SIEM-Inhaltsverzeichnis

Klicken Sie oben in jedem SIEM-Dokument auf SIEM, um zu diesem Inhaltsverzeichnis zurückzukehren.

Google SecOps SIEM

Produktübersicht

In Google SecOps anmelden

Kurzanleitung: Suche ausführen

Kurzanleitung: Benachrichtigung prüfen

Nutzereinstellungen konfigurieren (nur SIEM)

Onboarding für Google SecOps

Vorgehensweise

Projekt für Google SecOps konfigurieren Google Cloud

Identitätsanbieter konfigurieren

Google Cloud -Identitätsanbieter konfigurieren

Externen Identitätsanbieter konfigurieren

Funktionszugriffssteuerung mit IAM konfigurieren

RBAC für Daten mit IAM konfigurieren

RBAC-Leitfaden für Anwendungen, die IAM nicht verwenden

Google SecOps-Berechtigungen in IAM

Google SecOps mit Google Cloud -Diensten verknüpfen

Daten aufnehmen

Entitätsdaten aufnehmen

Übersicht über die Datenerfassung

Unterstützte Datensätze und Standardparser

Daten in Google SecOps aufnehmen

Logs aus bestimmten Quellen aufnehmen

Forwarder installieren und konfigurieren

Übersicht über Google SecOps-Forwarder

Google SecOps-Forwarder für Linux

Google SecOps-Forwarder für Windows auf Docker

Ausführbare Google SecOps-Weiterleitung für Windows

Forwarder-Konfigurationen über Google SecOps verwalten

Häufige Probleme mit Linux-Forwardern beheben

Datenfeeds einrichten

Feedverwaltung – Übersicht

Feeds über die Benutzeroberfläche für die Feedverwaltung erstellen und verwalten

Azure Event Hub-Feed erstellen

Feeds mit der Feed Management API erstellen und verwalten

Als Cloud Functions bereitgestellte Aufnahmeskripts verwenden

Ingestion API verwenden

DataTap Configuration API

Bindplane-Agent verwenden

Customer Management API

Data Export API

Data Export API (Enhanced)

Datenaufnahme überwachen

Dashboard „Datenaufnahme und ‑status“ verwenden

Cloud Monitoring für Benachrichtigungen zur Aufnahme verwenden

Mit Google SecOps-Parsern arbeiten

Übersicht über das Parsen von Logs

Übersicht über das zentrale Datenmodell

Vorgefertigte und benutzerdefinierte Parser verwalten

Vorgefertigte Logtypen anfordern und benutzerdefinierte Logtypen erstellen

Parser-Erweiterungen

Beispiele für Parser-Erweiterungen

Wichtige UDM-Felder für die Datenzuordnung des Parsers

Tipps und Fehlerbehebung beim Schreiben von Parsern

Logdaten als UDM formatieren

Übersicht über Aliasing und UDM-Anreicherung in Google Security Operations

So reichert Google SecOps Ereignis- und Entitätsdaten an

Übersicht über die automatische Extraktion

Bedrohungen erkennen

Benachrichtigungen und IOCs aufrufen

Potenzielle Sicherheitsbedrohungen prüfen

Regeln für einzelne Ereignisse

Mehrere Ereignisregeln

Zusammengesetzte Erkennungen

Ereignisse mithilfe von Regeln überwachen

Regeln im Dashboard für Regeln ansehen

Regeln mit dem Regeleditor verwalten

Risikobasierte Benachrichtigungen mit Regeln, die nur Entitäten betreffen

Bedrohungsabdeckung mit der MITRE ATT&CK-Matrix nachvollziehen

Vorherige Versionen einer Regel ansehen

Regeln archivieren

Ereignisse herunterladen

Regel mit Live-Daten ausführen

Regel mit Verlaufsdaten ausführen

Regelwiederholungen und MTTD

Verzögerungen bei der Erkennung von Regeln

Ausführungshäufigkeit festlegen

Erkennungsgrenzen

Regelfehler

Kontextsensitive Analysen erstellen

Kontextsensitiver Zugriff – Übersicht

Cloud Sensitive Data Protection-Daten in kontextbezogenen Analysen verwenden

Kontextbezogene Daten in Regeln verwenden

Standarderkennungsregeln verwenden

Risikoanalysen

Kurzanleitung für Risk Analytics

Übersicht über Risikoanalysen

Dashboard „Risikoanalyse“ verwenden

Messwertfunktionen für Risk Analytics-Regeln

Kurzanleitung für die Beobachtungsliste

Risikobewertung für Entitäten in Regeln angeben

Häufig gestellte Fragen zu Merklisten

Häufig gestellte Fragen zu Risikoanalysen

Mit abgestimmten Erkennungsmechanismen arbeiten

Kuratierte Erkennungen zum Identifizieren von Bedrohungen verwenden

Kuratierte Erkennungsregeln für Benachrichtigungen von Drittanbietern verwenden

Benutzeroberfläche für kuratierte Erkennungen verwenden

Übersicht über die Kategorie „Cloud-Bedrohungen“

Übersicht über die Kategorie „Zusammengesetzte Regeln“

Übersicht über die Kategorie „Chrome Enterprise-Bedrohungen“

Übersicht über die Kategorie „Linux-Bedrohungen“

Übersicht über die Kategorie „macOS-Bedrohungen“

Übersicht über Risikoanalysen für die UEBA-Kategorie

Übersicht über die Kategorie „Windows-Bedrohungen“

Übersicht über die abgestimmten Erkennungsmechanismen von Applied Threat Intelligence

