<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>Google-Security-Operations on Tarragon</title><link>https://tarrragon.github.io/blog/tags/google-security-operations/</link><description>Recent content in Google-Security-Operations on Tarragon</description><generator>Hugo -- gohugo.io</generator><language>zh-TW</language><copyright>Tarragon (CC BY 4.0)</copyright><lastBuildDate>Mon, 18 May 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://tarrragon.github.io/blog/tags/google-security-operations/index.xml" rel="self" type="application/rss+xml"/><item><title>Google Security Operations</title><link>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/</link><pubDate>Mon, 18 May 2026 00:00:00 +0000</pubDate><guid>https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/google-security-operations/</guid><description>&lt;p>Google Security Operations 是 Google 雲端的 SOC 整合平台、2023 年起把前 &lt;em>Chronicle SIEM&lt;/em> + 2022 收購的 &lt;em>Siemplify SOAR&lt;/em> + 2022 收購的 &lt;em>Mandiant threat intel&lt;/em> 三條產品線整合成單一品牌。它跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> / &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 的差異在 &lt;em>資料規模假設 + 計費哲學 + threat intel 內建程度&lt;/em>、偵測能力本身相近 — Google 的設計假設是 &lt;em>PB/day ingestion + Google 級基礎設施 + 固定費率 by data tier&lt;/em>、跟 Splunk per-GB 累進的計費哲學完全相反。&lt;/p>
&lt;h2 id="服務定位">服務定位&lt;/h2>
&lt;p>Google Security Operations 的核心定位是 &lt;em>為超大規模 SOC 設計的雲原生 SIEM + SOAR + threat intel 一體機&lt;/em>、底層走 Google 自家 search infrastructure、上層由四個 first-class concept 撐起來：&lt;em>UDM&lt;/em>（Unified Data Model、Google 自定 schema、所有 source 強制 normalize）、&lt;em>YARA-L&lt;/em>（Google 自家 detection rule 語言）、&lt;em>Curated Detection&lt;/em>（Google 維護的 detection rule 訂閱、客戶不需自己拉）、&lt;em>Mandiant Applied Threat Intel&lt;/em>（事件期間自動 enrich + IoC push）。&lt;/p>
&lt;p>跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &amp;#43; indexer &amp;#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk&lt;/a> 比、Google 走 &lt;em>fixed-price by data tier + 強制 schema normalization&lt;/em> — Splunk per-GB ingestion 計費在 PB-scale 會痛、Google 在 multi-PB 通常便宜 3-5 倍、但客戶要接受 UDM 強制 schema 跟 YARA-L 新語法。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &amp;#43; EDR &amp;#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security&lt;/a> 比、Google 是 SaaS-only + 大規模優化、Elastic 可自管 + OSS-friendly。跟 &lt;a href="https://tarrragon.github.io/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &amp;#43; CSPM &amp;#43; CWS &amp;#43; AAP &amp;#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security&lt;/a> 比、Google 是 &lt;em>純 SOC 專用工具&lt;/em>、Datadog 是 &lt;em>observability 平面上的 security view&lt;/em>；Datadog 適合中等規模 + observability 已用 Datadog、Google 適合大規模 SOC + 不需要 observability 同 plane。&lt;/p></description><content:encoded><![CDATA[<p>Google Security Operations 是 Google 雲端的 SOC 整合平台、2023 年起把前 <em>Chronicle SIEM</em> + 2022 收購的 <em>Siemplify SOAR</em> + 2022 收購的 <em>Mandiant threat intel</em> 三條產品線整合成單一品牌。它跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> / <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> / <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 的差異在 <em>資料規模假設 + 計費哲學 + threat intel 內建程度</em>、偵測能力本身相近 — Google 的設計假設是 <em>PB/day ingestion + Google 級基礎設施 + 固定費率 by data tier</em>、跟 Splunk per-GB 累進的計費哲學完全相反。</p>
