SIEM の目次

各 SIEM ドキュメントの上部にある をクリックすると、この目次に戻ります。

Google SecOps SIEM

プロダクトの概要

Google SecOps にログインする

クイックスタート: 検索を実行する

クイックスタート: アラートを調査する

ユーザー設定を行う（SIEM のみ）

Google SecOps へのオンボーディング

手順の概要

Google SecOps の課金コンポーネントについて

Google SecOps 用にプロジェクトを構成する Google Cloud

Google SecOps インスタンスを BYOP プロジェクトに移行する

ID プロバイダを構成する

Google Cloud ID プロバイダを構成する

サードパーティの ID プロバイダを構成する

IAM を使用して機能アクセス制御を構成する

IAM を使用してデータ RBAC を構成する

IAM を使用しないアプリケーションの RBAC ユーザーガイド

IAM での Google SecOps 権限

Google SecOps を Google Cloud サービスにリンクする

データを取り込む

エンティティ データを取り込む

データの取り込みの概要

サポートされるデータセットとデフォルト パーサー

Google SecOps にデータを取り込む

特定のソースからログを取り込む

フォワーダーをインストールして構成する

Google SecOps フォワーダーの概要

Linux 用 Google SecOps フォワーダー

Docker 上の Windows 用 Google SecOps フォワーダー

Windows 用 Google SecOps フォワーダーの実行可能ファイル

Google SecOps でフォワーダーの構成を管理する

Linux フォワーダーの一般的な問題のトラブルシューティング

データフィードを設定する

フィード管理の概要

フィード管理 UI を使用してフィードを作成および管理する

Azure Event Hub フィードを作成する

フィード管理 API を使用してフィードを作成および管理する

Cloud Functions としてデプロイされた取り込みスクリプトを使用する

Ingestion API を使用する

DataTap Configuration API

Bindplane エージェントを使用する

Customer Management API

Data Export API

Data Export API（拡張版）

データの取り込みをモニタリングする

[Data Ingestion and Health] ダッシュボードを使用する

取り込み通知に Cloud Monitoring を使用する

課金対象の取り込み量を確認する

Google SecOps パーサーを操作する

ログ解析の概要

統合データモデルの概要

事前構築済みパーサーとカスタム パーサーを管理する

事前構築済みのログタイプをリクエストしてカスタム ログタイプを作成する

パーサー拡張機能

パーサー拡張機能の例

パーサー データ マッピング用の重要な UDM フィールド

パーサー作成時のヒントとトラブルシューティング

ログデータを UDM としてフォーマットする

拡充

UDM の拡充とエイリアスの概要

エイリアス

拡充

Google SecOps でイベントとエンティティ データを拡充する方法

特定のフローからの拡充をブロックする

エンティティ コンテキスト グラフ（ECG）を使用する

自動抽出の概要

脅威を検出する

アラートと IOC を表示する

潜在的なセキュリティ脅威を確認する

単一イベントのルール

マルチイベントのルール

複合検出

複合検出の概要

ルールを使用してイベントをモニタリングする

ルール ダッシュボードでルールを表示する

統合ルールの管理

ルールの有効性と効率性を分析する

ルールの割り当てについて

ルールのランタイム エラーのトラブルシューティング

エンティティのみのルールを使用したリスクベースのアラート

MITRE ATT&CK マトリックスで脅威のカバレッジを把握する

ルールの以前のバージョンを表示する

ルールをアーカイブする

イベントをダウンロードする

ライブデータに対するルールを実行する

過去のデータに対してルールを実行する

検出とレポートのパフォーマンスを最適化する

ルールの再生と MTTD について

ルールの検出遅延について

ルール実行スケジュールを管理する

ルールにカスタマイズされたスケジュールを構成する

ルール実行のスケジューリングについて

検出の上限

ルールのエラー

コンテキスト アウェア分析の作成

コンテキスト アウェア分析の概要

コンテキストアウェア分析で Sensitive Data Protection のデータを使用する

ルールでコンテキストが強化されたデータを使用する

デフォルトの検出ルールを使用する

リスク分析

リスク分析クイックスタート ガイド

リスク分析の概要

リスク分析ダッシュボードを使用する

リスク分析ルールの指標関数

ウォッチリスト クイックスタート ガイド

ルールでエンティティ リスクスコアを指定する

ウォッチリストに関するよくある質問

リスク分析に関するよくある質問

キュレーテッド検出を操作する

キュレーテッド検出を使用して脅威を特定する

サードパーティ ベンダーのアラートにキュレーテッド検出ルールを使用する

キュレーテッド検出 UI を使用する

クラウド脅威カテゴリの概要

複合ルール カテゴリの概要

優先度の低い IoC マッチングの脅威カテゴリの概要

Chrome Enterprise の脅威カテゴリの概要

Linux の脅威カテゴリの概要

macOS の脅威カテゴリの概要

Mandiant Hunting Rules カテゴリの概要

UEBA カテゴリのリスク分析の概要

Windows の脅威カテゴリの概要

Applied Threat Intelligence のキュレーテッド検出の概要

テストルールを使用してデータの取り込みを検証する

ルールの除外対象を構成する

ルールの容量

