
Identitätsanbieter konfigurieren
Identitätsanbieter Google Cloud konfigurieren
Drittanbieter-Identitätsanbieter konfigurieren
Funktionszugriff mit IAM konfigurieren
RBAC für Daten mit IAM konfigurieren
RBAC-Leitfaden für Anwendungen, die IAM nicht verwenden
Google SecOps-Berechtigungen in IAM
Google SecOps mit Google Cloud Diensten verknüpfen
Daten aufnehmen
Übersicht über die Datenaufnahme
Unterstützte Datensätze und Standardparser
Daten in Google SecOps aufnehmen
Logs aus bestimmten Quellen aufnehmen
Forwarder installieren und konfigurieren
Übersicht über Google SecOps-Forwarder
Google SecOps-Forwarder für Linux
Google SecOps-Forwarder für Windows auf Docker
Ausführbare Google SecOps-Forwarder-Datei für Windows
Forwarder-Konfigurationen über Google SecOps verwalten
Häufige Probleme mit Linux-Forwardern beheben
Datenfeeds einrichten
Übersicht über die Feedverwaltung
Feeds über die Benutzeroberfläche der Feedverwaltung erstellen und verwalten
Azure Event Hub-Feed erstellen
Feeds über die Feed Management API erstellen und verwalten
Als Cloud Functions bereitgestellte Aufnahmeskripts verwenden
Datenaufnahme überwachen
Dashboard „Data Ingestion and Health“ verwenden
Cloud Monitoring für Aufnahmenachrichten verwenden
Abgerechnetes Aufnahmevolumen ansehen
Mit Google SecOps-Parsern arbeiten
Übersicht über das einheitliche Datenmodell
Vorgefertigte und benutzerdefinierte Parser verwalten
Vorgefertigte Logtypen anfordern und benutzerdefinierte Logtypen erstellen
Beispiele für Parser-Erweiterungen
Wichtige UDM-Felder für den Parser-Datenabgleich
Tipps und Fehlerbehebung beim Schreiben von Parsern
Anreichern
Übersicht über UDM-Anreicherung und Aliasing
So reichert Google SecOps Ereignis- und Entitätsdaten an
Anreicherung aus bestimmten Abläufen blockieren
Entity Context Graph (ECG) verwenden
Übersicht über die automatische Extraktion
Bedrohungen erkennen
Benachrichtigungen und IOCs aufrufen
Potenzielle Sicherheitsbedrohungen prüfen
Regeln für einzelne Ereignisse
Zusammengesetzte Erkennungen
Übersicht über zusammengesetzte Erkennungen
Ereignisse mithilfe von Regeln überwachen
Regeln im Dashboard für Regeln ansehen
Effektivität und Effizienz von Regeln analysieren
Informationen zu Regelkontingenten
Fehler bei der Ausführung von Regeln beheben
Risikobasierte Benachrichtigungen mit Regeln, die nur Entitäten verwenden
Bedrohungsabdeckung mit der MITRE ATT&CK-Matrix verstehen
Vorherige Versionen einer Regel ansehen
Regel mit Live-Daten ausführen
Regel mit Verlaufsdaten ausführen
Leistung bei Erkennung und Berichterstellung optimieren
Informationen zu Regelwiederholungen und MTTD
Informationen zu Verzögerungen bei der Erkennung von Regeln
Zeitplan für die Ausführung von Regeln verwalten
Benutzerdefinierte Zeitpläne für Regeln konfigurieren
Informationen zur Zeitplanung für die Ausführung von Regeln
Kontextsensitive Analysen erstellen
Übersicht über kontextsensitive Analysen
Daten aus Cloud Sensitive Data Protection in kontextsensitiven Analysen verwenden
Mit Kontext angereicherte Daten in Regeln verwenden
Standarderkennungsregeln verwenden
Risikoanalysen
Schnellstartanleitung für Risikoanalysen
Dashboard „Risikoanalysen“ verwenden
Messwertfunktionen für Regeln für Risikoanalysen
Schnellstartanleitung für Beobachtungslisten
Risikobewertung für Entitäten in Regeln angeben
Häufig gestellte Fragen zu Beobachtungslisten
Häufig gestellte Fragen zu Risikoanalysen
Mit ausgewählten Erkennungen arbeiten
Bedrohungen mit ausgewählten Erkennungen identifizieren
Regeln für kuratierte Erkennungen für Benachrichtigungen von Drittanbietern verwenden
Benutzeroberfläche für ausgewählte Erkennungen verwenden
Übersicht über die Kategorie „Cloud-Bedrohungen“
Übersicht über die Kategorie „Zusammengesetzte Regeln“
Übersicht über die Kategorie „Nicht priorisierte IOC-Übereinstimmungen“
Übersicht über die Kategorie „Chrome Enterprise-Bedrohungen“
Übersicht über die Kategorie „Linux-Bedrohungen“
Übersicht über die Kategorie „macOS-Bedrohungen“
Übersicht über die Kategorie „Mandiant Hunting Rules“
Übersicht über die Kategorie „Risikoanalysen für UEBA“
Übersicht über die Kategorie „Windows-Bedrohungen“
Übersicht über ausgewählte Erkennungen für angewandte Threat Intelligence
Datenaufnahme mit Testregeln überprüfen
Regelausschlüsse konfigurieren