<h2 id="服務定位">服務定位</h2>
<p>Google Security Operations 的核心定位是 <em>為超大規模 SOC 設計的雲原生 SIEM + SOAR + threat intel 一體機</em>、底層走 Google 自家 search infrastructure、上層由四個 first-class concept 撐起來：<em>UDM</em>（Unified Data Model、Google 自定 schema、所有 source 強制 normalize）、<em>YARA-L</em>（Google 自家 detection rule 語言）、<em>Curated Detection</em>（Google 維護的 detection rule 訂閱、客戶不需自己拉）、<em>Mandiant Applied Threat Intel</em>（事件期間自動 enrich + IoC push）。</p>
<p>跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 比、Google 走 <em>fixed-price by data tier + 強制 schema normalization</em> — Splunk per-GB ingestion 計費在 PB-scale 會痛、Google 在 multi-PB 通常便宜 3-5 倍、但客戶要接受 UDM 強制 schema 跟 YARA-L 新語法。跟 <a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a> 比、Google 是 SaaS-only + 大規模優化、Elastic 可自管 + OSS-friendly。跟 <a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a> 比、Google 是 <em>純 SOC 專用工具</em>、Datadog 是 <em>observability 平面上的 security view</em>；Datadog 適合中等規模 + observability 已用 Datadog、Google 適合大規模 SOC + 不需要 observability 同 plane。</p>
<p>關鍵張力：<em>fixed-price tier</em> 在小規模反而不划算、PB-scale 才回本。組織要看清楚自己的 ingestion 量級 — TB/day 以下走 Datadog / Elastic 通常更便宜、TB-PB/day 之間是模糊地帶、PB/day 以上 Google 是少數能撐又便宜的選擇。Mandiant threat intel 跟 Gemini for Security 是 Google-only 的加值、但這兩個是 <em>enhancement</em>、不是選 Google 的主理由。</p>
<h2 id="本章目標">本章目標</h2>
<p>讀完本頁、讀者能判斷：</p>
<ol>
<li>Google Security Ops 在 SOC stack 承擔哪一段（log aggregation + SIEM + SOAR + threat intel 一體）、跟 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> / <a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a> 怎麼整合</li>
<li>UDM forced normalization 跟 YARA-L 對 detection 設計的影響（schema-first 而非 query-first）</li>
<li>Curated Detection + Mandiant Applied Threat Intel 在偵測 lifecycle 的位置（不是自己拉、是訂閱）</li>
<li>何時選 Google Security Ops、何時走 Splunk / Elastic / Datadog 的取捨</li>
</ol>
<h2 id="最短判讀路徑">最短判讀路徑</h2>
<p>判斷 Google Security Ops deployment 是否健康、最少看四件事：</p>
<ul>
<li><strong>Ingestion 邊界</strong>：哪些 source 進來（Forwarder / GCS bucket / Pub/Sub feed / Cloud-native API feed）、UDM normalization 是否覆蓋全部 source、自家 app log 的 parser 是否寫好</li>
<li><strong>Detection 治理</strong>：誰能改 YARA-L rule、Curated Detection 開了哪些、自家 rule 是否走版控（Git → API push）、staging tenant 是否在 production 之前 sanity-check</li>
<li><strong>Threat intel 流向</strong>：Mandiant Applied Threat Intel 是否啟用、Curated Detection 是否跟新 IoC 自動同步、IoC enrichment 是否回 alert 上下文</li>
<li><strong>Response 流向</strong>：Siemplify SOAR 是否接 alert、playbook 是否進版控、跟 <a href="/blog/backend/08-incident-response/" data-link-title="模組八：事故處理與復盤" data-link-desc="用 IR 領域詞彙建問題節點、以服務級案例庫累積事故脈絡，先建概念與案例庫再進實作交接">8 incident response</a> 的 routing 是否定義</li>
</ul>
<p>四件事任一缺失、就是 <a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">Detection Coverage and Signal Governance</a> 的待補項目。</p>
<h2 id="日常操作與決策形狀">日常操作與決策形狀</h2>
<p><strong>Ingestion 路徑</strong>：log 進 Google Security Ops 有三種主路徑 — <em>Chronicle Forwarder</em>（agent-based、on-prem / VM、syslog / file tail）、<em>Cloud Storage feed</em>（log 先進 GCS bucket、Google 拉）、<em>Pub/Sub feed</em>（serverless / GCP 原生 push）、再加 <em>Direct API feed</em>（cloud SaaS 像 Okta / Azure AD / AWS CloudTrail 透過原廠 connector）。SaaS-heavy 環境通常以 Direct API feed 為主、on-prem 才需要 Forwarder。</p>
