Table des matières du SIEM

Cliquez siem en haut de chaque document SIEM pour revenir à cette table des matières.

Google SecOps SIEM

Présentation du produit

Se connecter à Google SecOps

Guide de démarrage rapide : effectuer une recherche

Guide de démarrage rapide : examiner une alerte

Configurer les préférences utilisateur (SIEM uniquement)

Intégration à Google SecOps

Présentation de la procédure

Comprendre les composants de facturation de Google SecOps

Configurer Google Cloud un projet pour Google SecOps

Configurer un fournisseur d'identité

Configurer un Google Cloud fournisseur d'identité

Configurer un fournisseur d'identité tiers

Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM

Configurer le RBAC des données à l'aide d'IAM

Guide de l'utilisateur sur le RBAC pour les applications n'utilisant pas IAM

Autorisations Google SecOps dans IAM

Associer Google SecOps à des Google Cloud services

Ingérer des données

Ingérer des données d'entité

Présentation de l'ingestion de données

Ensembles de données compatibles et analyseurs par défaut

Ingérer des données dans Google SecOps

Ingérer des journaux à partir de sources spécifiques

Installer et configurer des redirecteurs

Présentation des redirecteurs Google SecOps

Redirecteur Google SecOps pour Linux

Redirecteur Google SecOps pour Windows sur Docker

Exécutable du redirecteur Google SecOps pour Windows

Gérer les configurations de redirecteur via Google SecOps

Résoudre les problèmes courants liés aux redirecteurs Linux

Configurer des flux de données

Présentation de la gestion des flux

Créer et gérer des flux à l'aide de l'interface utilisateur de gestion des flux

Créer un flux Azure Event Hub

Créer et gérer des flux à l'aide de l'API de gestion des flux

Utiliser des scripts d'ingestion déployés en tant que Cloud Functions

Utiliser l'API d'ingestion

API de configuration DataTap

Utiliser l'agent Bindplane

API Management des clients

API Data Export

API Data Export (améliorée)

Surveiller l'ingestion de données

Utiliser le tableau de bord "Data Ingestion and Health" (Ingestion et état des données)

Utiliser Cloud Monitoring pour les notifications d'ingestion

Afficher le volume d'ingestion facturé

Utiliser les analyseurs Google SecOps

Présentation de l'analyse des journaux

Présentation du modèle de données unifié

Gérer les analyseurs prédéfinis et personnalisés

Demander des types de journaux prédéfinis et créer des types de journaux personnalisés

Extensions d'analyseur

Exemples d'extensions d'analyseur

Champs UDM importants pour le mappage des données d'analyseur

Conseils et dépannage lors de l'écriture d'analyseurs

Mettre en forme les données de journal sous forme d'UDM

Enrichissement

Présentation de l'enrichissement et de l'alias UDM

Alias

Enrichissement

Comment Google SecOps enrichit les données d'événements et d'entités

Bloquer l'enrichissement à partir de flux spécifiques

Utiliser le graphique de contexte d'entité (ECG)

Présentation de l'extraction automatique

Détecter les menaces

Afficher les alertes et les indicateurs de compromission associés

Examiner les potentielles menaces de sécurité

Règles d'événement unique

Règles d'événements multiples

Détections composites

Présentation des détections composites

Surveiller des événements à l'aide de règles

Afficher les règles dans le tableau de bord des règles

Gérer les règles unifiées

Analyser l'efficacité et l'efficience des règles

Comprendre les quotas de règles

Résoudre les erreurs d'exécution des règles

Alertes basées sur les risques avec des règles d'entité uniquement

Comprendre la couverture des menaces avec la matrice MITRE ATT&CK

Afficher les versions précédentes d'une règle

Règles d'archivage

Télécharger des événements

Exécuter une règle par rapport aux données en direct

Exécuter une règle par rapport aux données historiques

Optimiser les performances de détection et de création de rapports

Comprendre les relectures de règles et le délai moyen de détection

Comprendre les délais de détection des règles

Gérer la planification de l'exécution des règles

Configurer des planifications personnalisées pour les règles

Comprendre la planification de l'exécution des règles

Limites de détection

Erreurs de règle

Créer des analyses contextuelles

Présentation des analyses contextuelles

Utiliser les données Cloud Sensitive Data Protection dans les analyses contextuelles