ノイズの多いアラートを管理する

アラートの抑制を構成する

API を使用してルールの除外を管理する

高度な脅威インテリジェンス

Applied Threat Intelligence の概要

Applied Threat Intelligence の優先順位付け

Applied Threat Intelligence を使用して IOC を表示する

IC スコアの概要

Applied Threat Intelligence Fusion フィードの概要

Emerging Threats Center

Emerging Threats Center の詳細ビュー

Gemini で脅威インテリジェンスに関する質問に回答する

Gemini ドキュメントの概要

トリアージと調査のためのエージェントを使用してアラートを調査する

トリアージと調査のためのエージェント ダッシュボード

YARA-L 2.0

使ってみる

構文

メタセクション

イベント セクション

一致セクション

結果セクション

条件セクション

オプション セクション

式、演算子、その他の構成要素

ネストされた if ステートメント

条件セクションで OR 構文を使用する

イベント変数で N OF 構文を使用する

繰り返しフィールド

リファレンス リストの構文

検出イベントのサンプリング

YARA-L 2.0 のウィンドウ処理ロジック

関数

ダッシュボードの関数

クエリと調査

統計と集計

検索とダッシュボードで条件を使用する

検索で可視化を作成して保存する

検索で指標を使用する

検索とダッシュボードで重複排除を使用する

複数ステージのクエリを作成する

検出ルールを作成する

ルールでコンテキストが強化されたデータを使用する

コンテキスト アウェア分析の概要

ルールでエンティティ リスクスコアを指定する

リスク分析ルールの指標関数を使用する

Applied Threat Intelligence Fusion フィードの概要

複合検出の概要

複合検出ルールを作成する

ルールの構造とベスト プラクティス

管理とトラブルシューティング

過去のデータに対してルールを実行する

ルールの除外対象を構成する

ルールのエラーを表示してトラブルシューティングする

既知の問題と制限事項

リファレンス: クエリ ライブラリと移行

YARA-L 2.0 クエリ リファレンス ライブラリ

YARA-L 2.0 ダッシュボード クエリ ライブラリ

SPL から YARA-L 2.0 への移行

Gemini で検索クエリを生成する

Gemini を使用して YARA-L 2.0 ルールを生成する

脅威の調査

アラートを表示

概要

アラートの管理

GCTI アラートを調査する

アラートとエンティティ コンテキストを調査する

データの検索

UDM イベントを検索する

UDM 検索でコンテキスト拡充フィールドを使用する

UDM 検索を使用してエンティティを調査する

UDM 検索の時間範囲を使用してクエリを管理する

検索とダッシュボードで条件を使用する

検索とダッシュボードで重複排除を使用する

YARA-L 2.0 を使用した UDM 検索の指標

検索で結合を使用する

YARA-L 2.0 の統計と集計

YARA-L 2.0 クエリで集計を使用する

Gemini で UDM 検索クエリを生成する

UDM の検索に関するベスト プラクティス

未加工ログの検索を行う

未加工ログスキャンを使用して未加工ログを検索する

未加工ログ検索でデータをフィルタする

リファレンス リストを作成する

調査ビューを使用する

調査ビューを使用する

アセットを調査する

アセットの名前空間を使用する

ドメインを調査する

IP アドレスを調査する

ユーザーを調査する

ファイルを調査する

VirusTotal の情報を表示する

調査ビューでのデータのフィルタ

手続き型フィルタリングの概要

ユーザービューでデータをフィルタする

アセットビューでデータをフィルタする

ドメインビューでデータをフィルタする

IP アドレスビューでデータをフィルタする

ハッシュビューでデータをフィルタする

レポート

レポートでコンテキストが拡充されたデータを使用する

ダッシュボードの概要

カスタム ダッシュボードを操作する

カスタム ダッシュボードを作成する

ダッシュボードにグラフを追加する

個人用ダッシュボードを共有する

ダッシュボード レポートをスケジュール設定する

Google SecOps ダッシュボードをインポートおよびエクスポートする

ダッシュボードを操作する

ダッシュボードの概要

キュレーテッド ダッシュボード

ネイティブ ダッシュボードを管理する

ネイティブ ダッシュボードでグラフを管理する

ネイティブ ダッシュボード フィルタ

検索での可視化

スケジュール レポートを構成する

データのエクスポート

Google マネージド BigQuery プロジェクトにエクスポートする（レガシー）

自己管理型 BigQuery プロジェクトにエクスポートする

高度な BigQuery Export でデータをストリーミングする

BigQuery データスキーマについて

未加工ログを自己管理型 Google Cloud Storage バケットにエクスポートする

管理

API を使用してアラートを一括でクローズする。

ユーザーの管理

IAM を使用して機能アクセス制御を構成する

VPC Service Controls を構成する

Google SecOps 用に VPC Service Controls を構成する

データアクセス制御を構成する

データ RBAC の概要

データ RBAC が機能に与える影響

ユーザー向けにデータの RBAC を構成する

データテーブルのデータ RBAC を構成する

リファレンス リストのデータ RBAC を構成する

データフィードを設定する

フィード管理ユーザーガイド

CLI ユーザーガイド

監査ログの構成

データの保持

Google SecOps の Google アナリティクス

デプロビジョニング

Google SecOps のセルフサービス デプロビジョニング