Sumário do SIEM

Clique em SIEM na parte de cima de cada documento do SIEM para voltar a este sumário.

Google SecOps SIEM

Visão geral do produto

Faça login no Google SecOps

Guia de início rápido: fazer uma pesquisa

Guia de início rápido: investigar um alerta

Configurar preferências do usuário (somente SIEM)

Integração ao Google SecOps

Visão geral do processo

Entenda os componentes de faturamento do Google SecOps

Configurar Google Cloud projeto para o Google SecOps

Configurar um provedor de identidade

Configurar um Google Cloud provedor de identidade

Configurar um provedor de identidade de terceiros

Configurar o controle de acesso a recursos usando o IAM

Configurar o RBAC de dados usando o IAM

Guia do usuário do RBAC para aplicativos que não usam o IAM

Permissões do Google SecOps no IAM

Vincular o Google SecOps aos serviços do Google Cloud

Ingerir dados

Ingerir dados de entidade

Visão geral da ingestão de dados

Conjuntos de dados e analisadores padrão compatíveis

Ingerir dados no Google SecOps

Ingerir registros de origens específicas

Instalar e configurar encaminhadores

Visão geral dos encaminhadores do Google SecOps

Encaminhador do Google SecOps para Linux

Encaminhador do Google SecOps para Windows no Docker

Executável do encaminhador do Google SecOps para Windows

Gerenciar configurações de encaminhador pelo Google SecOps

Resolver problemas comuns de encaminhador do Linux

Configurar feeds de dados

Visão geral do gerenciamento de feeds

Criar e gerenciar feeds usando a interface de gerenciamento de feeds

Criar um feed de Hubs de Eventos do Azure

Criar e gerenciar feeds usando a API de gerenciamento de feeds

Usar scripts de ingestão implantados como Cloud Functions

Usar a API Ingestion

API DataTap Configuration

Usar o agente do Bindplane

API de Gerenciamento de Clientes

API de Exportação de dados

API de Exportação de dados (Aprimorada)

Monitorar a ingestão de dados

Usar o painel de ingestão de dados e integridade

Usar o Cloud Monitoring para notificações de ingestão

Ver o volume de ingestão faturado

Trabalhar com analisadores do Google SecOps

Visão geral da análise de registros

Visão geral do modelo de dados unificado

Gerenciar analisadores pré-criados e personalizados

Solicitar tipos de registros pré-criados e criar personalizados

Extensões de analisadores

Exemplos de extensões de analisadores

Campos importantes da UDM para mapeamento de dados do analisador

Dicas e solução de problemas ao escrever analisadores

Formatar dados de registro como UDM

Aprimoramento

Visão geral do enriquecimento e do aliasing da UDM

Aliasing

Aprimoramento

Como o Google SecOps enriquece os dados de eventos e entidades

Bloquear o enriquecimento de fluxos específicos

Como usar o gráfico de contexto de entidade (ECG)

Visão geral da extração automática

Detecção de ameaças

Ver alertas e IOCs

Analise possíveis ameaças à segurança

Regras de evento único

Várias regras de evento

Visão geral das detecções compostas

Monitorar eventos usando regras

Ver as regras no painel

Resolver erros de tempo de execução de regras

Entender as cotas de regras

Entender as cotas de regras

Alertas com base em risco usando regras somente de entidade

Entenda a cobertura de ameaças com a matriz MITRE ATT&CK

Ver as versões anteriores de uma regra

Regras de arquivamento

Eventos de download

Executar uma regra com base em dados ativos

Executar uma regra com base nos dados históricos

Entenda as repetições de regras e o MTTD

Entenda os atrasos na detecção de regras

Definir a frequência de execução

Limites de detecção

Erros de regra

Criar análises baseadas no contexto

Visão geral da análise baseada no contexto

Usar dados da Proteção de Dados Sensíveis do Cloud em análises contextuais

Usar dados enriquecidos com contexto em regras

Usar regras de detecção padrão

Análise de dados de risco

Guia de início rápido da análise de risco

Visão geral da análise de risco

Usar o painel de análise de risco

Funções de métrica para regras da Análise de risco

Guia de início rápido da lista de observação

Especificar a pontuação de risco da entidade nas regras

Perguntas frequentes sobre as listas de observação

Perguntas frequentes sobre a análise de risco

Trabalhar com detecções especializadas

Usar detecções especializadas para identificar ameaças

Usar regras de detecção selecionadas para alertas de fornecedores terceirizados

Usar a interface de detecções especializadas

Visão geral da categoria "Ameaças na nuvem"

Visão geral da categoria "Regras compostas"

Visão geral da categoria "Ameaças do Chrome Enterprise"

Visão geral da categoria "Ameaças do Linux"

Visão geral da categoria "Ameaças do macOS"

Visão geral da análise de risco para a categoria UEBA

Visão geral da categoria "Ameaças do Windows"