<p><strong>UDM (Unified Data Model)</strong>：UDM 是 Google 自定的統一 event schema、所有 source（CloudTrail / Azure AD / Okta / endpoint / DNS）在 ingestion 時 <em>強制 normalize</em> 到 UDM 欄位（<code>principal.user</code>、<code>target.resource</code>、<code>security_result.action</code> 等）。跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> CIM 同概念、但 Splunk CIM 是 <em>選擇性 mapping</em>、Google UDM 是 <em>forced normalization</em> — 不寫 parser 就不能 ingest custom source。設計取捨：schema-first 讓跨 source query 一致、但客製 source 的 onboarding 變重。</p>
<p><strong>YARA-L detection rule</strong>：Google 自家 detection rule 語言、跟 SPL / EQL 同類但結構更明示 — <code>events { }</code> 段定義 source pattern、<code>match { }</code> 段定義 join / time window、<code>condition { }</code> 段定義 threshold、<code>outcome { }</code> 段定義 risk score。比 SPL 的 pipe 風格更接近 <em>關聯式宣告</em>、特別適合表達 <em>time-bounded sequence + cross-source join</em>。Uber MFA 那種「5min 內 50 個 MFA fail + 新裝置 + 異常地理」用 YARA-L 直接寫成 sequence pattern 比 SPL 清楚。</p>
<p><strong>Curated Detection</strong>：Google 維護的 detection rule 訂閱集合、跟 Splunk Security Content 同類但 Google 是 <em>built-in subscription</em>、客戶不需要自己拉 / merge — Google 自動跟 Mandiant threat intel 同步、新 IoC 發布後對應 rule 自動 enable。組織通常 <em>先全部啟用 baseline、再選擇性 disable noisy 規則 + 補自家 custom YARA-L</em>。</p>
<p><strong>Applied Threat Intel (Mandiant)</strong>：事件發生時 Google 自動把 alert 裡的 IoC（IP / domain / hash）跟 Mandiant feed 對照、若命中已知 APT 活動就升級 risk score + 附上 Mandiant 報告。跟其他 SIEM 走第三方 threat intel feed 需要自己 maintain enrichment pipeline 不同、Google 走 <em>vertical integration</em> — 收購 Mandiant 後直接內建。</p>
<p><strong>Siemplify SOAR</strong>：2022 收購 Siemplify 後整合進 Google Security Ops、playbook 處理 alert triage + 自動 response — 例如 leaked credential 自動 rotate（拉 <a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a> API）、suspect user 自動 disable（拉 <a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a> / Google Workspace API）、suspect IP 自動加 firewall block（拉 <a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a> custom rule）。playbook 進版控、走 approval gate for high-impact action、不能黑箱 fire-and-forget。</p>
<p><strong>Entity Graph</strong>：Google Security Ops 把 user / asset / IP / domain / hash 等實體做 graph、做 <em>correlation + lateral movement detection</em>。Snowflake 2024 那種「同一 credential / IP 跨多個 Snowflake account」的橫向擴散用 Entity Graph 直接視覺化關聯。</p>
<p><strong>Google Cloud 整合</strong>：跟 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> / Workload Identity Federation 整合度高 — GCP audit log 直接內建 connector、IAM policy change 直接 surface 成 alert 候選、跨 GCP project 的 federation 走 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> 認證。非 GCP 環境（AWS / Azure / on-prem）一樣支援、但設定路徑比 Splunk add-on 略陡。</p>
<h2 id="核心取捨表">核心取捨表</h2>
<table>
  <thead>
      <tr>
          <th>取捨維度</th>
          <th>Google Security Operations</th>
          <th>Splunk</th>
          <th>Elastic Security</th>
          <th>Datadog Security</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>計費模型</td>
