Sommario di SIEM
Fai clic
nella parte superiore di ogni documento SIEM per tornare a questo sommario.
Google SecOps SIEM
Guida rapida: effettuare una ricerca
Guida rapida: effettuare un'indagine su un avviso
Configurare le preferenze utente (solo SIEM)
Onboarding a Google SecOps
Informazioni sui componenti di fatturazione di Google SecOps
Configurare Google Cloud il progetto per Google SecOps
Eseguire la migrazione di un'istanza Google SecOps a un progetto BYOP
Configurare un provider di identità
Configurare un Google Cloud provider di identità
Configurare un provider di identità di terze parti
Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Configurare RBAC dei dati utilizzando IAM
Guida dell'utente di RBAC per le applicazioni che non utilizzano IAM
Autorizzazioni di Google SecOps in IAM
Collega Google SecOps ai Google Cloud servizi
Importa i dati
Panoramica dell'importazione dei dati
Set di dati supportati e parser predefiniti
Importare i dati in Google SecOps
Importa log da origini specifiche
Installare e configurare i forwarder
Panoramica dei forwarder di Google SecOps
Forwarder di Google SecOps per Linux
Forwarder di Google SecOps per Windows su Docker
File eseguibile del forwarder di Google SecOps per Windows
Gestire le configurazioni dei forwarder tramite Google SecOps
Risolvere i problemi comuni dei forwarder Linux
Configurare i feed di dati
Panoramica della gestione dei feed
Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed
Creare un feed di Azure Event Hubs
Creare e gestire i feed utilizzando l'API di gestione dei feed
Utilizzare gli script di importazione implementati come Cloud Functions
Monitorare importazione dati
Utilizzare la dashboard Data Ingestion and Health (Importazione e stato dei dati)
Utilizzare Cloud Monitoring per le notifiche di importazione
Visualizzare il volume di importazione fatturato
Utilizzare i parser di Google SecOps
Panoramica dell'analisi dei log
Panoramica di Unified Data Model
Gestire i parser predefiniti e personalizzati
Richiedere tipi di log predefiniti e creare tipi di log personalizzati
Campi UDM importanti per la mappatura dei dati del parser
Suggerimenti e risoluzione dei problemi durante la scrittura dei parser
Formattare i dati di log come UDM
Arricchimento
Panoramica dell'arricchimento e dell'assegnazione di alias UDM
In che modo Google SecOps arricchisce i dati di eventi ed entità
Bloccare l'arricchimento da flussi specifici
Utilizzare il grafico del contesto delle entità (ECG)
Panoramica dell'estrazione automatica
Rilevare le minacce
Visualizzazione di avvisi e indicatori di compromissione
Esaminare le potenziali minacce alla sicurezza
Rilevamenti compositi
Panoramica dei rilevamenti compositi
Monitorare gli eventi mediante le regole
Visualizzazione delle regole in Rules Dashboard (Dashboard regole)
Analizzare l'efficacia e l'efficienza delle regole
Informazioni sulle quote delle regole
Risolvere gli errori di runtime delle regole
Avvisi basati sul rischio con regole solo per le entità
Comprendere la copertura delle minacce con la matrice MITRE ATT&CK
Visualizzazione delle versioni precedenti di una regola
Eseguire una regola sui dati in tempo reale
Eseguire una regola sui dati storici
Ottimizzare le prestazioni di rilevamento e reporting
Informazioni sulle riproduzioni delle regole e sul tempo medio di rilevamento
Informazioni sui ritardi nel rilevamento delle regole
Gestire la pianificazione di esecuzione delle regole
Configurare pianificazioni personalizzate per le regole
Informazioni sulla pianificazione dell'esecuzione delle regole
Creare analisi sensibili al contesto
Panoramica dell'analisi sensibile al contesto
Utilizzare i dati di Cloud Sensitive Data Protection nell'analisi sensibile al contesto
Utilizzare i dati arricchiti dal contesto nelle regole
Utilizzare le regole di rilevamento predefinite
Analisi del rischio
Guida rapida di Analisi del rischio
Panoramica di Analisi del rischio
Utilizzare la dashboard Analisi del rischio
Funzioni metriche per le regole di Analisi del rischio
Specificare il punteggio di rischio dell'entità nelle regole
Domande frequenti sulle watchlist
Domande frequenti su Analisi del rischio
Utilizzare i rilevamenti predefiniti
Utilizzare i rilevamenti predefiniti per identificare le minacce
Utilizzare le regole di rilevamento selezionate per gli avvisi dei fornitori di terze parti
Utilizzare l'interfaccia utente dei rilevamenti predefiniti
Panoramica della categoria Minacce cloud
Panoramica della categoria Regole composite
Panoramica della categoria Minacce di corrispondenza IoC non prioritarie
Panoramica della categoria Minacce di Chrome Enterprise
Panoramica della categoria Minacce di Linux
Panoramica della categoria Minacce di macOS
Panoramica della categoria Regole di ricerca di Mandiant
Panoramica della categoria Analisi del rischio per UEBA
Panoramica della categoria Minacce di Windows
Panoramica dei rilevamenti predefiniti di Applied Threat Intelligence
Verificare importazione dati utilizzando le regole di test
