Sumário do SIEM
Clique em
na parte de cima de cada documento do SIEM para voltar a este sumário.
Google SecOps SIEM
Guia de início rápido: fazer uma pesquisa
Guia de início rápido: investigar um alerta
Configurar preferências do usuário (somente SIEM)
Integração ao Google SecOps
Entender os componentes de faturamento do Google SecOps
Configurar Google Cloud o projeto para o Google SecOps
Migrar uma instância do Google SecOps para um projeto BYOP
Configurar um provedor de identidade
Configurar um Google Cloud provedor de identidade
Configurar um provedor de identidade de terceiros
Configurar o controle de acesso a recursos usando o IAM
Configurar o RBAC de dados usando o IAM
Guia do usuário do RBAC para aplicativos que não usam o IAM
Permissões do Google SecOps no IAM
Vincular o Google SecOps aos Google Cloud serviços
Ingerir dados
Visão geral da ingestão de dados
Conjuntos de dados compatíveis e analisadores padrão
Processamento de dados
Gerenciamento de pipeline de dados
Otimizar a ingestão de registros de alto volume
Ingerir dados no Google SecOps
Ingerir registros de origens específicas
Instalar e configurar encaminhadores
Visão geral dos encaminhadores do Google SecOps
Encaminhador do Google SecOps para Linux
Encaminhador do Google SecOps para Windows no Docker
Executável do encaminhador do Google SecOps para Windows
Gerenciar configurações de encaminhadores pelo Google SecOps
Resolver problemas comuns de encaminhadores do Linux
Configurar feeds de dados
Visão geral do gerenciamento de feeds
Criar e gerenciar feeds usando a interface de gerenciamento de feeds
Criar um feed do Hub de Eventos do Azure
Criar e gerenciar feeds usando a API de gerenciamento de feeds
Usar scripts de ingestão implantados como Cloud Functions
Monitorar a ingestão de dados
Usar o painel de ingestão e integridade de dados
Usar o Cloud Monitoring para notificações de ingestão
Conferir o volume de ingestão faturado
Trabalhar com analisadores do Google SecOps
Visão geral da análise de registros
Visão geral do modelo de dados unificado
Gerenciar analisadores pré-criados
Configurar analisadores personalizados
Solicitar analisadores pré-criados e criar tipos de registro personalizados
Exemplos de extensões de analisadores
Campos UDM importantes para o mapeamento de dados do analisador
Dicas e solução de problemas ao escrever analisadores
Formatar dados de registro como UDM
Ignorar a validação de registros para extensões de analisadores e analisadores personalizados
Aprimoramento
Visão geral do aprimoramento e do uso de aliases do UDM
Como o Google SecOps aprimora dados de eventos e entidades
Bloquear o aprimoramento de fluxos específicos
Como usar o gráfico de contexto de entidades (ECG)
Visão geral da extração automática
Detecção de ameaças
Analisar possíveis ameaças à segurança
Detecções compostas
Visão geral das detecções compostas
Monitorar eventos usando regras
Analisar a eficácia e a eficiência das regras
Resolver erros de execução de regras
Alertas baseados em risco com regras somente de entidades
Entender a cobertura de ameaças com a matriz MITRE ATT&CK
Ver as versões anteriores de uma regra
Executar uma regra com base em dados ativos
Executar uma regra com base nos dados históricos
Otimizar o desempenho de detecção e relatórios
Entender as repetições de regras e o MTTD
Entender os atrasos na detecção de regras
Gerenciar a programação de execução de regras
Configurar programações personalizadas para regras
Entender a programação de execução de regras
Criar análises baseadas no contexto
Visão geral das análises baseadas no contexto
Usar dados da Proteção de Dados Sensíveis do Cloud em análises baseadas no contexto
Usar dados enriquecidos com contexto em regras
Usar regras de detecção padrão
Análise de dados de risco
Guia de início rápido da Análise de dados de risco
Visão geral da Análise de dados de risco
Usar o painel da Análise de dados de risco
Funções de métricas para regras da Análise de dados de risco
Guia de início rápido da lista de observação
Especificar a pontuação de risco da entidade nas regras
Perguntas frequentes sobre listas de observação
Perguntas frequentes sobre a Análise de dados de risco
Trabalhar com detecções selecionadas
Usar detecções selecionadas para identificar ameaças
Usar regras de detecção selecionadas para alertas de fornecedores terceirizados
Usar a interface de detecções selecionadas
Visão geral da categoria "Ameaças na nuvem"
Visão geral da categoria "Regras compostas"
Visão geral da categoria "Ameaças de correspondência de IOC não priorizadas"
Visão geral da categoria "Ameaças do Chrome Enterprise"
Visão geral da categoria "Ameaças do Linux"
Visão geral da categoria "Ameaças do macOS"
Visão geral da categoria "Regras de busca da Mandiant"