          <td>Fixed price by data tier（PB-scale 划算）</td>
          <td>Ingestion-based（GB/day、累進）</td>
          <td>Resource-based（node / cluster size）</td>
          <td>Per-host + per-event（events/month）</td>
      </tr>
      <tr>
          <td>Schema 處理</td>
          <td>UDM forced normalization</td>
          <td>CIM optional mapping</td>
          <td>ECS optional mapping</td>
          <td>Tag-based、彈性高</td>
      </tr>
      <tr>
          <td>Detection 語言</td>
          <td>YARA-L（結構化 events / match / condition）</td>
          <td>SPL（pipe-based、表達力強）</td>
          <td>KQL / EQL</td>
          <td>Datadog query</td>
      </tr>
      <tr>
          <td>Detection content</td>
          <td>Curated Detection 內建訂閱</td>
          <td>Splunk Security Content（OSS、自拉）</td>
          <td>Elastic Prebuilt + Sigma</td>
          <td>Datadog Security Rules</td>
      </tr>
      <tr>
          <td>Threat intel</td>
          <td>Mandiant Applied Threat Intel 內建</td>
          <td>需第三方 feed + 自家 pipeline</td>
          <td>需第三方 feed</td>
          <td>Datadog 內建 + 第三方</td>
      </tr>
      <tr>
          <td>SOAR / Response</td>
          <td>Siemplify SOAR 內建</td>
          <td>Splunk SOAR（前 Phantom、業界先驅）</td>
          <td>Cases + Elastic Defend</td>
          <td>Workflow Automation（基本）</td>
      </tr>
      <tr>
          <td>LLM-assisted</td>
          <td>Gemini for Security 內建（2024+）</td>
          <td>Splunk AI Assistant</td>
          <td>Elastic AI Assistant</td>
          <td>Bits AI</td>
      </tr>
      <tr>
          <td>部署模型</td>
          <td>SaaS only（Google Cloud）</td>
          <td>Self-hosted / SaaS</td>
          <td>Self-hosted / SaaS / Serverless</td>
          <td>SaaS only</td>
      </tr>
      <tr>
          <td>適合場景</td>
          <td>PB-scale SOC、Google Cloud heavy、要 Mandiant</td>
          <td>Enterprise + 跨 on-prem、預算允許</td>
          <td>OSS-friendly、Elastic stack 已用</td>
          <td>Cloud-native + observability 已用 Datadog</td>
      </tr>
      <tr>
          <td>退場成本</td>
          <td>中 — YARA-L 跟 UDM 是 Google-specific</td>
          <td>高 — SPL / detection / dashboard 量多</td>
          <td>中 — Sigma / Lucene 較可移植</td>
          <td>中</td>
      </tr>
  </tbody>
</table>
<p>選 Google Security Ops 的核心訴求：<em>PB-scale ingestion + fixed-price 計費可預期 + Mandiant threat intel 內建 + Google Cloud 整合度</em>。中等規模 / on-prem 為主 / 預算敏感 / 需要 observability 同 plane 的場景都更適合走 Splunk / Elastic / Datadog。</p>
<h2 id="進階主題">進階主題</h2>
<p><strong>Risk Score multi-signal aggregation</strong>：Google Security Ops 給每個 entity（user / asset）累積 risk score、跨多 rule 加總、超 threshold 才升級 alert。設計上跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> RBA 同類、但 Google 把 risk decay 跟 attribution 走 Entity Graph、跨 entity 關係的 risk 傳遞比較細。配對 <a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a> 的 lesson：MFA fail 累積 + 新裝置 login + 異常地理三個 signal 加總、單獨任一個都不該 alert。</p>
<p><strong>Cross-tenant federated search</strong>：MSSP / 大型集團多 BU 可在 Google Security Ops 跨多個 tenant 做 federated search、單一 console 看跨組織 detection。權限走 <a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a> role assignment、跨 tenant admin 是高權限角色、走 break-glass + audit。</p>