Utiliser des données enrichies par le contexte dans les règles

Utiliser les règles de détection par défaut

Analyse des risques

Guide de démarrage rapide de l'analyse des risques

Présentation de l'analyse des risques

Utiliser le tableau de bord d'analyse des risques

Fonctions de métriques pour les règles d'analyse des risques

Guide de démarrage rapide des listes de surveillance

Spécifier le score de risque d'une entité dans les règles

Questions fréquentes sur les listes de surveillance

Questions fréquentes sur l'analyse des risques

Utiliser les détections optimisées

Utiliser les détections optimisées pour identifier les menaces

Utiliser des règles de détection optimisées pour les alertes de fournisseurs tiers

Utiliser l'interface utilisateur des détections optimisées

Présentation de la catégorie "Cloud Threats" (Menaces cloud)

Présentation de la catégorie "Composite Rules" (Règles composites)

Présentation de la catégorie "Non-prioritized IoC Matching threats" (Menaces de correspondance d'indicateurs de compromission non prioritaires)

Présentation de la catégorie "Chrome Enterprise Threats" (Menaces Chrome Enterprise)

Présentation de la catégorie "Linux Threats" (Menaces Linux)

Présentation de la catégorie "macOS Threats" (Menaces macOS)

Présentation de la catégorie "Mandiant Hunting Rules" (Règles de recherche Mandiant)

Présentation de la catégorie "Risk Analytics for UEBA" (Analyse des risques pour UEBA)

Présentation de la catégorie "Windows Threats" (Menaces Windows)

Présentation des détections optimisées de renseignements sur les menaces appliqués

Vérifier l'ingestion de données à l'aide de règles de test

Configurer les exclusions de règles

Capacité des règles

Gérer les alertes bruyantes

Configurer la suppression des alertes

Gérer l'exclusion de règles à l'aide de l'API

Renseignements sur les menaces appliqués

Présentation des renseignements sur les menaces appliqués

Priorisation des renseignements sur les menaces appliqués

Afficher les indicateurs de compromission à l'aide des renseignements sur les menaces appliqués

Présentation du score IC

Présentation du flux de fusion des renseignements sur les menaces appliqués

Centre des menaces émergentes

Vue détaillée du centre des menaces émergentes

Répondre aux questions sur les renseignements sur les menaces avec Gemini

Résumés de la documentation Gemini

Utiliser l'agent de tri et d'investigation pour examiner les alertes

Tableau de bord de l'agent de tri et d'investigation

YARA-L 2.0

Commencer

Syntaxe

Section "Meta"

Section "Events"

Section "Match"

Section "Outcome"

Section "Conditions"

Section "Options"

Expressions, opérateurs et autres constructions

Instructions "if" imbriquées

Utiliser la syntaxe "OR" dans la section "Condition"