Datenaufnahme mit Testregeln überprüfen

Regelausschlüsse konfigurieren

Regelkapazität

Angewandte Bedrohungsinformationen

Angewandte Bedrohungsinformationen – Übersicht

Priorisierung angewandter Bedrohungsinformationen

Emerging Threats – Übersicht

IOCs mit Applied Threat Intelligence ansehen

Feed „Neue Bedrohungen“

IC-Bewertung – Übersicht

Detailansicht für neue Bedrohungen

Übersicht über den Applied Threat Intelligence Fusion-Feed

Fragen zu Threat Intelligence mit Gemini beantworten

Zusammenfassungen der Gemini-Dokumentation

Triage Agent zum Untersuchen von Benachrichtigungen verwenden

Informationen zur YARA-L-Sprache

YARA-L 2.0 – Sprachübersicht

YARA-L 2.0-Sprachsyntax

Best Practices für YARA-L

Mit Gemini eine YARA-L-Regel generieren

Referenzliste erstellen

Datentabellen verwenden

Zeitstempeldefinitionen

Bedrohungen untersuchen

Benachrichtigungen ansehen

Übersicht

Benachrichtigung untersuchen

GCTI-Benachrichtigung prüfen

Daten suchen

Nach UDM-Ereignis suchen

Kontextbezogene Felder in der UDM-Suche verwenden

UDM Search verwenden, um eine Entität zu untersuchen

UDM Search-Zeitbereich verwenden und Abfragen verwalten

Bedingungen in der Suche und in Dashboards verwenden

Deduplizierung in der Suche und in Dashboards verwenden

Messwerte in der UDM-Suche mit YARA-L 2.0

Joins in der Suche verwenden

Statistiken und Aggregationen mit YARA-L 2.0

UDM-Suchanfragen mit Gemini generieren

Best Practices für die UDM-Suche

Unformatierte Logs durchsuchen

Rohlogs mit dem Tool „Standard-Logscan“ durchsuchen

Daten in der Rohlog-Suche filtern

Referenzliste erstellen

Untersuchungsansichten verwenden

Untersuchungsansichten verwenden

Asset untersuchen

Mit Asset-Namespaces arbeiten

Domain prüfen

IP-Adresse untersuchen

Nutzer untersuchen

Datei untersuchen

Informationen von VirusTotal ansehen

Daten in Untersuchungsansichten filtern

Übersicht über prozedurales Filtern

Daten in der Nutzeransicht filtern

Daten in der Assetansicht filtern

Daten in der Domainansicht filtern

Daten in der IP-Adressansicht filtern

Daten in der Hash-Ansicht filtern

Berichte

Kontextbezogene Daten in Berichten verwenden

Dashboards – Übersicht

Mit benutzerdefinierten Dashboards arbeiten

Benutzerdefiniertes Dashboard erstellen

Diagramm zu einem Dashboard hinzufügen

Persönliches Dashboard freigeben

Dashboard-Berichte planen

Google SecOps-Dashboards importieren und exportieren

Mit nativen Dashboards arbeiten

Native Dashboards

Vorgefertigte Dashboards

Native Dashboards verwalten

Diagramme in nativen Dashboards verwalten

Native Dashboard-Filter

Visualisierungen in der Suche

Datenexport

In ein von Google verwaltetes BigQuery-Projekt exportieren (Legacy)

In ein selbst verwaltetes BigQuery-Projekt exportieren

Daten mit dem erweiterten BigQuery-Export streamen

BigQuery-Datenschema verstehen

Rohlogs in einen selbstverwalteten Google Cloud Storage-Bucket exportieren

Verwaltung

Nutzer verwalten

Funktionszugriffssteuerung mit IAM konfigurieren

Datenzugriffssteuerung konfigurieren

Übersicht über die rollenbasierte Zugriffssteuerung für Daten

Auswirkungen von RBAC auf Funktionen

Daten-RBAC für Nutzer konfigurieren

Rollenbasierte Zugriffssteuerung für Datentabellen konfigurieren

Daten-RBAC für Referenzlisten konfigurieren

Datenfeeds einrichten

Nutzerhandbuch für die Feedverwaltung

CLI-Nutzerhandbuch

Audit-Logs konfigurieren

Datenaufbewahrung

Google Analytics in Google SecOps