Sommario SIEM

Puoi tornare a questo sommario in qualsiasi momento facendo clic Siem nella parte superiore dei documenti relativi alla piattaforma SIEM.

SIEM di Google SecOps

Panoramica del prodotto

Accedere a Google SecOps

Guida rapida: effettuare una ricerca

Guida rapida: esamina un avviso

Onboarding in Google SecOps

Panoramica della procedura

Configura il progetto Google Cloud per Google SecOps

Configurare un provider di identità

Configurare un provider di identità Google Cloud

Configurare un provider di identità di terze parti

Configurare il controllo dell'accesso alle funzionalità utilizzando IAM

Configurare il controllo dell'accesso ai dati

Autorizzazioni Google SecOps in IAM

Collegare Google SecOps ai servizi Google Cloud

Importazione dei dati

Panoramica dell'importazione dati

Set di dati supportati e parser predefiniti

Importare i dati in Google SecOps

Installare e configurare i server di inoltro

Panoramica dei forwarder di Google SecOps

Forwarder Google SecOps per Linux

Forwarder di Google SecOps per Windows su Docker

Eseguibile dell'inoltro di Google SecOps per Windows

Gestire le configurazioni dei forwarder tramite Google SecOps

Risolvere i problemi comuni relativi al forwarding di Linux

Configurare i feed di dati

Panoramica sulla gestione dei feed

Creare e gestire feed utilizzando l'interfaccia utente di gestione dei feed

Creare e gestire feed utilizzando l'API di gestione dei feed

Utilizzare gli script di importazione di cui è stato eseguito il deployment come funzioni Cloud Functions

Utilizzare l'API Ingestion

Utilizzare l'agente BindPlane

Importa i log da origini specifiche

Importa da Google Cloud

Configura l'importazione in Google Cloud

Raccogliere gli audit log di Cloud

Raccolta dei log di Cloud NAT

Raccogliere i log di Fluentd

Raccogliere i log di Google Cloud Firewall

Raccolta dei log di Google Cloud Load Balancing

Raccogliere i log di Google Kubernetes Engine

Inviare i dati di Google Workspace a Google SecOps

Raccolta dei log di Google Workspace

Raccogliere i log di gestione di Chrome

Raccolta dei log di reCAPTCHA Enterprise

Raccogli i risultati di Security Command Center

Raccogliere i dati di AWS

Installare Carbon Black Event Forwarder

Raccogliere i log del firewall Cisco ASA

Raccogli i log del sensore Corelight

Importazione da Jamf

Raccogli i log di Jamf Protect

Raccogli i log di telemetria Jamf

Raccogliere i log di sistema Linux auditd e Unix

Importa da Microsoft

Raccogli i log delle attività di Azure

Raccogliere i log di Microsoft 365

Raccogliere i dati di Microsoft Windows AD

Raccogliere dati DHCP di Microsoft Windows

Raccogliere dati DNS di Microsoft Windows

Raccogliere dati sugli eventi di Microsoft Windows

Raccogliere i dati di Sysmon di Microsoft Windows

Raccolta dei log di osquery

Raccogli i log OSSEC

Raccogli i log del firewall Palo Alto Networks

Raccogli i log della canalizzazione cloud di SentinelOne

Raccogli i log CIM di Splunk

Raccogli i log Suricata

Raccogli i log Zeek (Bro)

Importare i dati delle entità

Monitora l'importazione dati

Usa la dashboard Importazione dati e integrità

Utilizzare Cloud Monitoring per le notifiche di importazione

Lavorare con gli analizzatori di Google SecOps

Panoramica dell'analisi dei log

Panoramica del modello di dati unificato

Gestire gli analizzatori predefiniti e personalizzati

Utilizzare le estensioni parser

Campi UDM importanti per la mappatura dei dati del parser

Suggerimenti e risoluzione dei problemi relativi alla scrittura dei parser

Formattare i dati di log come UDM

In che modo Google SecOps arricchisce i dati su eventi ed entità

Rilevamento delle minacce

Visualizza avvisi e IOC

Monitorare gli eventi utilizzando le regole

Visualizzare le regole nella dashboard Regole

Gestire le regole utilizzando l'editor delle regole

Visualizzare le versioni precedenti di una regola

Regole di archiviazione

Scaricare gli eventi

Eseguire una regola sui dati in tempo reale

Eseguire una regola sui dati storici

Impostare la frequenza di esecuzione

Limiti di rilevamento

Errori delle regole

Creare analisi sensibili al contesto

Panoramica dell'analisi sensibile al contesto

Utilizza i dati di Cloud Sensitive Data Protection nell'analisi sensibile al contesto

