Sumário do SIEM
Clique em
na parte de cima de cada documento do SIEM para voltar a este sumário.
Google SecOps SIEM
Guia de início rápido: fazer uma pesquisa
Guia de início rápido: investigar um alerta
Configurar preferências do usuário (somente SIEM)
Integração ao Google SecOps
Entenda os componentes de faturamento do Google SecOps
Configurar Google Cloud projeto para o Google SecOps
Configurar um provedor de identidade
Configurar um Google Cloud provedor de identidade
Configurar um provedor de identidade terceirizado
Configurar o controle de acesso a recursos usando o IAM
Configurar o RBAC de dados usando o IAM
Guia do usuário do RBAC para aplicativos que não usam o IAM
Permissões do Google SecOps no IAM
Vincular o Google SecOps aos serviços do Google Cloud
Ingerir dados
Visão geral da ingestão de dados
Conjuntos de dados e analisadores padrão compatíveis
Ingerir dados no Google SecOps
Ingerir registros de origens específicas
Instalar e configurar encaminhadores
Visão geral dos encaminhadores do Google SecOps
Encaminhador do Google SecOps para Linux
Encaminhador do Google SecOps para Windows no Docker
Executável do encaminhador do Google SecOps para Windows
Gerenciar configurações de encaminhador pelo Google SecOps
Resolver problemas comuns do encaminhador do Linux
Configurar feeds de dados
Visão geral do gerenciamento de feeds
Criar e gerenciar feeds usando a interface de gerenciamento de feeds
Criar um feed de Hubs de Eventos do Azure
Criar e gerenciar feeds usando a API de gerenciamento de feeds
Usar scripts de ingestão implantados como Cloud Functions
API de Gerenciamento de Clientes
API de Exportação de dados (Enhanced)
Monitorar a ingestão de dados
Usar o painel de ingestão de dados e integridade
Usar o Cloud Monitoring para notificações de ingestão
Ver o volume de ingestão faturado
Trabalhar com analisadores do Google SecOps
Visão geral da análise de registros
Visão geral do modelo de dados unificado
Gerenciar analisadores pré-criados e personalizados
Solicitar tipos de registros pré-criados e criar personalizados
Exemplos de extensões de analisadores
Campos importantes da UDM para mapeamento de dados do analisador
Dicas e solução de problemas ao escrever analisadores
Formatar dados de registro como UDM
Aprimoramento
Visão geral do enriquecimento e do aliasing da UDM
Como o Google SecOps enriquece os dados de eventos e entidades
Bloquear o enriquecimento de fluxos específicos
Como usar o gráfico de contexto da entidade (ECG)
Visão geral da extração automática
Detecção de ameaças
Analise possíveis ameaças à segurança
Detecções compostas
Visão geral das detecções compostas
Monitorar eventos usando regras
Resolver erros de tempo de execução de regras
Alertas com base em risco usando regras somente de entidade
Entenda a cobertura de ameaças com a matriz MITRE ATT&CK
Ver as versões anteriores de uma regra
Executar uma regra com base em dados ativos
Executar uma regra com base nos dados históricos
Otimizar a performance de detecção e geração de relatórios
Entenda as repetições de regras e o MTTD
Entenda os atrasos na detecção de regras
Gerenciar sua programação de execução de regras
Configurar programações personalizadas para regras
Entender o agendamento de execução de regras
Criar análises baseadas no contexto
Visão geral da análise baseada no contexto
Usar dados da Proteção de Dados Sensíveis do Cloud em análises contextuais
Usar dados enriquecidos com contexto em regras
Usar regras de detecção padrão
Análise de dados de risco
Guia de início rápido da análise de risco
Visão geral da análise de risco
Usar o painel de análise de risco
Funções de métrica para regras da Análise de risco
Guia de início rápido da lista de observação
Especificar a pontuação de risco da entidade nas regras
Perguntas frequentes sobre as listas de observação
Perguntas frequentes sobre a análise de risco
Trabalhar com detecções especializadas
Usar detecções especializadas para identificar ameaças
Usar regras de detecção selecionadas para alertas de fornecedores terceirizados
Usar a interface de detecções especializadas
Visão geral da categoria de ameaças na nuvem
Visão geral da categoria de regras compostas
Visão geral da categoria de ameaças de correspondência de IoC não priorizadas
Visão geral da categoria de ameaças do Chrome Enterprise
Visão geral da categoria de ameaças do Linux
Visão geral da categoria de ameaças do macOS
Visão geral da categoria de regras de verificação da Mandiant
Visão geral da categoria de análise de risco para UEBA
Visão geral da categoria "Ameaças do Windows"
Visão geral das detecções especializadas da Inteligência aplicada contra ameaças