<p><strong>Applied Threat Intel + Curated Detection 同步</strong>：Mandiant 揭露新 APT 活動後、Curated Detection 對應 rule 自動 enable + Applied Threat Intel IoC 自動 push、客戶 SOC 不需要手動 onboard。SolarWinds 2020 揭露當下、Mandiant client 是少數能即時 enable 對應 detection 的 SOC。</p>
<p><strong>Siemplify playbook 工程化</strong>：playbook 走 <em>graph-based workflow</em>（不是 linear pipeline）、可以 branching / approval gate / human-in-the-loop。Production rule 走 <em>containment-first</em>（disable session、不 delete account）+ approval gate for irreversible action。</p>
<p><strong>Gemini for Security (2024+)</strong>：LLM-assisted investigation — natural language 問「過去 24hr 哪些 user 有異常 GCP API 行為」直接生成 UDM query、alert 自動 summarize + 提供 next step 建議。不取代 SOC analyst、但縮短 triage time。</p>
<h2 id="排錯與失敗快速判讀">排錯與失敗快速判讀</h2>
<ul>
<li><strong>Custom source ingest 失敗</strong>：UDM parser 沒寫 / 寫錯、source 進不來或欄位 NULL — 補 parser、staging tenant 跑 sanity check、看 UDM event count by source 確認 normalization 通過</li>
<li><strong>Detection 沒觸發 / 漏報</strong>：YARA-L 的 <code>match { }</code> 段 time window 寫太短、或 <code>condition { }</code> threshold 寫太高 — staging tenant 用歷史資料 backtest、tune window / threshold 後 promote</li>
<li><strong>Alert volume 過多</strong>：Curated Detection 全開沒 tune、env-specific noise 沒 disable — 跟 <a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a> 一樣走 staging 觀察 false positive curve、tune 或 disable 個別規則</li>
<li><strong>Mandiant threat intel 沒命中</strong>：licensing tier 沒包 Mandiant Advantage、或 enrichment pipeline 沒啟用 — 檢查 tier、確認 Applied Threat Intel 開</li>
<li><strong>Siemplify playbook 黑箱 fire-and-forget</strong>：自動 disable 結果誤殺合法 user — playbook 走 approval gate、預設 containment 不 deletion、定期 dry-run</li>
<li><strong>Cross-tenant admin 太多</strong>：日常運維用 cross-tenant admin、blast radius 太大 — 收 admin、改 tenant-scoped role + 特定 capability、跨 tenant 走 break-glass</li>
<li><strong>Cost 比預期高</strong>：data tier 選錯（買了 Enterprise Plus 卻只用 Enterprise feature）、retention 設太長 — 看實際 ingestion + retention 用量、tier 跟 retention 一起 review</li>
</ul>
<h2 id="何時改走其他服務">何時改走其他服務</h2>
<table>
  <thead>
      <tr>
          <th>需求形狀</th>
          <th>改走</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td>Enterprise + 跨 on-prem + detection 成熟</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a></td>
      </tr>
      <tr>
          <td>OSS-friendly / 自管 / 預算敏感</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a></td>
      </tr>
      <tr>
          <td>Cloud-native + observability 已用 Datadog</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></td>
      </tr>
      <tr>
          <td>DLP / sensitive data discovery</td>
          <td><a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a></td>
      </tr>
      <tr>
          <td>Endpoint detection 為主</td>
          <td>CrowdStrike Falcon / Microsoft Defender for Endpoint</td>
      </tr>
      <tr>
          <td>Incident routing</td>
          <td><a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a></td>
      </tr>
  </tbody>
</table>
<h2 id="不在本頁內的主題">不在本頁內的主題</h2>
<ul>
<li>YARA-L 完整語法 reference、UDM 全欄位 schema</li>
