Sommario di SIEM

Fai clic siem nella parte superiore di ogni documento SIEM per tornare a questo sommario.

Google SecOps SIEM

Panoramica del prodotto

Accedi a Google SecOps

Guida rapida: effettuare una ricerca

Guida rapida: effettuare un'indagine su un avviso

Configurare le preferenze utente (solo SIEM)

Onboarding a Google SecOps

Panoramica del processo

Informazioni sui componenti di fatturazione di Google SecOps

Configurare Google Cloud il progetto per Google SecOps

Eseguire la migrazione di un'istanza Google SecOps a un progetto BYOP

Configurare un provider di identità

Configurare un Google Cloud provider di identità

Configurare un provider di identità di terze parti

Configurare il controllo dell'accesso alle funzionalità utilizzando IAM

Configurare RBAC dei dati utilizzando IAM

Guida dell'utente di RBAC per le applicazioni che non utilizzano IAM

Autorizzazioni di Google SecOps in IAM

Collega Google SecOps ai Google Cloud servizi

Importare i dati

Importare i dati delle entità

Panoramica dell'importazione dei dati

Set di dati supportati e parser predefiniti

Trattamento dati

Gestione della pipeline di dati

Ottimizzare l'importazione di log ad alto volume

Importare i dati in Google SecOps

Importare log da origini specifiche

Installare e configurare i forwarder

Panoramica dei forwarder di Google SecOps

Forwarder di Google SecOps per Linux

Forwarder di Google SecOps per Windows su Docker

File eseguibile del forwarder di Google SecOps per Windows

Gestire le configurazioni dei forwarder tramite Google SecOps

Risolvere i problemi comuni dei forwarder Linux

Configurare i feed di dati

Panoramica della gestione dei feed

Creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed

Creare un feed di Azure Event Hubs

Creare e gestire i feed utilizzando l'API di gestione dei feed

Utilizzare gli script di importazione implementati come funzioni Cloud Functions

Utilizzare l'API Ingestion

API DataTap Configuration

Utilizzare l'agente Bindplane

API Customer Management

API Data Export

API Data Export (Enhanced)

Monitorare importazione dati

Utilizzare la dashboard Integrità e importazione dei dati

Utilizzare Cloud Monitoring per le notifiche di importazione

Visualizzare il volume di importazione fatturato

Utilizzare i parser di Google SecOps

Panoramica dell'analisi dei log

Panoramica del modello UDM (Unified Data Model)

Gestire i parser predefiniti

Configurare i parser personalizzati

Richiedere tipi di log predefiniti e crearne di personalizzati

Estensioni parser

Esempi di estensioni parser

Campi UDM importanti per il mapping dei dati del parser

Suggerimenti e risoluzione dei problemi durante la scrittura dei parser

Formattare i dati di log come UDM

Ignorare la convalida dei log per le estensioni parser e i parser personalizzati

Arricchimento

Panoramica dell'arricchimento e dell'assegnazione di alias UDM

Assegnazione di alias

Arricchimento

In che modo Google SecOps arricchisce i dati di eventi ed entità

Bloccare l'arricchimento da flussi specifici

Utilizzare il grafico del contesto delle entità (ECG)

Panoramica dell'estrazione automatica

Rilevare le minacce

Visualizzare avvisi e indicatori di compromissione

Esaminare le potenziali minacce alla sicurezza

Regole per singoli eventi

Regole per più eventi

Rilevamenti compositi

Panoramica dei rilevamenti compositi

Monitorare gli eventi mediante le regole

Visualizzare le regole in Rules Dashboard (Dashboard regole)

Gestire le regole unificate

Analizzare l'efficacia e l'efficienza delle regole

Informazioni sulle quote delle regole

Risolvere gli errori di runtime delle regole

Avvisi basati sul rischio con regole solo per le entità

Comprendere la copertura delle minacce con la matrice MITRE ATT&CK

Visualizzare le versioni precedenti di una regola

Archiviare le regole

Scaricare gli eventi

Eseguire una regola sui dati in tempo reale

Eseguire una regola sui dati storici

Ottimizzare le prestazioni di rilevamento e reporting

Informazioni sulle riproduzioni delle regole e sul tempo medio di rilevamento

Informazioni sui ritardi nel rilevamento delle regole

Gestire la pianificazione di esecuzione delle regole

Configurare pianificazioni personalizzate per le regole

Informazioni sulla pianificazione dell'esecuzione delle regole

Limiti di rilevamento

Errori delle regole

Creare analisi sensibili al contesto

Panoramica dell'analisi sensibile al contesto

Utilizzare i dati di Cloud Sensitive Data Protection nell'analisi sensibile al contesto

