Panoramica della gestione dei feed
Questa pagina fornisce una panoramica della gestione dei feed di Google SecOps. Puoi creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed o l'API di gestione dei feed.
L'interfaccia utente di gestione dei feed si basa sull'API di gestione dei feed. Puoi utilizzare i feed di dati di Google SecOps per importare i dati dei log nell'istanza Google SecOps dalle seguenti origini:
- Servizi di archiviazione sul cloud supportati da Google SecOps, come Google Cloud Storage e Amazon S3
- Origini dati di terze parti supportate da Google SecOps e a cui si accede tramite API, come Microsoft 365
- File accessibili direttamente tramite richieste HTTP(S)
- Origini che supportano l'importazione push HTTPS, come webhook, Pub/Sub e Amazon Data Firehose. Puoi eseguire il push dei log utilizzando un endpoint HTTPS da queste origini.
Ogni feed che crei è composto da un tipo di origine dati e un tipo di log. Google Cloud Storage, API di terze parti e file accessibili tramite HTTP sono esempi di tipi di origini. Per ogni tipo di origine dati supportato da Google SecOps, supporta anche tipi di log specifici. Ad esempio, per il tipo di origine Google Cloud Storage, Google SecOps supporta il tipo di log Carbon Black e molti altri. L'elenco dei tipi di log supportati varia in base al tipo di origine.
Quando crei un feed, specifichi il tipo di origine, il tipo di log, le autorizzazioni richieste dettagli di autenticazione e altre informazioni basate sul tipo di log. Nell'ambito del suo design di sicurezza, Google SecOps archivia le credenziali utente (ad esempio quelle che fornisci in modo che un feed Google SecOps possa importare i dati dei log da un'API di terze parti) in Secret Manager.
Se Google SecOps fornisce un analizzatore sintattico predefinito per il tipo di log, i dati di log importati vengono archiviati sia in Google SecOps Formato Unified Data Model (UDM) e formato di log non elaborato.
Tipi di origini e di log supportati
Google SecOps supporta i seguenti tipi di origini:
| Tipo di origine del feed | Descrizione |
|---|---|
| API di terze parti | Importa i dati da un'API di terze parti. |
| Pub/Sub | Importa i dati utilizzando un abbonamento push Pub/Sub. |
| Google Cloud Storage | Importa i dati da un bucket Google Cloud Storage. |
| Amazon Data Firehose | Importa i dati utilizzando Amazon Data Firehose. |
| Amazon S3 | Importa i dati da un bucket Amazon Simple Storage Service. |
| Amazon SQS | Importa i dati da una coda Amazon Simple Queue Service le cui voci rimandano ai file archiviati in S3 |
| Azure Blobstore | Importa i dati da Archiviazione BLOB di Azure. |
| HTTP(S) | Importa i dati da file accessibili tramite una richiesta HTTP(S). Evita
e utilizzare questo tipo di origine
per interagire con API di terze parti. Usa API
tipo di origine del feed per le API di terze parti supportato da Google SecOps. |
| Webhook | Importa i dati utilizzando un webhook HTTPS. |
Esistono diversi modi per visualizzare un elenco dei tipi di log supportati:
UI di Google SecOps: per informazioni su come visualizzare l'elenco delle tipi di log per ciascun tipo di origine, consulta Aggiungere un feed.
Documentazione di riferimento dell'API: per visualizzare un elenco dei tipi di log supportati per i feed di API di terze parti, consulta Configurazione per tipo di log.
API Feed Schema: per visualizzare i tipi di log per qualsiasi tipo di origine, puoi anche utilizzare la classe API Feed Schema.
Passaggi successivi
- Scopri come creare e gestire i feed utilizzando l'interfaccia utente di gestione dei feed.
- Scopri come creare e gestire i feed utilizzando l'API Feed Management.