下载活动

支持的语言:

您可以显示和下载与每次威胁检测相关联的大量事件。这样,您就可以在 Google Security Operations 账号中存储的大量数据中搜索,以寻找安全问题。

显示和下载事件

完成以下步骤以显示和下载与检测关联的事件:

  1. 在导航栏中,依次点击检测 > 规则和检测

  2. 点击规则信息中心标签页。

    规则信息中心 规则信息中心

  3. 点击规则以打开“规则检测”视图。

  4. 从“检测”列表中选择一项检测,然后点击列表旁边的箭头以展开示例事件列表。 规则中的每个事件变量最多可显示 10 个示例事件。 例如,如果规则包含两个事件变量($e1$e2),则最多可显示 20 个样本。超出此限制的任何样本都会在检测页面上隐藏,但如果您点击全部下载以查看与检测相关联的统一数据模型 (UDM) 事件,则会包含这些样本。

如果检测中省略了事件示例,系统会显示下载为 CSV 选项。最多可下载 10 万个事件。 界面中的事件示例按事件时间戳排序。从 Chronicle API 读取检测结果时,Google 不保证任何事件样本的排序。

可选:点击 view_column ,可向示例事件列表添加更多字段。 这些字段也会包含在下载的 CSV 文件中。

  1. 点击下载为 CSV 链接。事件示例将下载为 CSV 文件,然后您可以在大多数电子表格应用中打开该文件。

需要更多帮助?从社区成员和 Google SecOps 专业人士那里获得解答。