SIEM-Inhaltsverzeichnis

Klicken Sie oben in jedem SIEM-Dokument auf , um zu diesem Inhaltsverzeichnis zurückzukehren.

Google SecOps SIEM

Produktübersicht

In Google SecOps anmelden

Kurzanleitung: Suche ausführen

Kurzanleitung: Benachrichtigung prüfen

Nutzereinstellungen konfigurieren (nur SIEM)

Onboarding für Google SecOps

Vorgehensweise

Google SecOps-Abrechnungskomponenten

Projekt für Google SecOps konfigurieren Google Cloud

Identitätsanbieter konfigurieren

Google Cloud -Identitätsanbieter konfigurieren

Externen Identitätsanbieter konfigurieren

Zugriffssteuerung für Funktionen mit IAM konfigurieren

RBAC für Daten mit IAM konfigurieren

RBAC-Leitfaden für Anwendungen, die IAM nicht verwenden

Google SecOps-Berechtigungen in IAM

Google SecOps mit Google Cloud -Diensten verknüpfen

Daten aufnehmen

Entitätsdaten aufnehmen

Übersicht über die Datenaufnahme

Unterstützte Datensätze und Standardparser

Daten in Google SecOps aufnehmen

Logs aus bestimmten Quellen aufnehmen

Bedrohungen erkennen

Benachrichtigungen und IOCs aufrufen

Potenzielle Sicherheitsbedrohungen prüfen

Regeln für einzelne Ereignisse

Mehrere Ereignisregeln

Zusammengesetzte Erkennungen

Übersicht über zusammengesetzte Erkennungen

Ereignisse mithilfe von Regeln überwachen

Regeln im Dashboard für Regeln ansehen

Einheitliche Regeln verwalten

Regelwirksamkeit und ‑effizienz analysieren

Kontingente für Regeln

Laufzeitfehler bei Regeln beheben

Risikobasierte Benachrichtigungen mit Regeln, die nur Entitäten betreffen

Bedrohungsabdeckung mit der MITRE ATT&CK-Matrix nachvollziehen

Vorherige Versionen einer Regel ansehen

Regeln archivieren

Ereignisse herunterladen

Regel mit Live-Daten ausführen

Regel mit Verlaufsdaten ausführen

Leistung von Erkennung und Berichterstellung optimieren

Regelwiederholungen und MTTD

Verzögerungen bei der Erkennung von Regeln

Zeitplan für die Ausführung von Regeln verwalten

Benutzerdefinierte Zeitpläne für Regeln konfigurieren

Planung von Regelausführungen

Erkennungslimits

Regelfehler

Kontextsensitive Analysen erstellen

Übersicht über kontextsensitive Analysen

Cloud Sensitive Data Protection-Daten in kontextbezogenen Analysen verwenden

Kontextbezogene Daten in Regeln verwenden

Standardmäßige Erkennungsregeln verwenden

Risikoanalysen

Kurzanleitung für Risk Analytics

Übersicht über Risikoanalysen

Dashboard „Risikoanalyse“ verwenden

Messwertfunktionen für Risk Analytics-Regeln

Kurzanleitung für die Beobachtungsliste

Risikobewertung für Entitäten in Regeln angeben

Häufig gestellte Fragen zu Merklisten

Häufig gestellte Fragen zu Risikoanalysen

Mit ausgewählten Erkennungen arbeiten

Ausgewählte Erkennungen zum Identifizieren von Bedrohungen verwenden

Kuratierte Erkennungsregeln für Benachrichtigungen von Drittanbietern verwenden

Benutzeroberfläche für ausgewählte Erkennungen verwenden

Übersicht über die Kategorie „Cloud-Bedrohungen“

Übersicht über die Kategorie „Zusammengesetzte Regeln“

Übersicht über die Kategorie „Bedrohungen durch nicht priorisierten IoC-Abgleich“

