Sumário do SIEM

Clique em SIEM na parte de cima de cada documento do SIEM para voltar a este sumário.

Google SecOps SIEM

Visão geral do produto

Fazer login no Google SecOps

Guia de início rápido: fazer uma pesquisa

Guia de início rápido: investigar um alerta

Configurar preferências do usuário (somente SIEM)

Integração ao Google SecOps

Visão geral do processo

Entender os componentes de faturamento do Google SecOps

Configurar Google Cloud o projeto para o Google SecOps

Migrar uma instância do Google SecOps para um projeto BYOP

Configurar um provedor de identidade

Configurar um Google Cloud provedor de identidade

Configurar um provedor de identidade de terceiros

Configurar o controle de acesso a recursos usando o IAM

Configurar o RBAC de dados usando o IAM

Guia do usuário do RBAC para aplicativos que não usam o IAM

Permissões do Google SecOps no IAM

Vincular o Google SecOps aos Google Cloud serviços

Ingerir dados

Ingerir dados de entidades

Visão geral da ingestão de dados

Conjuntos de dados compatíveis e analisadores padrão

Processamento de dados

Gerenciamento de pipeline de dados

Otimizar a ingestão de registros de alto volume

Ingerir dados no Google SecOps

Ingerir registros de origens específicas

Instalar e configurar encaminhadores

Visão geral dos encaminhadores do Google SecOps

Encaminhador do Google SecOps para Linux

Encaminhador do Google SecOps para Windows no Docker

Executável do encaminhador do Google SecOps para Windows

Gerenciar configurações de encaminhadores pelo Google SecOps

Resolver problemas comuns de encaminhadores do Linux

Configurar feeds de dados

Visão geral do gerenciamento de feeds

Criar e gerenciar feeds usando a interface de gerenciamento de feeds

Criar um feed do Hub de Eventos do Azure

Criar e gerenciar feeds usando a API de gerenciamento de feeds

Usar scripts de ingestão implantados como Cloud Functions

Usar a API Ingestion

API DataTap Configuration

Usar o agente Bindplane

API Customer Management

API Data Export

API Data Export (aprimorada)

Monitorar a ingestão de dados

Usar o painel de ingestão e integridade de dados

Usar o Cloud Monitoring para notificações de ingestão

Conferir o volume de ingestão faturado

Trabalhar com analisadores do Google SecOps

Visão geral da análise de registros

Visão geral do modelo de dados unificado

Gerenciar analisadores pré-criados

Configurar analisadores personalizados

Solicitar analisadores pré-criados e criar tipos de registro personalizados

Extensões de analisadores

Exemplos de extensões de analisadores

Campos UDM importantes para o mapeamento de dados do analisador

Dicas e solução de problemas ao escrever analisadores

Formatar dados de registro como UDM

Ignorar a validação de registros para extensões de analisadores e analisadores personalizados

Aprimoramento

Visão geral do aprimoramento e do uso de aliases do UDM

Uso de aliases

Aprimoramento

Como o Google SecOps aprimora dados de eventos e entidades

Bloquear o aprimoramento de fluxos específicos

Como usar o gráfico de contexto de entidades (ECG)

Visão geral da extração automática

Detecção de ameaças

Ver alertas e IOCs

Analisar possíveis ameaças à segurança

Regras de evento único

Regras de vários eventos

Detecções compostas

Visão geral das detecções compostas

Monitorar eventos usando regras

Ver as regras no painel

Gerenciar regras unificadas

Analisar a eficácia e a eficiência das regras

Entender as cotas de regras

Resolver erros de execução de regras

Alertas baseados em risco com regras somente de entidades

Entender a cobertura de ameaças com a matriz MITRE ATT&CK

Ver as versões anteriores de uma regra

Arquivar regras

Fazer o download de eventos

Executar uma regra com base em dados ativos

Executar uma regra com base nos dados históricos

Otimizar o desempenho de detecção e relatórios

Entender as repetições de regras e o MTTD

Entender os atrasos na detecção de regras

Gerenciar a programação de execução de regras

Configurar programações personalizadas para regras

Entender a programação de execução de regras

Limites de detecção

Erros de regra

Criar análises baseadas no contexto

Visão geral das análises baseadas no contexto

Usar dados da Proteção de Dados Sensíveis do Cloud em análises baseadas no contexto

Usar dados enriquecidos com contexto em regras

Usar regras de detecção padrão

Análise de dados de risco

Guia de início rápido da Análise de dados de risco

Visão geral da Análise de dados de risco

Usar o painel da Análise de dados de risco

Funções de métricas para regras da Análise de dados de risco

Guia de início rápido da lista de observação

Especificar a pontuação de risco da entidade nas regras

Perguntas frequentes sobre listas de observação

Perguntas frequentes sobre a Análise de dados de risco

Trabalhar com detecções selecionadas

Usar detecções selecionadas para identificar ameaças

Usar regras de detecção selecionadas para alertas de fornecedores terceirizados

Usar a interface de detecções selecionadas

Visão geral da categoria "Ameaças na nuvem"

Visão geral da categoria "Regras compostas"

Visão geral da categoria "Ameaças de correspondência de IOC não priorizadas"

Visão geral da categoria "Ameaças do Chrome Enterprise"

Visão geral da categoria "Ameaças do Linux"

Visão geral da categoria "Ameaças do macOS"

Visão geral da categoria "Regras de busca da Mandiant"

Visão geral da categoria "Análise de dados de risco para UEBA"

Visão geral da categoria "Ameaças do Windows"