Verificar a ingestão de dados usando regras de teste
Configurar exclusões de regras
Gerenciar alertas ruidosos
Configurar a supressão de alertas
Gerenciar a exclusão de regras usando a API
Aplicação de Inteligência contra ameaças
Visão geral da Inteligência aplicada contra ameaças
Priorização da inteligência aplicada contra ameaças
Ver IOCs usando a inteligência de ameaças aplicada
Visão geral da pontuação do IC
Visão geral do feed de fusão de inteligência de ameaças aplicada
Visualização detalhada da Central de ameaças emergentes
Responder a perguntas de inteligência contra ameaças com o Gemini
Resumos da documentação do Gemini
Usar o agente de triagem e investigação (TIN) para investigar alertas
Monitorar a performance do agente de triagem e investigação (TIN) com painéis
YARA-L 2.0
Sintaxe
Expressões, operadores e outras construções
Usar a sintaxe OR na seção de condição
Usar a sintaxe N OF com variáveis de evento
Sintaxe da lista de referência
Amostragem de eventos de detecção
Lógica de janela do YARA-L 2.0
Funções
Consultar e investigar
Usar condições na Pesquisa e nos painéis
Criar e salvar visualizações na Pesquisa
Usar a eliminação de duplicação na Pesquisa e nos painéis
Criar consultas de vários estágios
Desenvolver regras de detecção
Usar dados enriquecidos com contexto em regras
Visão geral da análise baseada no contexto
Especificar a pontuação de risco da entidade nas regras
Usar funções de métrica para regras do Risk Analytics
Visão geral do feed de fusão de inteligência de ameaças aplicada
Visão geral das detecções compostas
Criar regras de detecção compostas
Estrutura de regras e práticas recomendadas
Gerenciar e resolver problemas
Executar uma regra com base nos dados históricos
Configurar exclusões de regras
Ver e resolver problemas com erros de regras
Limitações e problemas conhecidos
Referência: bibliotecas de consultas e transições
Biblioteca de referência de consultas YARA-L 2.0
Biblioteca de consultas do painel YARA-L 2.0
Transição da SPL para a YARA-L 2.0
Gerar consultas de pesquisa com o Gemini
Gerar uma regra YARA-L 2.0 usando o Gemini
Investigação de ameaças
Mostrar alertas
Investigar alertas e contexto da entidade
Como pesquisar dados
Usar campos enriquecidos com contexto na pesquisa da UDM
Usar a pesquisa do UDM para investigar uma entidade
Usar o período da pesquisa UDM e gerenciar consultas
Usar condições em pesquisas e painéis
Usar a deduplicação na pesquisa e nos painéis
Métricas na pesquisa da UDM usando YARA-L 2.0
Estatísticas e agregações do YARA-L 2.0
Usar agregações em consultas YARA-L 2.0
Gerar consultas de pesquisa da UDM com o Gemini
Práticas recomendadas de pesquisa da UDM
Fazer uma pesquisa de registros brutos
Pesquisar registros brutos usando a verificação de registro bruto
Filtrar dados na pesquisa de registros brutos
Criar uma lista de referências
Como usar visualizações de investigação
Usar visualizações de investigação
Trabalhar com namespaces de recursos
Filtrar dados em visualizações de investigação
Visão geral da filtragem processual
Filtrar dados na visualização de usuários
Filtrar dados na visualização de recursos
Filtrar dados na visualização de domínios
Filtrar dados na visualização de endereço IP
Filtrar dados na visualização de hash
Relatórios
Usar dados enriquecidos com contexto em relatórios
Trabalhar com painéis personalizados
Adicionar um gráfico a um painel
Compartilhar um painel pessoal
Programar relatórios do painel
Importar e exportar painéis do Google SecOps
Trabalhar com painéis
Gerenciar gráficos em painéis nativos
Configurar relatórios programados
Exportação de dados
Exportar para um projeto do BigQuery gerenciado pelo Google (legado)
Exportar para um projeto autogerenciado do BigQuery
Fazer streaming de dados com a exportação avançada do BigQuery Export
Entender o esquema de dados do BigQuery
Exportar registros brutos para um bucket do Google Cloud Storage autogerenciado
Administração
Fechar alertas em massa usando a API.
Administrar usuários
Configurar o controle de acesso a recursos usando o IAM
Configurar o VPC Service Controls
Configurar o VPC Service Controls para o Google SecOps
Configurar o controle de acesso aos dados
Impacto do RBAC de dados nos recursos
Configurar o RBAC de dados para usuários
Configurar o RBAC de dados para tabelas de dados
Configurar o RBAC de dados para listas de referência
Configurar feeds de dados
Guia do usuário do gerenciamento de feeds
Configurar registros de auditoria
Google Analytics no Google SecOps
Desprovisionar
Desprovisionamento de autoatendimento para o Google SecOps