Visão geral da categoria "Análise de dados de risco para UEBA"
Visão geral da categoria "Ameaças do Windows"
Visão geral das detecções selecionadas da inteligência contra ameaças aplicada
Verificar a ingestão de dados usando regras de teste
Configurar exclusões de regras
Gerenciar alertas ruidosos
Configurar a supressão de alertas
Gerenciar a exclusão de regras usando a API
Inteligência contra ameaças aplicada
Visão geral da inteligência contra ameaças aplicada
Priorização da inteligência contra ameaças aplicada
Conferir IOCs usando a inteligência contra ameaças aplicada
Visão geral da pontuação de IC
Visão geral do feed de fusão da inteligência contra ameaças aplicada
Visualização de detalhes da Central de ameaças emergentes
Responder a perguntas sobre inteligência contra ameaças com o Gemini
Resumos da documentação do Gemini
Usar o agente de triagem e investigação para investigar alertas
Painel do agente de triagem e investigação
YARA-L 2.0
Sintaxe
Expressões, operadores e outras construções
Usar a sintaxe "OR" na seção de condições
Usar a sintaxe "N OF" com variáveis de evento
Sintaxe da lista de referência
Amostragem de eventos de detecção
Lógica de janelas do YARA-L 2.0
Funções
Consultar e investigar
Usar condições na pesquisa e nos painéis
Criar e salvar visualizações na pesquisa
Usar a desduplicação na pesquisa e nos painéis
Criar consultas de várias etapas
Desenvolver regras de detecção
Usar dados enriquecidos com contexto em regras
Visão geral da análise baseada no contexto
Especificar a pontuação de risco da entidade nas regras
Usar funções de métricas para regras da Análise de dados de risco
Visão geral do feed de fusão da inteligência contra ameaças aplicada
Visão geral das detecções compostas
Construir regras de detecção compostas
Estrutura de regras e práticas recomendadas
Gerenciar e resolver problemas
Executar uma regra com base nos dados históricos
Configurar exclusões de regras
Conferir e resolver erros de regras
Limitações e problemas conhecidos
Referência: bibliotecas de consultas e transições
Biblioteca de referência de consultas do YARA-L 2.0
Biblioteca de consultas de painéis do YARA-L 2.0
Transição do SPL para o YARA-L 2.0
Gerar consultas de pesquisa com o Gemini
Gerar uma regra YARA-L 2.0 usando o Gemini
Investigação de ameaças
Mostrar alertas
Investigar alertas e contexto de entidades
Como pesquisar dados
Usar campos enriquecidos com contexto na pesquisa UDM
Usar a pesquisa UDM para investigar uma entidade
Investigar detecções na pesquisa
Usar o período da pesquisa UDM e gerenciar consultas
Usar condições na pesquisa e nos painéis
Usar a desduplicação na pesquisa e nos painéis
Métricas na pesquisa UDM usando o YARA-L 2.0
Estatísticas e agregações do YARA-L 2.0
Usar agregações em consultas YARA-L 2.0
Gerar consultas de pesquisa UDM com o Gemini
Práticas recomendadas de pesquisa UDM
Fazer uma pesquisa de registro bruto
Pesquisar registros brutos usando a verificação de registros brutos
Filtrar dados na pesquisa de registros brutos
Como usar visualizações investigativas
Usar visualizações investigativas
Trabalhar com namespaces de recursos
Filtrar dados em visualizações investigativas
Visão geral da filtragem processual
Filtrar dados na visualização de usuários
Filtrar dados na visualização de recursos
Filtrar dados na visualização de domínios
Filtrar dados na visualização de endereço IP
Filtrar dados na visualização de hash
Relatórios
Usar dados enriquecidos com contexto em relatórios
Trabalhar com painéis personalizados
Adicionar um gráfico a um painel
Compartilhar um painel pessoal
Programar relatórios de painéis
Importar e exportar painéis do Google SecOps
Trabalhar com painéis
Gerenciar gráficos em painéis nativos
Configurar relatórios programados
Exportação de dados
Exportar para um projeto do BigQuery gerenciado pelo Google (legado)
Exportar para um projeto do BigQuery autogerenciado
Transmitir dados com o BigQuery Export avançado
Entender o esquema de dados do BigQuery
Exportar registros brutos para um bucket doStorage autogerenciado Google Cloud
Administração
Fechar alertas em massa usando a API.
Administrar usuários
Configurar o controle de acesso a recursos usando o IAM
Configurar o VPC Service Controls
Configurar o VPC Service Controls para o Google SecOps
Configurar o controle de acesso a dados
Impacto do RBAC de dados nos recursos
Configurar o RBAC de dados para usuários
Configurar o RBAC de dados para tabelas de dados
Configurar o RBAC de dados para listas de referência
Configurar feeds de dados
Guia do usuário do gerenciamento de feeds
Configurar registros de auditoria
Google Analytics no Google SecOps
Desprovisionar
Desprovisionamento de autoatendimento para o Google SecOps