SIEM 目錄

按一下各 SIEM 文件頂端的 SIEM,即可返回本目錄。

Google SecOps SIEM

產品總覽

登入 Google SecOps

快速入門導覽課程:執行搜尋

快速入門導覽課程:調查快訊

設定使用者偏好設定 (僅限 SIEM)

啟用 Google SecOps

程序總覽

瞭解 Google SecOps 的帳單組成項目

設定 Google SecOps 專案 Google Cloud

設定識別資訊提供者

設定 Google Cloud 識別資訊提供者

設定第三方識別資訊提供者

使用 IAM 設定功能存取控管機制

使用 IAM 設定資料 RBAC

適用於未使用 IAM 的應用程式的 RBAC 使用手冊

IAM 中的 Google SecOps 權限

將 Google SecOps 連結至 Google Cloud 服務

擷取資料

擷取實體資料

資料擷取總覽

支援的資料集和預設剖析器

將資料擷取至 Google SecOps

擷取特定來源的記錄

安裝及設定轉寄站

Google SecOps 轉送器總覽

適用於 Linux 的 Google SecOps 轉寄站

適用於 Docker 的 Windows 版 Google SecOps 轉送器

Windows 適用的 Google SecOps 轉送器可執行檔

透過 Google SecOps 管理轉送站設定

排解常見的 Linux 轉送器問題

設定資料動態饋給

動態饋給管理總覽

使用動態饋給管理 UI 建立及管理動態饋給

建立 Azure Event Hub 動態饋給

使用動態饋給管理 API 建立及管理動態饋給

使用部署為 Cloud Functions 的擷取指令碼

使用 Ingestion API

DataTap Configuration API

使用 Bindplane 代理程式

客戶管理 API

資料匯出 API

資料匯出 API (進階版)

監控資料擷取作業

使用資料擷取和健康狀態資訊主頁

使用 Cloud Monitoring 接收擷取通知

查看帳單上的擷取量

使用 Google SecOps 剖析器

記錄剖析總覽

統一資料模型總覽

管理預先建構和自訂剖析器

要求預先建構的記錄類型,並建立自訂記錄類型

剖析器擴充功能

剖析器擴充功能範例

剖析器資料對應的重要 UDM 欄位

撰寫剖析器時的提示和疑難排解

將記錄資料格式化為 UDM

擴充

UDM 擴充和別名總覽

別名

內容豐富度

Google SecOps 如何擴充事件和實體資料

封鎖特定流程的擴充功能

使用實體脈絡圖 (ECG)