Utiliser la syntaxe "N OF" avec des variables d'événement

Champs répétés

Syntaxe de la liste de référence

Échantillonnage des événements de détection

Logique de fenêtrage YARA-L 2.0

Fonctions

Fonctions pour les tableaux de bord

Requêtes et investigations

Statistiques et agrégations

Utiliser des conditions dans la recherche et les tableaux de bord

Créer et enregistrer des visualisations dans la recherche

Utiliser des métriques dans la recherche

Utiliser la déduplication dans la recherche et les tableaux de bord

Créer des requêtes en plusieurs étapes

Développer des règles de détection

Utiliser des données enrichies par le contexte dans les règles

Présentation de l'analyse contextuelle

Spécifier le score de risque d'une entité dans les règles

Utiliser des fonctions de métriques pour les règles d'analyse des risques

Présentation du flux de fusion des renseignements sur les menaces appliqués

Présentation des détections composites

Construire des règles de détection composites

Structure des règles et bonnes pratiques

Gestion et dépannage

Exécuter une règle par rapport aux données historiques

Configurer les exclusions de règles

Afficher et résoudre les erreurs de règle

Limites et problèmes connus

Référence : bibliothèques de requêtes et transitions

Bibliothèque de référence des requêtes YARA-L 2.0

Bibliothèque de requêtes de tableau de bord YARA-L 2.0

Passer de SPL à YARA-L 2.0

Générer des requêtes de recherche avec Gemini

Générer une règle YARA-L 2.0 à l'aide de Gemini

Examiner les menaces

Afficher les alertes

Présentation

Gérer les alertes

Examiner une alerte GCTI

Examiner les alertes et le contexte des entités

Rechercher des données

Rechercher un événement UDM

Utiliser des champs enrichis par le contexte dans la recherche UDM

Utiliser la recherche UDM pour examiner une entité

Utiliser la plage temporelle de la recherche UDM et gérer les requêtes

Utiliser des conditions dans la recherche et les tableaux de bord

Utiliser la déduplication dans la recherche et les tableaux de bord

Métriques dans la recherche UDM à l'aide de YARA-L 2.0

Utiliser des jointures dans la recherche

Statistiques et agrégations YARA-L 2.0

Utiliser des agrégations dans les requêtes YARA-L 2.0

Générer des requêtes de recherche UDM avec Gemini

Bonnes pratiques pour la recherche UDM

Effectuer une recherche dans les journaux bruts

Rechercher des journaux bruts à l'aide de l'analyse des journaux bruts

Filtrer les données dans la recherche de journaux bruts

Créer une liste de référence

Utiliser les vues d'investigation

Utiliser les vues d'investigation

Examiner un élément

Utiliser les espaces de noms des éléments

Examiner un domaine

Examiner une adresse IP

Examiner un utilisateur

Examiner un fichier

Afficher les informations depuis VirusTotal

Filtrer les données dans les vues d'investigation

Présentation du filtrage procédural

Filtrer les données dans la vue Utilisateur

Filtrer les données dans la vue Éléments

Filtrer les données dans la vue Domaine

Filtrer les données dans la vue Adresse IP

Filtrer les données dans la vue Hachage

Création de rapports

Utiliser des données enrichies par le contexte dans les rapports

Présentation des tableaux de bord

Utiliser des tableaux de bord personnalisés

Créer un tableau de bord personnalisé

Ajouter un graphique à un tableau de bord

Partager un tableau de bord personnel

Planifier des rapports de tableau de bord

Importer et exporter des tableaux de bord Google SecOps

Utiliser les tableaux de bord

Présentation des tableaux de bord

Tableaux de bord optimisés

Gérer les tableaux de bord natifs

Gérer les graphiques dans les tableaux de bord natifs

Filtres des tableaux de bord natifs

Visualisations dans la recherche

Configurer des rapports planifiés

Exportation de données

Exporter vers un projet BigQuery géré par Google (hérité)

Exporter vers un projet BigQuery autogéré

Diffuser des données avec BigQuery Export avancé

Comprendre le schéma de données BigQuery

Exporter des journaux bruts vers un bucket de stockage autogéré Google Cloud

Administration

Fermer les alertes en bloc à l'aide de l'API

Administrer les utilisateurs

Configurer le contrôle des accès aux fonctionnalités à l'aide d'IAM

Configurer VPC Service Controls

Configurer VPC Service Controls pour Google SecOps

Configurer le contrôle des accès aux données

Présentation du RBAC des données

Impact du RBAC des données sur les fonctionnalités

Configurer le RBAC des données pour les utilisateurs

Configurer le RBAC des données pour les tables de données

Configurer le RBAC des données pour les listes de référence

Configurer des flux de données

Guide de l'utilisateur pour la gestion des flux

Guide de l'utilisateur pour la CLI

Configurer les journaux d'audit

Conservation des données

Google Analytics dans Google SecOps

Déprovisionner

Déprovisionnement en libre-service pour Google SecOps