Configurare le esclusioni delle regole
Gestire gli avvisi rumorosi
Configurare la soppressione degli avvisi
Gestire l'esclusione delle regole utilizzando l'API
Applied Threat Intelligence
Panoramica di Applied Threat Intelligence
Prioritizzazione di Applied Threat Intelligence
Visualizzare gli IoC utilizzando Applied Threat Intelligence
Panoramica del feed di fusione di Applied Threat Intelligence
Visualizzazione dei dettagli di Emerging Threats Center
Rispondere alle domande di Threat Intelligence con Gemini
Riassunti della documentazione di Gemini
Utilizzare l'agente di triage e indagine per esaminare gli avvisi
Dashboard dell'agente di triage e indagine
YARA-L 2.0
Sintassi
Espressioni, operatori e altre costruzioni
Utilizzare la sintassi OR nella sezione delle condizioni
Utilizzare la sintassi N OF con le variabili degli eventi
Sintassi dell'elenco di riferimento
Campionamento degli eventi di rilevamento
Logica di finestra di YARA-L 2.0
Funzioni
Eseguire query ed esaminare
Utilizzare le condizioni nella Ricerca e nelle dashboard
Creare e salvare le visualizzazioni nella Ricerca
Utilizzare le metriche nella Ricerca
Utilizzare la deduplicazione nella Ricerca e nelle dashboard
Sviluppare regole di rilevamento
Utilizzare i dati arricchiti dal contesto nelle regole
Panoramica dell'analisi sensibile al contesto
Specificare il punteggio di rischio dell'entità nelle regole
Utilizzare le funzioni metriche per le regole di Analisi del rischio
Panoramica del feed di fusione di Applied Threat Intelligence
Panoramica dei rilevamenti compositi
Costruire regole di rilevamento composite
Struttura delle regole e best practice
Gestire e risolvere i problemi
Eseguire una regola sui dati storici
Configurare le esclusioni delle regole
Visualizzare e risolvere i problemi relativi agli errori delle regole
Riferimento: librerie di query e transizioni
Libreria di riferimento delle query YARA-L 2.0
Libreria di query delle dashboard YARA-L 2.0
Eseguire la transizione da SPL a YARA-L 2.0
Generare query di ricerca con Gemini
Generare una regola YARA-L 2.0 utilizzando Gemini
Esaminare le minacce
Visualizza avvisi
Esaminare gli avvisi e il contesto delle entità
Ricerca di dati
Utilizzare i campi arricchiti dal contesto nella ricerca UDM
Utilizzare la ricerca UDM per esaminare un'entità
Esaminare i rilevamenti nella Ricerca
Utilizzare l'intervallo di tempo della ricerca UDM e gestire le query
Utilizzare le condizioni nella ricerca e nelle dashboard
Utilizzare la deduplicazione nella ricerca e nelle dashboard
Metriche nella ricerca UDM utilizzando YARA-L 2.0
Utilizzare i join nella Ricerca
Statistiche e aggregazioni di YARA-L 2.0
Utilizzare le aggregazioni nelle query YARA-L 2.0
Generare query di ricerca UDM con Gemini
Best practice per la ricerca UDM
Eseguire una ricerca nei log non elaborati
Cercare i log non elaborati utilizzando Raw Log Scan (Scansione log non elaborati)
Filtrare i dati nella ricerca nei log non elaborati
Creare un elenco di riferimento
Utilizzare le visualizzazioni di indagine
Utilizzare le visualizzazioni di indagine
Utilizzare gli spazi dei nomi degli asset
Visualizzazione delle informazioni di VirusTotal
Filtrare i dati nelle visualizzazioni di indagine
Panoramica di Procedural Filtering (Filtraggio procedurale)
Filtraggio dei dati nella visualizzazione User (Utente)
Filtraggio dei dati nella visualizzazione Asset (Asset)
Filtraggio dei dati nella visualizzazione Domain (Dominio)
Filtraggio dei dati nella visualizzazione IP Address (Indirizzo IP)
Filtraggio dei dati nella visualizzazione Hash (Hash)
Reporting
Utilizzare i dati arricchiti dal contesto nei report
Utilizzare le dashboard personalizzate
Creare una dashboard personalizzata
Aggiungere un grafico a una dashboard
Condividere una dashboard personale
Pianificare i report delle dashboard
Importare ed esportare le dashboard di Google SecOps
Utilizzare le dashboard
Gestire i grafici nelle dashboard native
Configurare i report pianificati
Esportazione dei dati
Esportare in un progetto BigQuery gestito da Google (legacy)
Esportare in un progetto BigQuery autogestito
Trasmettere i dati in streaming con BigQuery Export avanzato
Informazioni sullo schema dei dati di BigQuery
Esportare i log non elaborati nel bucket di archiviazione autogestito Google Cloud
Amministrazione
Chiudere gli avvisi in blocco utilizzando l'API.
Amministrare gli utenti
Configurare il controllo dell'accesso alle funzionalità utilizzando IAM
Configurare i Controlli di servizio VPC
Configurare i Controlli di servizio VPC per Google SecOps
Configurare il controllo dell'accesso ai dati
Impatto di RBAC dei dati sulle funzionalità
Configurare RBAC dei dati per gli utenti
Configurare RBAC dei dati per le tabelle di dati
Configurare RBAC dei dati per gli elenchi di riferimento
Configurare i feed di dati
Guida dell'utente per la gestione dei feed
Guida dell'utente per l'interfaccia a riga di comando
Google Analytics in Google SecOps
Esegui deprovisioning
Deprovisioning self-service per Google SecOps