SIEM 目录

点击每个 SIEM 文档顶部的即可返回此目录。

Google SecOps SIEM

登录 Google SecOps

快速入门：执行搜索

快速入门：调查提醒

配置用户偏好设置（仅限 SIEM）

Google SecOps 入门

了解 Google SecOps 结算组成部分

为 Google SecOps 配置项目 Google Cloud

配置身份提供方

配置 Google Cloud 身份提供方

配置第三方身份提供方

使用 IAM 配置功能访问权限控制

使用 IAM 配置数据 RBAC

不使用 IAM 的应用的 RBAC 用户指南

IAM 中的 Google SecOps 权限

将 Google SecOps 关联到 Google Cloud 服务

注入数据

注入实体数据

数据注入概览

支持的数据集和默认解析器

将数据注入 Google SecOps

从特定来源提取日志

安装和配置转发器

Google SecOps 转发器概览

适用于 Linux 的 Google SecOps 转发器

适用于 Docker 上 Windows 的 Google SecOps 转发器

适用于 Windows 的 Google SecOps 转发器可执行文件

通过 Google SecOps 管理转发器配置

排查常见的 Linux 转发器问题

设置数据 Feed

Feed 管理概览

使用 Feed 管理界面创建和管理 Feed

创建 Azure 事件中心 Feed

使用 Feed 管理 API 创建和管理 Feed

使用部署为 Cloud Functions 的注入脚本

使用 Ingestion API

DataTap Configuration API

使用 Bindplane 代理

Customer Management API

Data Export API

Data Export API（增强版）

监控数据注入

使用“数据注入和健康状况”信息中心

使用 Cloud Monitoring 获取注入通知

查看已结算的注入量

使用 Google SecOps 解析器

日志解析概览

统一数据模型概览

管理预构建解析器和自定义解析器

请求预构建日志类型并创建自定义日志类型

解析器扩展程序

解析器扩展程序示例

用于解析器数据映射的重要 UDM 字段

编写解析器时的提示和问题排查

将日志数据的格式设置为 UDM

丰富

UDM 丰富和别名概览

Google SecOps 如何丰富事件和实体数据

阻止特定流的丰富

使用实体上下文图 (ECG)