自動擷取總覽

偵測威脅

查看快訊和 IOC

查看潛在安全威脅

單一事件規則

多個事件規則

複合偵測項目總覽

使用規則監控事件

在規則資訊主頁中查看規則

排解規則執行階段錯誤

瞭解規則配額

瞭解規則配額

以實體專屬規則為準的風險警報

使用 MITRE ATT&CK 矩陣瞭解威脅涵蓋範圍

查看舊版規則

封存規則

下載活動

依據即時資料執行規則

依據歷來資料執行規則

瞭解規則重播和 MTTD

瞭解規則偵測延遲

設定執行頻率

偵測限制

規則錯誤

建立情境感知分析

情境感知分析總覽

在情境感知分析中使用 Cloud Sensitive Data Protection 資料

在規則中使用內容豐富的資料

使用預設偵測規則

風險分析

風險分析快速入門指南

風險分析總覽

使用風險分析資訊主頁

風險分析規則的指標函式

觀望清單快速入門指南

在規則中指定實體風險分數

待觀看清單常見問題

風險分析常見問題

使用精選偵測機制

使用收錄的偵測資料找出威脅

使用精選的偵測規則,接收第三方供應商快訊

使用收錄的偵測資料 UI

Cloud Threats 類別總覽

複合規則類別總覽

Chrome Enterprise 威脅類別總覽

Linux 威脅類別總覽

macOS 威脅類別總覽

UEBA 類別的風險分析總覽

Windows 威脅類別總覽

應用威脅情報精選偵測總覽

使用測試規則驗證資料擷取作業

設定規則排除條件

規則容量

管理有聲快訊

設定警報抑制功能

使用 API 管理規則排除條件

應用威脅情報

應用威脅情報總覽

應用威脅情報優先順序

新興威脅總覽

使用應用威脅情報查看 IOC

新興威脅動態消息

IC 分數總覽

新興威脅詳細資料檢視畫面

應用威脅情報融合動態饋給總覽

使用 Gemini 回答有關威脅情報的問題

Gemini 說明文件摘要

使用分類代理程式調查快訊

YARA-L 2.0

開始使用

語法

中繼區段

「事件」專區

「相符」部分

結果部分

「Conditions」區段

「選項」部分

運算式、運算子和其他建構體

巢狀 if 陳述式

在條件部分使用 OR 語法

搭配事件變數使用 N OF 語法

重複欄位

參考清單語法

偵測事件取樣

函式

資訊主頁功能

查詢及調查

統計資料和彙整

在搜尋和資訊主頁中使用條件

在 Google 搜尋中建立及儲存視覺化資料

在搜尋中使用指標

在「搜尋」和「資訊主頁」中使用重複資料刪除功能

建立多階段查詢

開發偵測規則

在規則中使用內容豐富的資料

情境感知分析總覽

在規則中指定實體風險分數

使用風險分析規則的指標函式

應用威脅情報融合動態饋給總覽

複合偵測項目總覽

建構複合式偵測規則

規則結構和最佳做法

管理及解決相關問題

依據歷來資料執行規則

設定規則排除條件

查看及排解規則錯誤

已知問題和限制

參考資料:範例和轉場效果

範例:YARA-L 2.0 查詢

適用於資訊主頁的 YARA-L 2.0 查詢範例

從 SPL 轉換到 YARA-L 2.0

使用 Gemini 生成搜尋查詢

使用 Gemini 生成 YARA-L 2.0 規則

調查威脅

查看警告

總覽

調查快訊

調查 GCTI 快訊

搜尋資料

搜尋 UDM 事件

在 UDM 搜尋中使用內容豐富的欄位

使用 UDM 搜尋功能調查實體

使用 UDM 搜尋時間範圍及管理查詢

在搜尋和資訊主頁中使用條件

在搜尋和資訊主頁中使用重複資料刪除功能

使用 YARA-L 2.0 在 UDM 搜尋中加入指標

在搜尋中使用彙整

YARA-L 2.0 統計資料和匯總

使用 Gemini 生成 UDM 搜尋查詢

UDM 搜尋最佳做法

執行原始記錄搜尋

使用原始記錄檔掃描功能搜尋原始記錄檔

在原始記錄檔搜尋中篩選資料

建立參考清單

使用調查檢視畫面

使用調查檢視畫面

調查資產

使用資產命名空間

調查網域

調查 IP 位址

調查使用者

調查檔案

查看 VirusTotal 的資訊

在調查檢視畫面中篩選資料

程序篩選總覽

在使用者檢視畫面中篩選資料

在資產檢視畫面中篩選資料

在網域檢視畫面中篩選資料

在 IP 位址檢視畫面中篩選資料

在雜湊檢視畫面中篩選資料

報表

在報表中使用內容豐富的資料

資訊主頁總覽

使用自訂資訊主頁

建立自訂資訊主頁

在資訊主頁中新增圖表

分享個人資訊主頁

排定資訊主頁報表

匯入及匯出 Google SecOps 資訊主頁

使用原生資訊主頁

原生資訊主頁

精選資訊主頁

管理原生資訊主頁

在原生資訊主頁中管理圖表

原生資訊主頁篩選器

搜尋結果中的圖表

資料匯出

匯出至 Google 管理的 BigQuery 專案 (舊版)

匯出至自行管理的 BigQuery 專案

使用進階 BigQuery Export 串流資料

瞭解 BigQuery 資料結構定義

將原始記錄匯出至自行管理的 Google Cloud 儲存空間值區

管理

管理使用者

使用 IAM 設定功能存取控管機制

設定資料存取權控管

資料 RBAC 總覽

資料 RBAC 對功能的影響

為使用者設定資料 RBAC

設定資料表的資料 RBAC

設定參照清單的資料 RBAC

設定資料動態饋給

動態饋給管理使用手冊

CLI 使用者指南

設定稽核記錄

資料保留

Google SecOps 中的 Google Analytics

取消佈建

Google SecOps 自助式取消佈建