Utilizzare dati arricchiti di contesto nelle regole

Utilizzare le regole di rilevamento predefinite

Analisi del rischio

Panoramica dell'analisi del rischio

Utilizzare la dashboard di analisi dei rischi

Creare regole per Risk Analytics

Specificare il punteggio di rischio dell'entità nelle regole

Utilizza rilevamenti selezionati

Usa rilevamenti selezionati per identificare le minacce

Utilizzare l'interfaccia utente dei rilevamenti selezionati

Panoramica della categoria Cloud Threats

Panoramica della categoria Minacce Linux

Panoramica dell'analisi del rischio per la categoria UEBA

Panoramica della categoria Windows Threats

Panoramica dei rilevamenti selezionati di Applied Threat Intelligence

Verificare l'importazione dati utilizzando le regole di test

Configurare le esclusioni delle regole

Intelligence applicata alle minacce

Panoramica di Applied Threat Intelligence

Priorità di Threat Intelligence applicata

Visualizza gli IOC utilizzando Applied Threat Intelligence

Panoramica del punteggio IC

Panoramica del feed di fusione di Applied Threat Intelligence

Informazioni sul linguaggio YARA-L

Panoramica del linguaggio YARA-L 2.0

Sintassi del linguaggio YARA-L 2.0

Best practice YARA-L

Creare un elenco di riferimento

Definizioni dei timestamp

Analisi delle minacce

Visualizza avvisi

Panoramica

Esaminare un avviso

Ricerca di dati

Cerca un evento UDM

Utilizzare i campi arricchiti di contex nella ricerca UDM

Utilizzare la ricerca UDM per esaminare un'entità

Best practice per la ricerca UDM

Cerca log non elaborati

Filtrare i dati nella ricerca dei log non elaborati

Creare un elenco di riferimento

Utilizzo di viste investigative

Utilizzare le opinioni investigative

Esaminare una risorsa

Utilizzare gli spazi dei nomi degli asset

Esaminare un dominio

Esaminare un indirizzo IP

Eseguire un'indagine su un utente

Esaminare un file

Visualizzare le informazioni di VirusTotal

Filtrare i dati nelle viste investigative

Panoramica del filtro procedurale

Filtrare i dati nella vista Utente

Filtrare i dati nella visualizzazione Asset

Filtrare i dati nella vista Dominio

Filtrare i dati nella vista Indirizzo IP

Filtrare i dati nella vista Hash

Reporting

Panoramica dei dati in BigQuery

Utilizzare dati arricchiti di contesto nei report

Panoramica delle dashboard

Lavorare con le dashboard personalizzate

Creare una dashboard personalizzata

Aggiungere un grafico a una dashboard

Condividere una dashboard personale

Pianificare i report della dashboard

Importare ed esportare le dashboard di Google SecOps

Amministrazione

Amministrazione degli utenti

Configurare il controllo dell'accesso alle funzionalità utilizzando IAM

Configura il controllo dell'accesso ai dati

Panoramica di RBAC di dati

Impatto del RBAC dei dati sulle funzionalità di Google SecOps

Configurare il RBAC dei dati per gli utenti

Configurare il RBAC dei dati per gli elenchi di riferimento

Autorizzazioni Google SecOps in IAM

Configurare i feed di dati

Guida dell'utente alla gestione dei feed

Guida dell'utente dell'interfaccia a riga di comando

Configura gli audit log

Conservazione dei dati

Google Analytics in Google SecOps