Descripción general de la administración de feeds
En esta página, se proporciona una descripción general de la administración de feeds de SecOps de Google. Puedes crear y administrar feeds con la IU o la API de administración de feeds.
La IU de administración de feeds se basa en la API de administración de feeds. Puedes usar Google SecOps feeds de datos para transferir datos de registro a tu instancia de Google SecOps desde las siguientes fuentes:
- Servicios de almacenamiento en la nube compatibles con Google SecOps, como Google Cloud Storage y Amazon S3
- Fuentes de datos de terceros que son compatibles con Google SecOps y a las que se accede a través de una API, como Microsoft 365
- Archivos a los que se puede acceder directamente con solicitudes HTTP(S)
- Fuentes que admiten la transferencia de datos mediante HTTPS, como webhooks, Pub/Sub y Amazon Data Firehose. Puedes enviar registros con un extremo HTTPS desde estas fuentes.
Cada feed que creas está compuesto por un tipo de fuente de datos y un tipo de registro. Google Cloud Storage, las APIs de terceros y los archivos accesibles a través de HTTP son ejemplos de tipos de fuentes. Para cada tipo de fuente de datos compatible con Google SecOps, Google SecOps también admite tipos de registro específicos. Por ejemplo, para el tipo de fuente de Google Cloud Storage, Las SecOps de Google son compatibles con el tipo de registro de Carbon Black y muchos otros. La lista de tipos de registros compatibles varía según el tipo de fuente.
Cuando creas un feed, debes especificar el tipo de fuente, el tipo de registro, los permisos necesarios los detalles de autenticación y otra información basada en el tipo de registro. Como parte de su diseño de seguridad, Google SecOps almacena las credenciales del usuario (por ejemplo, las credenciales que proporcionas para que un feed de Google SecOps pueda transferir datos de registro desde una API de terceros) en Secret Manager.
Si Google SecOps proporciona un analizador predeterminado, para el tipo de registro, los datos de registro transferidos se almacenan en ambas un formato de modelo de datos unificado (UDM) y formato de registro sin procesar.
Tipos de fuentes y tipos de registros admitidos
Google SecOps admite los siguientes tipos de fuentes:
Tipo de fuente de feeds | Descripción |
---|---|
API de terceros | Transferir datos desde una API de terceros |
Pub/Sub | Transferir datos con una suscripción push de Pub/Sub |
Google Cloud Storage | Transferir datos desde un bucket de Google Cloud Storage |
Amazon Data Firehose | Transferir datos con Amazon Data Firehose |
Amazon S3 | Transferir datos desde un bucket de Amazon Simple Storage Service. |
Amazon SQS | Transferir datos desde una cola de Simple Queue Service de Amazon cuyas entradas apunten a los archivos almacenados en S3 |
Azure Blobstore | Transferir datos de Azure Blob Storage |
HTTP(S) | Transferir datos de archivos a los que se puede acceder mediante una solicitud HTTP(S) No use este tipo de fuente para interactuar con APIs de terceros. Usa el tipo de fuente de feed API para las APIs de terceros compatibles con Google SecOps. |
Webhook | Transferir datos con un webhook HTTPS |
Existen varias formas de ver una lista de los tipos de registros compatibles:
IU de Google SecOps: Si deseas obtener información para ver la lista de tipos de registros compatibles para cada tipo de fuente, consulta Cómo agregar un feed.
Documentación de referencia de la API: Para ver una lista de los tipos de registros compatibles con los feeds de API de terceros, consulta Configuración por tipo de registro.
API de Feed Schema: Para visualizar tipos de registro de cualquier tipo de fuente, también puedes usar la API de Feed Schema.
¿Qué sigue?
- Obtén información para crear y administrar feeds con la IU de administración de feeds.
- Obtén información para crear y administrar feeds con la API de administración de feeds.