Übersicht über die Kategorie „Chrome Enterprise-Bedrohungen“

Übersicht über die Kategorie „Linux-Bedrohungen“

Übersicht über die Kategorie „macOS Threats“

Übersicht über die Kategorie „Mandiant Hunting Rules“

Risikoanalyse für UEBA – Kategorieübersicht

Übersicht über die Kategorie „Windows-Bedrohungen“

Übersicht über ausgewählte Erkennungen für Applied Threat Intelligence

Datenaufnahme mit Testregeln überprüfen

Regelausschlüsse konfigurieren

Regelkapazität

Laute Benachrichtigungen verwalten

Benachrichtigungen unterdrücken

Regelausschlüsse über die API verwalten

Angewandte Bedrohungsinformationen

Angewandte Bedrohungsinformationen – Übersicht

Priorisierung angewandter Bedrohungsinformationen

IOCs mit Applied Threat Intelligence ansehen

IC-Bewertung – Übersicht

Übersicht über den Applied Threat Intelligence Fusion-Feed

Emerging Threats Center

Detailansicht des Emerging Threats Center

Fragen zu Threat Intelligence mit Gemini beantworten

Zusammenfassungen der Gemini-Dokumentation

Mit dem Agent für Priorisierung und Untersuchung Benachrichtigungen untersuchen

Dashboard des Agents für Priorisierung und Untersuchung

YARA-L 2.0

Jetzt starten

Syntax

Meta-Bereich

Bereich „Ereignisse“

Abschnitt „Übereinstimmung“

Abschnitt „Ergebnis“

Abschnitt „Bedingungen“

Bereich „Optionen“

Ausdrücke, Operatoren und andere Konstrukte

Verschachtelte IF-Anweisungen

OR-Syntax im Bedingungsabschnitt verwenden

N OF-Syntax mit Ereignisvariablen verwenden

Wiederkehrende Felder

Syntax für Referenzliste

Sampling von Erkennungsereignissen

YARA-L 2.0-Fensterlogik

Funktionen

Funktionen für Dashboards

Abfragen und untersuchen

Statistiken und Aggregationen

Bedingungen in der Suche und in Dashboards verwenden

Visualisierungen in der Google Suche erstellen und speichern

Messwerte in der Suche verwenden

Deduplizierung in Search und Dashboards verwenden

Mehrstufige Abfragen erstellen

Erkennungsregeln entwickeln

Kontextbezogene Daten in Regeln verwenden

Kontextsensitiver Zugriff – Übersicht

Risikobewertung für Entitäten in Regeln angeben

Messwertfunktionen für Risk Analytics-Regeln verwenden

Übersicht über den Applied Threat Intelligence Fusion-Feed

Zusammengesetzte Erkennungen – Übersicht

Zusammengesetzte Erkennungsregeln erstellen

Regelstruktur und Best Practices

Verwalten und Fehler beheben

Regel mit Verlaufsdaten ausführen

Regelausschlüsse konfigurieren

Regelfehler ansehen und beheben

Bekannte Probleme und Beschränkungen

Referenz: Abfragebibliotheken und Übergänge

YARA-L 2.0-Abfrage-Referenzbibliothek

YARA-L 2.0-Dashboard-Abfragebibliothek

Umstellung von SPL auf YARA-L 2.0

Suchanfragen mit Gemini generieren

Mit Gemini eine YARA-L 2.0-Regel generieren

Bedrohungen untersuchen

Benachrichtigungen ansehen

Übersicht

Benachrichtigungen verwalten

GCTI-Benachrichtigung prüfen

Warnungen und Entitätskontext untersuchen

Daten suchen

Nach UDM-Ereignis suchen

Kontextbezogene Felder in der UDM-Suche verwenden

UDM Search verwenden, um eine Entität zu untersuchen

UDM-Suchzeitraum verwenden und Abfragen verwalten

Bedingungen in der Suche und in Dashboards verwenden

Deduplizierung in der Suche und in Dashboards verwenden

Messwerte in UDM-Suchvorgängen mit YARA-L 2.0

Joins in der Suche verwenden

YARA-L 2.0-Statistiken und ‑Aggregationen

Aggregationen in YARA-L 2.0-Abfragen verwenden

