SIEM 目录

点击每个 SIEM 文档顶部的 可返回到此目录。

Google SecOps SIEM

产品概览

登录 Google SecOps

快速入门：执行搜索

快速入门：调查提醒

配置用户偏好设置（仅限 SIEM）

Google SecOps 新手入门

流程概览

为 Google SecOps 配置 Google Cloud 项目

配置身份提供方

配置 Google Cloud 身份提供方

配置第三方身份提供商

使用 IAM 配置功能访问权限控制

使用 IAM 配置数据 RBAC

不使用 IAM 的应用的 RBAC 用户指南

IAM 中的 Google SecOps 权限

将 Google SecOps 与 Google Cloud 服务相关联

注入数据

注入实体数据

数据注入概览

支持的数据集和默认解析器

将数据注入 Google SecOps

从特定来源提取日志

安装和配置转发器

Google SecOps 转发器概览

适用于 Linux 的 Google SecOps 转发器

适用于 Docker 上 Windows 的 Google SecOps 转发器

适用于 Windows 的 Google SecOps 转发器可执行文件

通过 Google SecOps 管理转发器配置

排查常见的 Linux 转发器问题

设置数据 Feed

Feed 管理概览

使用 Feed 管理界面创建和管理 Feed

创建 Azure 事件中心 Feed

使用 Feed 管理 API 创建和管理 Feed

使用部署为 Cloud Functions 函数的提取脚本

使用 Ingestion API

DataTap Configuration API

使用 Bindplane 代理

Customer Management API

Data Export API

监控数据注入

使用“数据注入和健康状况”信息中心

使用 Cloud Monitoring 接收提取通知

使用 Google SecOps 解析器

日志解析概览

统一数据模型概览

管理预构建解析器和自定义解析器

请求预构建的日志类型和创建自定义日志类型

解析器扩展

解析器扩展程序示例

用于解析器数据映射的重要 UDM 字段

编写解析器时的提示和问题排查

将日志数据的格式设置为 UDM

Google Security Operations 中的别名设置和 UDM 扩充概览

Google SecOps 如何丰富事件和实体数据

自动提取概览

检测威胁

查看提醒和 IOC

查看潜在的安全威胁

单事件规则

多事件规则

复合检测概览

使用规则监控事件

在规则信息中心内查看规则

使用规则编辑器管理规则

查看旧版规则

归档规则

下载活动

针对实时数据运行规则

针对历史数据运行规则

设置运行频率

检测限制

规则错误

创建情境感知分析

情境感知分析概览

在情境感知分析中使用 Cloud Sensitive Data Protection 数据

在规则中使用上下文丰富的数据

使用默认检测规则

风险分析

风险分析快速入门指南

风险分析概览

使用“风险分析”信息中心

风险分析规则的指标函数

“关注列表”快速入门指南

在规则中指定实体风险得分

“关注列表”常见问题解答

风险分析常见问题解答

使用精选检测

使用精选检测来识别威胁

针对第三方供应商提醒使用精选检测规则

使用精选检测界面

“云威胁”类别概览

“Chrome 企业版威胁”类别概览

“Linux 威胁”类别概览

“macOS 威胁”类别概览

UEBA 类别的风险分析概览

“Windows 威胁”类别概览

实用威胁情报精选检测概览

使用测试规则验证数据注入

配置规则排除对象

规则容量

实用威胁情报

实用威胁情报概览

实用威胁情报优先级

使用实用威胁情报查看 IOC

IC 得分概览

实用威胁情报融合 Feed 概览

使用 Gemini 回答 Threat Intelligence 问题

Gemini 文档摘要

YARA-L 语言简介

YARA-L 2.0 语言概览

YARA-L 2.0 语言语法

YARA-L 最佳实践

使用 Gemini 生成 YARA-L 规则

创建参考列表

使用数据表

时间戳定义

调查威胁

查看提醒

概览

调查提醒

调查 GCTI 提醒

搜索数据

搜索 UDM 事件

在 UDM 搜索中使用上下文丰富型字段

使用 UDM 搜索调查实体

使用 UDM 搜索时间范围并管理查询

在搜索和信息中心中使用条件

在搜索和信息中心中使用去重功能

使用 YARA-L 2.0 在 UDM 搜索中使用的指标

使用 YARA-L 进行统计和汇总

使用 Gemini 生成 UDM 搜索查询

UDM 搜索最佳实践

执行原始日志搜索

使用“原始日志扫描”功能搜索原始日志

在原始日志搜索中过滤数据

创建参考列表

使用调查视图

使用调查视图

调查资产

使用资产命名空间

调查网域

调查 IP 地址

调查用户

调查文件

查看来自 VirusTotal 的信息

在调查视图中过滤数据

过程过滤概览

在“用户”视图中过滤数据

在“资产”视图中过滤数据

在“网域”视图中过滤数据

在“IP 地址”视图中过滤数据

在“哈希”视图中过滤数据

报告

BigQuery 中的数据概览

在自行管理的 Google Cloud 项目中配置数据导出到 BigQuery

在报告中使用上下文丰富的数据

信息中心概览

使用自定义信息中心

创建自定义信息中心

向信息中心添加图表

共享个人信息中心

安排信息中心报告的生成时间

导入和导出 Google SecOps 信息中心

使用原生信息中心

原生信息中心

精选信息中心

管理原生信息中心

在原生信息中心内管理图表

原生信息中心过滤条件

搜索结果中的可视化图表

管理

管理用户

使用 IAM 配置功能访问权限控制

配置数据访问权限控制

数据 RBAC 概览

数据 RBAC 对功能的影响

为用户配置数据 RBAC

为数据表配置数据 RBAC

为参考列表配置数据 RBAC

设置数据 Feed

Feed 管理用户指南

CLI 用户指南

配置审核日志

数据保留

Google SecOps 中的 Google Analytics