SIEM 目录

您可以随时返回此目录,只需点击 SIEM 文档顶部的 暹粒 即可。

Google SecOps SIEM

产品概览

登录 Google SecOps

快速入门:执行搜索

快速入门:调查提醒

Google SecOps 入门

流程概览

为 Google SecOps 配置 Google Cloud 项目

配置身份提供方

配置 Google Cloud 身份提供方

配置第三方身份提供方

使用 IAM 配置功能访问权限控制

配置数据访问权限控制

IAM 中的 Google SecOps 权限

将 Google SecOps 与 Google Cloud 服务相关联

提取数据

数据提取概览

支持的数据集和默认解析器

将数据提取到 Google SecOps

安装和配置转发器

Google SecOps 转发器概览

适用于 Linux 的 Google SecOps 转发器

Docker 上适用于 Windows 的 Google SecOps 转发器

适用于 Windows 的 Google SecOps 转发器可执行文件

通过 Google SecOps 管理转发器配置

排查常见的 Linux 转发器问题

设置数据 Feed

Feed 管理概览

使用 Feed 管理界面创建和管理 Feed

使用 Feed 管理 API 创建和管理 Feed

使用部署为 Cloud Functions 函数的提取脚本

使用 Ingestion API

使用 BindPlane 代理

从特定来源注入日志

从 Google Cloud 提取数据

配置 Google Cloud 注入

收集 Cloud Audit Logs

收集 Cloud NAT 日志

收集 Fluentd 日志

收集 Google Cloud 防火墙日志

收集 Google Cloud Load Balancing 日志

收集 Google Kubernetes Engine 日志

将 Google Workspace 数据发送给 Google SecOps

收集 Google Workspace 日志

收集 Chrome 管理日志

收集 reCAPTCHA Enterprise 日志

收集 Security Command Center 发现结果

收集 AWS 数据

收集 OneLogin 单点登录 (SSO) 日志

安装 Carbon Black Event Forwarder

收集 Cisco ASA 防火墙日志

收集 Corelight 传感器日志

从 Jamf 提取

收集 Jamf Protect 日志

收集 Jamf 遥测日志

收集 Linux auditd 和 Unix 系统日志

从 Microsoft 提取数据

收集 Azure 活动日志

收集 Microsoft 365 日志

收集 Microsoft Windows AD 数据

收集 Microsoft Windows DHCP 数据

收集 Microsoft Windows DNS 数据

收集 Microsoft Windows 事件数据

收集 Microsoft Windows Sysmon 数据

收集 osquery 日志

收集 OSSEC 日志

收集 Palo Alto Networks 防火墙日志

收集 SentinelOne Cloud Funnel 日志

收集 Splunk CIM 日志

收集 Suricata 日志

收集 Zeek (Bro) 日志

注入实体数据

监控数据注入

使用数据提取和运行状况信息中心

使用 Cloud Monitoring 接收提取通知

使用 Google SecOps 解析器

日志解析概览

统一数据模型概览

管理预构建解析器和自定义解析器

使用解析器扩展程序

解析器数据映射的重要 UDM 字段

编写解析器时的提示和问题排查

将日志数据的格式设置为 UDM

Google SecOps 如何丰富事件和实体数据

检测威胁

查看提醒和 IOC

使用规则监控事件

在规则信息中心内查看规则

使用规则编辑器管理规则

查看旧版规则

归档规则

下载事件

针对实时数据运行规则

针对历史数据运行规则

设置运行频率

检测限制

规则错误

创建情境感知分析

情境感知分析概览

在情境感知型分析中使用 Cloud Sensitive Data Protection 数据

在规则中使用增强型数据

使用默认检测规则

风险分析

风险分析概览

使用 Risk Analytics 信息中心

为风险分析创建规则

在规则中指定实体风险得分

使用精选检测

使用精选检测功能识别威胁

使用精选检测界面

“云端威胁”类别概览

“Linux 威胁”类别概览

UEBA 类别风险分析概览

“Windows 威胁”类别概览

Applied Threat Intelligence 精选检测概览

使用测试规则验证数据提取

配置规则排除对象

实用威胁情报

实用威胁情报概览

Applied Threat Intelligence 优先级

使用实用威胁情报查看 IOC

IC 评分概览

Applied Threat Intelligence Fusion Feed 概览

YARA-L 语言简介

YARA-L 2.0 语言概览

YARA-L 2.0 语言语法

YARA-L 最佳实践

创建参考列表

时间戳定义

调查威胁

查看提醒

概览

调查提醒

搜索数据

搜索 UDM 事件

在 UDM 搜索中使用内容丰富的字段

使用 UDM 搜索功能调查实体

UDM 搜索最佳实践

搜索原始日志

在原始日志搜索中过滤数据

创建参考列表

使用调查视图

使用调查视图

调查资产

使用资产命名空间

调查网域

调查 IP 地址

调查用户

调查文件

查看来自 VirusTotal 的信息

在调查视图中过滤数据

过程过滤概览

在“用户”视图中过滤数据

在“资产”视图中过滤数据

在“网域”视图中过滤数据

在 IP 地址视图中过滤数据

在“哈希”视图中过滤数据

Reporting(报告)

BigQuery 中的数据概览

在报告中使用经过情境丰富的数据

信息中心概览

使用自定义信息中心

创建自定义信息中心

将图表添加到信息中心

共享个人信息中心

安排定期生成信息中心报告

导入和导出 Google SecOps 信息中心

管理

管理用户

使用 IAM 配置功能访问权限控制

配置数据访问控制

数据 RBAC 概览

数据 RBAC 对 Google SecOps 功能的影响

为用户配置数据 RBAC

为参考列表配置数据 RBAC

IAM 中的 Google SecOps 权限

设置数据 Feed

Feed 管理用户指南

CLI 用户指南

配置审核日志

数据保留

Google SecOps 中的 Google Analytics