<li>Chronicle / Siemplify / Mandiant 三條產品線整合前的歷史細節</li>
<li>Mandiant Advantage 平台（threat intel 訂閱、跟 SIEM 整合但獨立產品）</li>
<li>VirusTotal（Google 旗下、跟 Mandiant 互補但獨立服務）</li>
<li>Gemini for Security 的 prompt engineering 細節</li>
<li>Google Workspace security center（屬 Google Workspace、不在 Security Ops 範圍）</li>
</ul>
<h2 id="案例回寫">案例回寫</h2>
<p>Google Security Ops 在 07 案例庫沒有直接 vendor-level 事件、但所有 detection-related case 都是 SIEM 偵測覆蓋率的對照：</p>
<table>
  <thead>
      <tr>
          <th>案例</th>
          <th>跟 Google Security Ops 的關係（對照啟示）</th>
      </tr>
  </thead>
  <tbody>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/microsoft-storm-0558-2023-signing-key-chain/" data-link-title="7.R7.1.5 Microsoft Storm-0558 2023：簽章金鑰鏈與郵件存取" data-link-desc="從簽章金鑰保護失效到雲端郵件存取，拆解身分信任鏈的關鍵控制點">Microsoft Storm-0558 Signing Key Chain</a></td>
          <td>UDM 強制 normalize 跨 Azure AD / GCP / Okta token validation 欄位、YARA-L 跨 source join 直接表達跨租戶 token forging pattern、Entity Graph 視覺化</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/identity-access/uber-2022-mfa-fatigue/" data-link-title="7.R7.1.1 Uber 2022：MFA 疲勞與內部工具擴散" data-link-desc="從社交工程到內部工具存取，拆解身分流程與權限邊界的失效點">Uber 2022 MFA Fatigue</a></td>
          <td>YARA-L sequence pattern 直接表達「MFA fail count + 新裝置 login」、Risk Score 累積到 threshold 觸發 Siemplify playbook 自動 disable session</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/supply-chain/solarwinds-2020-sunburst/" data-link-title="7.R7.2.1 SolarWinds 2020：更新鏈被濫用" data-link-desc="合法更新流程遭植入後，攻擊者如何長期潛伏與橫向擴散">SolarWinds 2020 Sunburst</a></td>
          <td>Mandiant 揭露 IoC 後 Applied Threat Intel 自動 push、Curated Detection 對應規則自動 enable、客戶不需要手動 onboard rule</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/red-team/cases/data-exfiltration/snowflake-2024-credential-abuse/" data-link-title="7.R7.4.2 Snowflake 2024：憑證濫用與資料竊取" data-link-desc="外洩憑證與 MFA 缺口如何在資料平台形成高風險外送事件">Snowflake 2024 Credential Abuse</a></td>
          <td>YARA-L 表達「query 體積 / 跨 schema scan / 來源 IP baseline」三軸 correlation rule；Entity Graph 聚合 credential / IP / data warehouse account 視覺化異常擴散（公開 UNC5537 跨客戶模式屬案例外延伸）</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle (section)</a></td>
          <td>Curated Detection + 自家 YARA-L rule 走 propose → staging → promote lifecycle、Google Security Ops 內建 rule versioning + Git → API push</td>
      </tr>
      <tr>
          <td><a href="/blog/backend/07-security-data-protection/blue-team/alert-fatigue-and-signal-quality/" data-link-title="7.B10 Alert Fatigue and Signal Quality" data-link-desc="建立告警疲勞治理方法，讓訊號品質、分級一致性與處置效率同步提升">Alert Fatigue and Signal Quality (section)</a></td>
          <td>Risk Score multi-signal aggregation 是 alert fatigue 的工程化解法、跟 Splunk RBA 同類但 risk 傳遞走 Entity Graph、跨 entity 關係更細</td>
      </tr>
  </tbody>
</table>
<h2 id="下一步路由">下一步路由</h2>
<ul>
<li>上游：<a href="/blog/backend/07-security-data-protection/detection-coverage-and-signal-governance/" data-link-title="7.13 偵測覆蓋率與訊號治理" data-link-desc="定義偵測覆蓋、訊號品質與誤報成本的治理問題">7.13 偵測覆蓋率與訊號治理</a>、<a href="/blog/backend/07-security-data-protection/blue-team/detection-engineering-lifecycle/" data-link-title="7.B5 Detection Engineering Lifecycle" data-link-desc="把偵測規則視為可維護資產，建立從來源、測試、調校到退場的完整生命週期">Detection Engineering Lifecycle</a></li>
