Transferir eventos
Pode apresentar e transferir um grande número de eventos associados a cada deteção de ameaças. Isto permite-lhe pesquisar num vasto conjunto de dados armazenados na sua conta do Google Security Operations para procurar problemas de segurança.
Eventos de visualização e transferência
Conclua os passos seguintes para apresentar e transferir os eventos associados a uma deteção:
Na barra de navegação, clique em Deteção > Regras e deteções.
Clique no separador Painel de controlo de regras.
Painel de controlo de regrasClique numa regra para abrir a vista Deteções de regras.
Selecione uma deteção na lista de deteções e expanda a lista de eventos de exemplo clicando na seta junto à lista. Cada variável de evento numa regra pode apresentar até 10 eventos de amostra. Por exemplo, uma regra com duas variáveis de evento (
$e1,$e2) pode apresentar um total de 20 amostras. Todas as amostras que excedam este limite são ocultadas na página Deteções, mas são incluídas se clicar em Transferir tudo para ver os eventos do modelo de dados unificado (UDM) associados à sua deteção.
A opção Transferir como CSV é apresentada se tiverem sido omitidos exemplos de eventos da sua deteção. Pode transferir um máximo de 100 000 eventos. Os exemplos de eventos são ordenados por data/hora do evento na IU. A Google não garante qualquer ordenação de exemplos de eventos quando lê deteções das APIs do Chronicle.
Opcional: clique em view_column Colunas para adicionar mais campos à lista de eventos de amostra. Estes campos também estão incluídos no CSV transferido.
Clique no link Transferir como CSV. Os exemplos de eventos são transferidos como um ficheiro CSV que pode abrir na maioria das aplicações de folhas de cálculo.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.