SIEM 目录

点击每个 SIEM 文档顶部的 可返回此目录。

Google SecOps SIEM

产品概览

登录 Google SecOps

快速入门：执行搜索

快速入门：调查提醒

配置用户偏好设置（仅限 SIEM）

开始使用 Google SecOps

流程概览

为 Google SecOps 配置 Google Cloud 项目

配置身份提供方

配置 Google Cloud 身份提供方

配置第三方身份提供方

使用 IAM 配置功能访问权限控制

使用 IAM 配置数据 RBAC

适用于不使用 IAM 的应用的 RBAC 用户指南

IAM 中的 Google SecOps 权限

将 Google SecOps 关联到 Google Cloud 服务

提取数据

提取实体数据

数据提取概览

支持的数据集和默认解析器

将数据注入 Google SecOps

从特定来源提取日志

安装和配置转发器

Google SecOps 转发器概览

适用于 Linux 的 Google SecOps 转发器

适用于 Docker 上 Windows 的 Google SecOps 转发器

适用于 Windows 的 Google SecOps 转发程序可执行文件

通过 Google SecOps 管理转发器配置

排查常见的 Linux 转发器问题

设置数据 Feed

Feed 管理概览

使用 Feed 管理界面创建和管理 Feed

创建 Azure 事件中心 Feed

使用 Feed 管理 API 创建和管理 Feed

使用部署为 Cloud Functions 函数的提取脚本

使用 Ingestion API

DataTap Configuration API

使用 Bindplane 代理

Customer Management API

Data Export API

监控数据注入

使用“数据注入和健康状况”信息中心

使用 Cloud Monitoring 接收提取通知

使用 Google SecOps 解析器

日志解析概览

统一数据模型概览

管理预构建解析器和自定义解析器

解析器扩展程序

解析器扩展程序示例

解析器数据映射的重要 UDM 字段

编写解析器时的提示和问题排查

将日志数据的格式设置为 UDM

Google SecOps 如何丰富事件和实体数据

自动提取功能概览

检测威胁

查看提醒和 IOC

查看潜在的安全威胁

单事件规则

多事件规则

规则链

使用规则监控事件

在规则信息中心内查看规则

使用规则编辑器管理规则

查看规则的旧版

归档规则

下载事件

针对实时数据运行规则

针对历史数据运行规则

设置运行频率

检测限制

规则错误

使用规则过滤 DataTap 配置中的事件

创建情境感知分析

情境感知分析概览

在情境感知型分析中使用 Cloud Sensitive Data Protection 数据

在规则中使用经过情境丰富的数据

使用默认检测规则

风险分析

风险分析快速入门指南

风险分析概览

使用“风险分析”信息中心

为风险分析创建规则

“观看列表”快速入门指南

在规则中指定实体风险得分

“观看列表”常见问题解答

风险分析常见问题解答

使用精选检测

使用精选检测功能识别威胁

使用精选检测界面

“云端威胁”类别概览

“Linux 威胁”类别概览

“macOS 威胁”类别概览

适用于 UEBA 类别的风险分析概览

“Windows 威胁”类别概览

实用威胁情报精选检测功能概览

使用测试规则验证数据提取

配置规则排除对象

规则容量

实用威胁情报

实用威胁情报概览

实用威胁情报优先级

使用实用威胁情报查看 IOC

IC 评分概览

实用威胁情报融合 Feed 概览

使用 Gemini 解答威胁情报问题

Gemini 文档摘要

YARA-L 语言简介

YARA-L 2.0 语言概览

YARA-L 2.0 语言语法

YARA-L 最佳实践

使用 Gemini 生成 YARA-L 规则

创建参考列表

使用数据表

时间戳定义

调查威胁

查看提醒

概览

调查提醒

调查 GCTI 提醒

搜索数据

搜索 UDM 事件

在 UDM 搜索中使用富含上下文的字段

使用 UDM 搜索功能调查实体

使用 UDM 搜索时间范围和管理查询

使用 YARA-L 2.0 在 UDM 搜索中生成统计信息和汇总

使用 Gemini 生成 UDM 搜索查询

UDM 搜索最佳实践

执行原始日志搜索

使用“原始日志扫描”功能搜索原始日志

在原始日志搜索中过滤数据

创建参考列表

使用调查视图

使用调查视图

调查资产

使用资产命名空间

调查网域

调查 IP 地址

调查用户

调查文件

查看来自 VirusTotal 的信息

在调查视图中过滤数据

过程过滤概览

在“用户”视图中过滤数据

在“资产”视图中过滤数据

在“网域”视图中过滤数据

在“IP 地址”视图中过滤数据

在“哈希”视图中过滤数据

报告

BigQuery 中的数据概览

在自有 Google Cloud 项目中配置将数据导出到 BigQuery

在报告中使用经过情境丰富的数据

信息中心概览

使用自定义信息中心

创建自定义信息中心

将图表添加到信息中心

共享个人信息中心

安排定期生成信息中心报告

导入和导出 Google SecOps 信息中心

使用原生信息中心

原生信息中心

精选信息中心

管理原生信息中心

在原生信息中心中管理图表

原生信息中心过滤条件

搜索中的可视化图表

管理

管理用户

使用 IAM 配置功能访问权限控制

配置数据访问控制

数据 RBAC 概览

数据 RBAC 对功能的影响

为用户配置数据 RBAC

为参考列表配置数据 RBAC

设置数据 Feed

Feed 管理用户指南

CLI 用户指南

配置审核日志

数据保留

Google SecOps 中的 Google Analytics