Utilizzare i dati arricchiti dal contesto nelle regole

Utilizzare le regole di rilevamento predefinite

Analisi del rischio

Guida rapida di Analisi del rischio

Panoramica di Analisi del rischio

Utilizzare la dashboard Analisi del rischio

Funzioni metriche per le regole di Analisi del rischio

Guida rapida degli elenchi di controllo

Specificare il punteggio di rischio dell'entità nelle regole

Domande frequenti sugli elenchi di controllo

Domande frequenti su Analisi del rischio

Utilizzare i rilevamenti selezionati

Utilizzare i rilevamenti selezionati per identificare le minacce

Utilizzare le regole di rilevamento selezionate per gli avvisi dei fornitori di terze parti

Utilizzare l'interfaccia utente dei rilevamenti selezionati

Panoramica della categoria Minacce cloud

Panoramica della categoria Regole composite

Panoramica della categoria Minacce di corrispondenza IOC non prioritarie

Panoramica della categoria Minacce di Chrome Enterprise

Panoramica della categoria Minacce di Linux

Panoramica della categoria Minacce di macOS

Panoramica della categoria Regole di ricerca di Mandiant

Panoramica della categoria Analisi del rischio per UEBA

Panoramica della categoria Minacce di Windows

Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Verificare importazione dati utilizzando le regole di test

Configurare le esclusioni delle regole

Capacità delle regole

Gestire gli avvisi rumorosi

Configurare la soppressione degli avvisi

Gestire l'esclusione delle regole utilizzando l'API

Applied Threat Intelligence

Panoramica di Applied Threat Intelligence

Prioritizzazione di Applied Threat Intelligence

Visualizzare gli indicatori di compromissione utilizzando Applied Threat Intelligence