Visão geral das detecções selecionadas da inteligência contra ameaças aplicada

Verificar a ingestão de dados usando regras de teste

Configurar exclusões de regras

Capacidade de regras

Gerenciar alertas ruidosos

Configurar a supressão de alertas

Gerenciar a exclusão de regras usando a API

Inteligência contra ameaças aplicada

Visão geral da inteligência contra ameaças aplicada

Priorização da inteligência contra ameaças aplicada

Conferir IOCs usando a inteligência contra ameaças aplicada

Visão geral da pontuação de IC

Visão geral do feed de fusão da inteligência contra ameaças aplicada

Central de ameaças emergentes

Visualização de detalhes da Central de ameaças emergentes

Responder a perguntas sobre inteligência contra ameaças com o Gemini

Resumos da documentação do Gemini

Usar o agente de triagem e investigação para investigar alertas

Painel do agente de triagem e investigação

YARA-L 2.0

Comece agora

Sintaxe

Seção "Meta"

Seção "Eventos"

Seção "Correspondência"

Seção "Resultado"

Seção "Condições"

Seção "Opções"

Expressões, operadores e outras construções

Instruções "if" aninhadas

Usar a sintaxe "OR" na seção de condições

Usar a sintaxe "N OF" com variáveis de evento

Campos repetidos

Sintaxe da lista de referência

Amostragem de eventos de detecção

Lógica de janelas do YARA-L 2.0

Funções

Funções para painéis

Consultar e investigar

Estatísticas e agregações

Usar condições na pesquisa e nos painéis

Criar e salvar visualizações na pesquisa

Usar métricas na pesquisa

Usar a desduplicação na pesquisa e nos painéis

Criar consultas de várias etapas

Desenvolver regras de detecção

Usar dados enriquecidos com contexto em regras

Visão geral da análise baseada no contexto

Especificar a pontuação de risco da entidade nas regras

Usar funções de métricas para regras da Análise de dados de risco

Visão geral do feed de fusão da inteligência contra ameaças aplicada

Visão geral das detecções compostas

Construir regras de detecção compostas

Estrutura de regras e práticas recomendadas

Gerenciar e resolver problemas

Executar uma regra com base nos dados históricos

Configurar exclusões de regras

Conferir e resolver erros de regras

Limitações e problemas conhecidos

Referência: bibliotecas de consultas e transições

Biblioteca de referência de consultas do YARA-L 2.0

Biblioteca de consultas de painéis do YARA-L 2.0

Transição do SPL para o YARA-L 2.0

Gerar consultas de pesquisa com o Gemini

Gerar uma regra YARA-L 2.0 usando o Gemini

Investigação de ameaças

Mostrar alertas

Visão geral

Gerenciar alertas

Investigar um alerta da GCTI

Investigar alertas e contexto de entidades

Como pesquisar dados

Pesquisar eventos UDM

Usar campos enriquecidos com contexto na pesquisa UDM

Usar a pesquisa UDM para investigar uma entidade

Investigar detecções na pesquisa

Usar o período da pesquisa UDM e gerenciar consultas

Usar condições na pesquisa e nos painéis

Usar a desduplicação na pesquisa e nos painéis

Métricas na pesquisa UDM usando o YARA-L 2.0

Usar junções na pesquisa

Estatísticas e agregações do YARA-L 2.0

Usar agregações em consultas YARA-L 2.0

Gerar consultas de pesquisa UDM com o Gemini

Práticas recomendadas de pesquisa UDM

Fazer uma pesquisa de registro bruto

Pesquisar registros brutos usando a verificação de registros brutos

Filtrar dados na pesquisa de registros brutos

Criar uma lista de referência

Como usar visualizações investigativas

Usar visualizações investigativas

Investigar um recurso

Trabalhar com namespaces de recursos

Investigar um domínio

Investigar um endereço IP

Investigar um usuário

Investigar um arquivo

Ver informações do VirusTotal

Filtrar dados em visualizações investigativas

Visão geral da filtragem processual

Filtrar dados na visualização de usuários

Filtrar dados na visualização de recursos

Filtrar dados na visualização de domínios

Filtrar dados na visualização de endereço IP

Filtrar dados na visualização de hash

Relatórios

Usar dados enriquecidos com contexto em relatórios

Visão geral dos painéis

Trabalhar com painéis personalizados

Criar um painel personalizado

Adicionar um gráfico a um painel

Compartilhar um painel pessoal

Programar relatórios de painéis

Importar e exportar painéis do Google SecOps

Trabalhar com painéis

Visão geral dos painéis

Painéis selecionados

Gerenciar painéis nativos

Gerenciar gráficos em painéis nativos

Filtros de painéis nativos

Visualizações na pesquisa

Configurar relatórios programados

Exportação de dados

Exportar para um projeto do BigQuery gerenciado pelo Google (legado)

Exportar para um projeto do BigQuery autogerenciado

Transmitir dados com o BigQuery Export avançado

Entender o esquema de dados do BigQuery

Exportar registros brutos para um bucket doStorage autogerenciado Google Cloud

Administração

Fechar alertas em massa usando a API.

Administrar usuários

Configurar o controle de acesso a recursos usando o IAM

Configurar o VPC Service Controls

Configurar o VPC Service Controls para o Google SecOps

Configurar o controle de acesso a dados

Visão geral do RBAC de dados

Impacto do RBAC de dados nos recursos

Configurar o RBAC de dados para usuários

Configurar o RBAC de dados para tabelas de dados

Configurar o RBAC de dados para listas de referência

Configurar feeds de dados

Guia do usuário do gerenciamento de feeds

Guia do usuário da CLI

Configurar registros de auditoria

Retenção de dados

Google Analytics no Google SecOps

Desprovisionar

Desprovisionamento de autoatendimento para o Google SecOps