Störende Benachrichtigungen verwalten
Benachrichtigungen unterdrücken
Regelausschlüsse mit der API verwalten
Angewandte Bedrohungsinformationen
Übersicht über angewandte Bedrohungsinformationen
Priorisierung angewandter Bedrohungsinformationen
IOCs mit angewandten Bedrohungsinformationen ansehen
Übersicht über den Fusion-Feed für angewandte Bedrohungsinformationen
Detailansicht des Emerging Threats Center
Fragen zu Bedrohungsinformationen mit Gemini beantworten
Zusammenfassungen der Gemini-Dokumentation
Agent für Priorisierung und Untersuchung zum Prüfen von Benachrichtigungen verwenden
Dashboard des Agents für Priorisierung und Untersuchung
YARA-L 2.0
Syntax
Ausdrücke, Operatoren und andere Konstrukte
Verschachtelte „if“-Anweisungen
„OR“-Syntax im Abschnitt „Bedingung“ verwenden
„N OF“-Syntax mit Ereignisvariablen verwenden
Sampling von Erkennungsereignissen
Funktionen
Abfrage und Untersuchung
Bedingungen in der Suche und in Dashboards verwenden
Visualisierungen in der Suche erstellen und speichern
Messwerte in der Suche verwenden
Deduplizierung in der Suche und in Dashboards verwenden
Mehrstufige Abfragen erstellen
Erkennungsregeln entwickeln
Mit Kontext angereicherte Daten in Regeln verwenden
Übersicht über kontextsensitive Analysen
Risikobewertung für Entitäten in Regeln angeben
Messwertfunktionen für Regeln für Risikoanalysen verwenden
Übersicht über den Fusion-Feed für angewandte Bedrohungsinformationen
Übersicht über zusammengesetzte Erkennungen
Regeln für zusammengesetzte Erkennungen erstellen
Regelstruktur und Best Practices
Verwalten und Fehler beheben
Regel mit Verlaufsdaten ausführen
Regelausschlüsse konfigurieren
Regelfehler ansehen und beheben
Bekannte Probleme und Beschränkungen
Referenz: Abfragebibliotheken und Übergänge
Abfrage-Referenzbibliothek für YARA-L 2.0
Abfragebibliothek für YARA-L 2.0-Dashboards
Übergang von SPL zu YARA-L 2.0
Suchanfragen mit Gemini generieren
YARA-L 2.0-Regel mit Gemini generieren
Bedrohungen untersuchen
Benachrichtigungen ansehen
Benachrichtigungen und Entitätskontext prüfen
Daten suchen
Mit Kontext angereicherte Felder in der UDM-Suche verwenden
UDM-Suche zum Untersuchen einer Entität verwenden
Zeitraum der UDM-Suche verwenden und Abfragen verwalten
Bedingungen in der Suche und in Dashboards verwenden
Deduplizierung in der Suche und in Dashboards verwenden
Messwerte in der UDM-Suche mit YARA-L 2.0
Verknüpfungen in der Suche verwenden
Statistiken und Aggregationen in YARA-L 2.0
Aggregationen in YARA-L 2.0-Abfragen verwenden
UDM-Suchanfragen mit Gemini generieren
Best Practices für die UDM-Suche
Rohlogs mit dem Standard-Logscan durchsuchen
Daten in der Rohlogsuche filtern
Ansichten für die Untersuchung verwenden
Ansichten für die Untersuchung verwenden
Informationen von VirusTotal ansehen
Daten in Ansichten für die Untersuchung filtern
Übersicht über prozedurales Filtern
Daten in der Nutzeransicht filtern
Daten in der Assetansicht filtern
Daten in der Domainansicht filtern
Daten in der IP-Adressansicht filtern
Daten in der Hash-Ansicht filtern
Berichte
Mit Kontext angereicherte Daten in Berichten verwenden
Mit benutzerdefinierten Dashboards arbeiten
Benutzerdefiniertes Dashboard erstellen
Dashboard ein Diagramm hinzufügen
Persönliches Dashboard freigeben
Google SecOps-Dashboards importieren und exportieren
Mit Dashboards arbeiten
Diagramme in nativen Dashboards verwalten
Geplante Berichte konfigurieren
Datenexport
In ein von Google verwaltetes BigQuery-Projekt exportieren (Legacy)
In ein selbstverwaltetes BigQuery-Projekt exportieren
Daten mit dem erweiterten BigQuery-Export streamen
Informationen zum BigQuery-Datenschema
Rohlogs in einen selbstverwalteten Google Cloud Storage-Bucket exportieren
Verwaltung
Benachrichtigungen mit der API im Bulk schließen
Nutzer verwalten
Funktionszugriff mit IAM konfigurieren
VPC Service Controls konfigurieren
VPC Service Controls für Google SecOps konfigurieren
Datenzugriffssteuerung konfigurieren
Auswirkungen von RBAC für Daten auf Funktionen
RBAC für Daten für Nutzer konfigurieren
RBAC für Daten für Datentabellen konfigurieren
RBAC für Daten für Referenzlisten konfigurieren
Datenfeeds einrichten
Google Analytics in Google SecOps
Bereitstellung aufheben
Self-Service-Bereitstellung für Google SecOps aufheben