Panoramica del punteggio IC

Panoramica del feed di fusione di Applied Threat Intelligence

Centro minacce emergenti

Visualizzazione dei dettagli del Centro minacce emergenti

Rispondere alle domande di Threat Intelligence con Gemini

Riepiloghi della documentazione di Gemini

Utilizzare l'agente di triage e indagine per esaminare gli avvisi

Dashboard dell'agente di triage e indagine

YARA-L 2.0

Inizia

Sintassi

Sezione Meta

Sezione Eventi

Sezione Corrispondenza

Sezione Risultato

Sezione Condizioni

Sezione Opzioni

Espressioni, operatori e altre costruzioni

Istruzioni if nidificate

Utilizzare la sintassi OR nella sezione delle condizioni

Utilizzare la sintassi N OF con le variabili degli eventi

Campi ripetuti

Sintassi dell'elenco di riferimento

Campionamento degli eventi di rilevamento

Logica di finestra di YARA-L 2.0

Funzioni

Funzioni per le dashboard

Eseguire query ed esaminare

Statistiche e aggregazioni

Utilizzare le condizioni nella Ricerca e nelle dashboard

Creare e salvare le visualizzazioni nella Ricerca

Utilizzare le metriche nella Ricerca

Utilizzare la deduplicazione nella Ricerca e nelle dashboard

Creare query a più fasi

Sviluppare regole di rilevamento

Utilizzare i dati arricchiti dal contesto nelle regole

Panoramica dell'analisi sensibile al contesto

Specificare il punteggio di rischio dell'entità nelle regole

Utilizzare le funzioni metriche per le regole di Analisi del rischio

Panoramica del feed di fusione di Applied Threat Intelligence

Panoramica dei rilevamenti compositi

Costruire regole di rilevamento composite

Struttura delle regole e best practice

Gestire e risolvere i problemi

Eseguire una regola sui dati storici

Configurare le esclusioni delle regole

Visualizzare e risolvere i problemi relativi agli errori delle regole

Problemi noti e limitazioni

Riferimento: librerie di query e transizioni

Libreria di riferimento delle query YARA-L 2.0

Libreria di query delle dashboard YARA-L 2.0

Eseguire la transizione da SPL a YARA-L 2.0

Generare query di ricerca con Gemini

Generare una regola YARA-L 2.0 utilizzando Gemini

Esaminare le minacce

Visualizzare avvisi

Panoramica

Gestire gli avvisi

Indagare su un avviso GCTI

Esaminare gli avvisi e il contesto delle entità

Ricerca di dati

Cercare un evento UDM

Utilizzare i campi arricchiti dal contesto nella ricerca UDM

Utilizzare la ricerca UDM per esaminare un'entità

Esaminare i rilevamenti nella ricerca

Utilizzare l'intervallo di tempo della ricerca UDM e gestire le query

Utilizzare le condizioni nella ricerca e nelle dashboard

Utilizzare la deduplicazione nella ricerca e nelle dashboard

Metriche nella ricerca UDM utilizzando YARA-L 2.0

Utilizzare i join nella Ricerca

Statistiche e aggregazioni di YARA-L 2.0

Utilizzare le aggregazioni nelle query YARA-L 2.0

Generare query di ricerca UDM con Gemini

Best practice per la ricerca UDM

Eseguire una ricerca nei log non elaborati

Cercare i log non elaborati utilizzando Raw Log Scan (Scansione log non elaborati)

Filtrare i dati nella ricerca nei log non elaborati

Creare un elenco di riferimento

Utilizzare le visualizzazioni di indagine

Utilizzare le visualizzazioni di indagine

Indagare su un asset

Utilizzare gli spazi dei nomi degli asset

Indagare su un dominio

Indagare su un indirizzo IP

Indagare su un utente

Indagare su un file

Visualizzare le informazioni di VirusTotal

Filtrare i dati nelle visualizzazioni di indagine

Panoramica di Procedural Filtering (Filtraggio procedurale)

Filtrare i dati nella visualizzazione User (Utente)

Filtrare i dati nella visualizzazione Asset (Asset)

Filtrare i dati nella visualizzazione Domain (Dominio)

Filtrare i dati nella visualizzazione IP Address (Indirizzo IP)

Filtrare i dati nella visualizzazione Hash (Hash)

Reporting

Utilizzare i dati arricchiti dal contesto nei report

Panoramica delle dashboard

Utilizzare le dashboard personalizzate

Creare una dashboard personalizzata

Aggiungere un grafico a una dashboard

Condividere una dashboard personale

Pianificare i report delle dashboard

Importare ed esportare le dashboard di Google SecOps

Utilizzare le dashboard

Panoramica delle dashboard

Dashboard selezionate

Gestire le dashboard native

Gestire i grafici nelle dashboard native

Filtri delle dashboard native

Visualizzazioni nella ricerca

Configurare i report pianificati

Esportazione dei dati

Esportare in un progetto BigQuery gestito da Google (legacy)

Esportare in un progetto BigQuery autogestito

Trasmettere i dati in streaming con BigQuery Export avanzato

Informazioni sullo schema dei dati di BigQuery

Esportare i log non elaborati nel bucket di archiviazione autogestito Google Cloud

Amministrazione

Chiudere gli avvisi in blocco utilizzando l'API.

Amministrare gli utenti

Configurare il controllo dell'accesso alle funzionalità utilizzando IAM

Configurare i Controlli di servizio VPC

Configurare i Controlli di servizio VPC per Google SecOps

Configurare il controllo dell'accesso ai dati

Panoramica di RBAC dei dati

Impatto di RBAC dei dati sulle funzionalità

Configurare RBAC dei dati per gli utenti

Configurare RBAC dei dati per le tabelle di dati

Configurare RBAC dei dati per gli elenchi di riferimento

Configurare i feed di dati

Guida dell'utente per la gestione dei feed

Guida dell'utente per la CLI

Configurare gli audit log

Conservazione dei dati

Google Analytics in Google SecOps

Esegui deprovisioning

Deprovisioning self-service per Google SecOps