<li>平行：<a href="/blog/backend/07-security-data-protection/vendors/splunk/" data-link-title="Splunk" data-link-desc="業界 SIEM 標準、forwarder &#43; indexer &#43; search head 架構、SPL 為核心查詢語言、ingestion-based 計費跟偵測覆蓋率的 trade-off">Splunk</a>、<a href="/blog/backend/07-security-data-protection/vendors/elastic-security/" data-link-title="Elastic Security" data-link-desc="Elastic Stack 上的 SIEM &#43; EDR &#43; Cloud Security 套件、OSS 起源、KQL/EQL/Lucene/ES|QL 多查詢語言、resource-based pricing">Elastic Security</a>、<a href="/blog/backend/07-security-data-protection/vendors/datadog-security/" data-link-title="Datadog Security" data-link-desc="Datadog observability platform 上的 security suite：Cloud SIEM &#43; CSPM &#43; CWS &#43; AAP &#43; Sensitive Data Scanner、跟 observability 同 plane">Datadog Security</a></li>
<li>下游：<a href="/blog/backend/07-security-data-protection/vendors/google-dlp/" data-link-title="Google DLP" data-link-desc="GCP 原生 Sensitive Data Protection：infoType discovery &#43; transformation (mask / FPE / tokenize / k-anonymity)、整合 BigQuery / GCS / Cloud SQL">Google DLP</a> / <a href="/blog/backend/07-security-data-protection/vendors/microsoft-purview/" data-link-title="Microsoft Purview" data-link-desc="Microsoft 跨 M365 / Azure / endpoint 的 data governance &#43; information protection &#43; DLP &#43; insider risk 統合平台、label-driven">Microsoft Purview</a>（DLP signal 進 Google Security Ops）</li>
<li>跨類：<a href="/blog/backend/07-security-data-protection/vendors/google-cloud-iam/" data-link-title="Google Cloud IAM" data-link-desc="GCP cloud resource permission engine、Role Binding / Service Account / Workload Identity Federation、resource hierarchy 為核心的權限治理">Google Cloud IAM</a>（GCP IAM log + Workload Identity Federation）、<a href="/blog/backend/07-security-data-protection/vendors/google-secret-manager/" data-link-title="Google Secret Manager" data-link-desc="GCP 原生 secret store、CMEK &#43; Workload Identity Federation 整合、rotation 走自寫 Cloud Function 而非 built-in Lambda">Google Secret Manager</a>（SOAR playbook 拉 API）、<a href="/blog/backend/07-security-data-protection/vendors/okta/" data-link-title="Okta" data-link-desc="SaaS Identity Provider 主流選項、SSO / MFA / lifecycle 整合、第三方信任邊界的代價">Okta</a>（IdP log source）、<a href="/blog/backend/07-security-data-protection/vendors/cloudflare-waf/" data-link-title="Cloudflare WAF" data-link-desc="Edge WAF &#43; DDoS &#43; Bot management 整合套件、global anycast 網路、控制面信任邊界跟客戶側補強的對照">Cloudflare WAF</a>（WAF log + auto-block）</li>
<li>跨模組：<a href="/blog/backend/08-incident-response/vendors/" data-link-title="事故處理 Vendor 清單" data-link-desc="規劃 on-call、incident response、status page 與 postmortem 工具的服務頁撰寫順序與判準">8 事故處理 vendor 清單</a>（alert → IR routing）、<a href="/blog/backend/04-observability/" data-link-title="模組四：可觀測性平台" data-link-desc="整理 log、metric、trace、dashboard 與 alert 的後端操作實務">4 observability</a>（log pipeline 共用判斷）</li>
<li>官方：<a href="https://cloud.google.com/security/products/security-operations">Google Security Operations Documentation</a></li>
</ul>
]]></content:encoded></item></channel></rss>