自动提取概览

检测威胁

查看提醒和 IOC

查看潜在的安全威胁

单事件规则

多事件规则

复合检测

复合检测概览

使用规则监控事件

在规则信息中心内查看规则

管理统一规则

排查规则运行时错误

了解规则配额

了解规则配额

使用仅限实体的规则进行基于风险的提醒

使用 MITRE ATT&CK 矩阵了解威胁覆盖范围

查看旧版规则

针对实时数据运行规则

针对历史数据运行规则

优化检测和报告性能

了解规则重放和 MTTD

了解规则检测延迟

管理规则运行时间表

为规则配置自定义时间表

了解规则运行时间表

创建情境感知分析

情境感知分析概览

在情境感知分析中使用 Cloud Sensitive Data Protection 数据

在规则中使用情境丰富的数据

使用默认检测规则

风险分析

风险分析快速入门指南

风险分析概览

使用风险分析信息中心

风险分析规则的指标函数

关注列表快速入门指南

在规则中指定实体风险得分

关注列表常见问题解答

风险分析常见问题解答

使用精选检测

使用精选检测来识别威胁

使用精选检测规则获取第三方供应商提醒

使用精选检测界面

Cloud Threats 类别概览

Composite Rules 类别概览

Non-prioritized IoC Matching threats 类别概览

Chrome 企业版威胁类别概览

Linux Threats 类别概览

macOS Threats 类别概览

Mandiant 搜索规则类别概览

Risk Analytics for UEBA 类别概览

Windows Threats 类别概览

实用威胁情报精选检测概览

使用测试规则验证数据注入

配置规则排除项

管理嘈杂的提醒

配置提醒抑制

使用 API 管理规则排除项

实用威胁情报

实用威胁情报概览

实用威胁情报优先级

使用实用威胁情报查看 IOC

IC 得分概览

实用威胁情报融合 Feed 概览

新兴威胁中心

新兴威胁中心详细视图

使用 Gemini 回答威胁情报问题

Gemini 文档摘要

使用分类和调查智能体调查提醒

分类和调查智能体信息中心

YARA-L 2.0

语法

Conditions 部分

表达式、运算符和其他构造

嵌套的 if 语句

在条件部分使用 OR 语法

将 N OF 语法与事件变量搭配使用

参考列表语法

检测事件抽样

YARA-L 2.0 开窗逻辑

函数

信息中心函数

查询和调查

统计信息和聚合

在搜索和信息中心内使用条件

在搜索中创建和保存可视化图表

在搜索中使用指标

在搜索和信息中心内使用重复数据排除

创建多阶段查询

开发检测规则

在规则中使用情境丰富的数据

情境感知分析概览

在规则中指定实体风险得分

使用风险分析规则的指标函数

实用威胁情报融合 Feed 概览

复合检测概览

构建复合检测规则

规则结构和最佳实践

管理和问题排查

针对历史数据运行规则

配置规则排除项

查看和排查规则错误

已知问题和限制

参考文档：查询库和转换

YARA-L 2.0 查询参考库

YARA-L 2.0 信息中心查询库

从 SPL 转换为 YARA-L 2.0

使用 Gemini 生成搜索查询

使用 Gemini 生成 YARA-L 2.0 规则

调查威胁

查看提醒

调查 GCTI 提醒

调查提醒和实体上下文

搜索数据

搜索 UDM 事件

在 UDM 搜索中使用情境丰富的字段

使用 UDM 搜索调查实体

使用 UDM 搜索时间范围和管理查询

在搜索和信息中心内使用条件

在搜索和信息中心内使用重复数据排除

使用 YARA-L 2.0 的 UDM 搜索中的指标

在搜索中使用联接

YARA-L 2.0 统计信息和聚合

在 YARA-L 2.0 查询中使用聚合

使用 Gemini 生成 UDM 搜索查询

UDM 搜索最佳实践

执行原始日志搜索

使用“原始日志扫描”功能搜索原始日志

在原始日志搜索中过滤数据

创建参考列表

使用调查视图

使用调查视图

使用资产命名空间

调查 IP 地址

查看来自 VirusTotal 的信息

在调查视图中过滤数据

过程过滤概览

在“用户”视图中过滤数据

在“资产”视图中过滤数据

在“网域”视图中过滤数据

在“IP 地址”视图中过滤数据

在“哈希”视图中过滤数据

报告

在报告中使用情境丰富的数据

信息中心概览

使用自定义信息中心

创建自定义信息中心

向信息中心添加图表

共享个人信息中心

安排信息中心报告

导入和导出 Google SecOps 信息中心

使用信息中心

信息中心概览

精选信息中心

管理原生信息中心

管理原生信息中心内的图表

原生信息中心过滤器

搜索中的可视化图表

配置定期生成的报告

数据导出

导出到 Google 管理的 BigQuery 项目（旧版）

导出到自行管理的 BigQuery 项目

使用高级 BigQuery Export 功能流式传输数据

了解 BigQuery 数据架构

将原始日志导出到自行管理的 Google Cloud 存储桶

管理

使用 API 批量关闭提醒。

管理用户

使用 IAM 配置功能访问权限控制

配置 VPC Service Controls

为 Google SecOps 配置 VPC Service Controls

配置数据访问权限控制

数据 RBAC 概览

数据 RBAC 对功能的影响

为用户配置数据 RBAC

为数据表配置数据 RBAC

为参考列表配置数据 RBAC

设置数据 Feed

Feed 管理用户指南

CLI 用户指南

配置审核日志

Google SecOps 中的 Google Analytics

取消配置

Google SecOps 自助取消配置

如未另行说明，那么本页面中的内容已根据知识共享署名 4.0 许可获得了许可，并且代码示例已根据 Apache 2.0 许可获得了许可。有关详情，请参阅 Google 开发者网站政策。Java 是 Oracle 和/或其关联公司的注册商标。

最后更新时间 (UTC)：2026-04-10。