Visão geral das detecções selecionadas da Inteligência contra ameaças aplicada

Verificar a ingestão de dados usando regras de teste

Configurar exclusões de regras

Capacidade de regras

Gerenciar alertas ruidosos

Configurar a supressão de alertas

Gerenciar exclusão de regra usando a API

Aplicação de Inteligência contra ameaças

Visão geral da Inteligência aplicada contra ameaças

Priorização da inteligência aplicada contra ameaças

Visão geral das ameaças emergentes

Ver IOCs usando a inteligência de ameaças aplicada

Feed de ameaças emergentes

Visão geral da pontuação do IC

Visualização detalhada de ameaças emergentes

Visão geral do feed de fusão de inteligência de ameaças aplicada

Responder a perguntas de inteligência contra ameaças com o Gemini

Resumos da documentação do Gemini

Usar o agente de triagem para investigar alertas

YARA-L 2.0

Começar a usar: YARA-L 2.0 na SecOps

Sintaxe

Seção de metadados

Seção "Eventos"

Seção de correspondência

Seção "Resultado"

Seção "Condições"

Seção "Opções"

Expressões, operadores e outras construções

Instruções if aninhadas

Usar a sintaxe OR na seção de condição

Usar a sintaxe N OF com variáveis de evento

Campos repetidos

Sintaxe da lista de referência

Amostragem de eventos de detecção

Funções

Função para atribuição de marcador de posição

Funções para painéis

Consultar e investigar

Estatísticas e agregações

Usar condições na Pesquisa e nos painéis

Criar e salvar visualizações na Pesquisa

Usar métricas na Pesquisa

Usar a eliminação de duplicação na Pesquisa e nos Painéis

Criar consultas de vários estágios

Desenvolver regras de detecção

Usar dados enriquecidos com contexto em regras

Visão geral da análise baseada no contexto

Especificar a pontuação de risco da entidade nas regras

Usar funções de métrica para regras do Risk Analytics

Visão geral do feed de fusão de inteligência de ameaças aplicada

Visão geral das detecções compostas

Criar regras de detecção compostas

Estrutura e práticas recomendadas das regras da YARA-L 2.0

Gerenciar e resolver problemas

Executar uma regra com base nos dados históricos

Configurar exclusões de regras

Ver e resolver problemas com erros de regra

Limitações e problemas conhecidos do YARA-L 2.0

Referência: exemplos e transições

Exemplos: consultas YARA-L 2.0

Exemplos de consultas YARA-L 2.0 para painéis

Transição da SPL para a YARA-L 2.0

Gerar consultas de pesquisa com o Gemini

Gerar uma regra YARA-L 2.0 usando o Gemini

Investigação de ameaças

Mostrar alertas

Visão geral

Investigar um alerta

Investigar um alerta da GCTI

Como pesquisar dados

Pesquisar evento do UDM

Usar campos enriquecidos com contexto na pesquisa da UDM

Usar a pesquisa do UDM para investigar uma entidade

Usar o período da pesquisa UDM e gerenciar consultas

Usar condições em pesquisas e painéis

Usar a deduplicação na pesquisa e nos painéis

Métricas na pesquisa da UDM usando YARA-L 2.0

Usar junções na Pesquisa

Estatísticas e agregações usando YARA-L 2.0

Gerar consultas de pesquisa da UDM com o Gemini

Práticas recomendadas de pesquisa da UDM

Fazer uma pesquisa de registros brutos

Pesquisar registros brutos usando a verificação de registros brutos

Filtrar dados na pesquisa de registros brutos

Criar uma lista de referências

Como usar visualizações de investigação

Usar visualizações de investigação

Investigar um recurso

Trabalhar com namespaces de recursos

Investigar um domínio

Investigar um endereço IP

Investigar um usuário

Investigar um arquivo

Ver informações do VirusTotal

Filtrar dados em visualizações de investigação

Visão geral da filtragem processual

Filtrar dados na visualização de usuários

Filtrar dados na visualização de recursos

Filtrar dados na visualização de domínios

Filtrar dados na visualização de endereço IP

Filtrar dados na visualização de hash

Relatórios

Usar dados enriquecidos com contexto em relatórios

Visão geral dos painéis

Trabalhar com painéis personalizados

Criar um painel personalizado

Adicionar um gráfico a um painel

Compartilhar um painel pessoal

Programar relatórios do painel

Importar e exportar painéis do Google SecOps

Trabalhar com painéis nativos

Painéis nativos

Painéis selecionados

Gerenciar painéis nativos

Gerenciar gráficos em painéis nativos

Filtros nativos do painel

Visualizações na pesquisa

Exportação de dados

Exportar para um projeto do BigQuery gerenciado pelo Google (legado)

Exportar para um projeto autogerenciado do BigQuery

Fazer streaming de dados com a exportação avançada do BigQuery

Entender o esquema de dados do BigQuery

Exportar registros brutos para um bucket de armazenamento Google Cloud autogerenciado

Administração

Administrar usuários

Configurar o controle de acesso a recursos usando o IAM

Configurar o controle de acesso aos dados

Visão geral do RBAC de dados

Impacto do RBAC de dados nos recursos

Configurar o RBAC de dados para usuários

Configurar o RBAC de dados para tabelas de dados

Configurar o RBAC de dados para listas de referência

Configurar feeds de dados

Guia do usuário do gerenciamento de feeds

Guia do usuário da CLI

Configurar registros de auditoria

Retenção de dados

Google Analytics no Google SecOps

Desprovisionar

Desprovisionamento de autoatendimento para o Google SecOps