UDM-Suchanfragen mit Gemini generieren

Best Practices für die UDM-Suche

Unformatierte Logs durchsuchen

Rohlogs mit der Rohlogsuche durchsuchen

Daten in der Rohlog-Suche filtern

Referenzliste erstellen

Untersuchungsansichten verwenden

Asset untersuchen

Mit Asset-Namespaces arbeiten

Domain prüfen

IP-Adresse untersuchen

Nutzer untersuchen

Datei untersuchen

Informationen von VirusTotal ansehen

Daten in Untersuchungsansichten filtern

Übersicht über prozedurales Filtern

Daten in der Nutzeransicht filtern

Daten in der Assetansicht filtern

Daten in der Domainansicht filtern

Daten in der IP-Adressansicht filtern

Daten in der Hash-Ansicht filtern

Berichte

Kontextbezogene Daten in Berichten verwenden

Dashboards – Übersicht

Mit benutzerdefinierten Dashboards arbeiten

Benutzerdefiniertes Dashboard erstellen

Diagramm zu einem Dashboard hinzufügen

Persönliches Dashboard freigeben

Dashboard-Berichte planen

Google SecOps-Dashboards importieren und exportieren

Mit Dashboards arbeiten

Dashboards – Übersicht

Kuratierte Dashboards

Native Dashboards verwalten

Diagramme in nativen Dashboards verwalten

Native Dashboard-Filter

Visualisierungen in der Suche

Geplante Berichte konfigurieren

Datenexport

In ein von Google verwaltetes BigQuery-Projekt exportieren (Legacy)

In ein selbstverwaltetes BigQuery-Projekt exportieren

Daten mit dem erweiterten BigQuery-Export streamen

BigQuery-Datenschema verstehen

Rohlogs in einen selbstverwalteten Google Cloud Storage-Bucket exportieren

Verwaltung

Benachrichtigungen mithilfe der API im Bulk schließen

Nutzer verwalten

Zugriffssteuerung für Funktionen mit IAM konfigurieren

VPC Service Controls konfigurieren

VPC Service Controls für Google SecOps konfigurieren

Datenzugriffssteuerung konfigurieren

Übersicht über die rollenbasierte Zugriffssteuerung für Daten

Auswirkungen von RBAC auf Funktionen

Daten-RBAC für Nutzer konfigurieren

Rollenbasierte Zugriffssteuerung für Datentabellen konfigurieren

Daten-RBAC für Referenzlisten konfigurieren

Datenfeeds einrichten

Nutzerhandbuch zur Feedverwaltung

CLI-Nutzerhandbuch

Audit-Logs konfigurieren

Datenaufbewahrung

Google Analytics in Google SecOps

Bereitstellung aufheben

Self-Service-Aufhebung der Bereitstellung für Google SecOps

SIEM-Inhaltsverzeichnis

Google SecOps SIEM

Onboarding für Google SecOps

Identitätsanbieter konfigurieren

Daten aufnehmen

Daten in Google SecOps aufnehmen

Forwarder installieren und konfigurieren

Datenfeeds einrichten

Datenaufnahme überwachen

Mit Google SecOps-Parsern arbeiten

Anreichern

Bedrohungen erkennen

Zusammengesetzte Erkennungen

Ereignisse mithilfe von Regeln überwachen

Kontextsensitive Analysen erstellen

Risikoanalysen

Mit ausgewählten Erkennungen arbeiten

Laute Benachrichtigungen verwalten

Angewandte Bedrohungsinformationen

YARA-L 2.0

Syntax

Funktionen

Abfragen und untersuchen

Erkennungsregeln entwickeln

Verwalten und Fehler beheben

Referenz: Abfragebibliotheken und Übergänge

Bedrohungen untersuchen

Benachrichtigungen ansehen

Daten suchen

Untersuchungsansichten verwenden

Daten in Untersuchungsansichten filtern

Berichte

Mit benutzerdefinierten Dashboards arbeiten

Mit Dashboards arbeiten

Datenexport

Verwaltung

Nutzer verwalten

VPC Service Controls konfigurieren

Datenzugriffssteuerung konfigurieren

Datenfeeds einrichten

Bereitstellung aufheben