Visão geral do gerenciamento de feeds
Esta página oferece uma visão geral do gerenciamento de feeds do Google SecOps. É possível criar e gerenciar feeds usando a UI de gerenciamento de feeds ou a API de gerenciamento de feeds.
A UI de gerenciamento de feeds é criada na API de gerenciamento de feeds. Você pode usar os feeds de dados do Google SecOps para ingerir dados de registro na sua instância do Google SecOps das seguintes fontes:
- Serviços de armazenamento em nuvem com suporte do Google SecOps, como o Google Cloud Storage e o Amazon S3
- Fontes de dados de terceiros com suporte do Google SecOps e acessadas por API, como o Microsoft 365
- Arquivos acessíveis diretamente usando solicitações HTTP(S)
- Fontes que oferecem suporte à transferência HTTPS push, como webhooks, Pub/Sub e Amazon Data Firehose. É possível enviar logs usando um endpoint HTTPS dessas fontes.
Cada feed criado é composto por um tipo de fonte de dados e um tipo de registro. O Google Cloud Storage, APIs de terceiros e arquivos acessíveis por HTTP são exemplos de tipos de origem. Para cada tipo de fonte de dados com suporte do Google SecOps, ele também oferece suporte a tipos de registro específicos. Por exemplo, para o tipo de origem do Google Cloud Storage, o Google SecOps oferece suporte ao tipo de registro Carbon Black e muitos outros. A lista de tipos de registro aceitos varia de acordo com o tipo de origem.
Ao criar um feed, você especifica o tipo de origem, o tipo de registro, as permissões necessárias, os detalhes de autenticação e outras informações com base no tipo de registro. Como parte do design de segurança, o Google SecOps armazena credenciais de usuário (por exemplo, as que você fornece para que um feed do Google SecOps possa ingerir dados de registro de uma API de terceiros) no Secret Manager.
Se o Google SecOps fornecer um analisador padrão para o tipo de registro, os dados de registro ingeridos serão armazenados no formato de modelo de dados unificado (UDM, na sigla em inglês) do Google SecOps e no formato de registro bruto.
Tipos de origem e de registro compatíveis
O Google SecOps é compatível com os seguintes tipos de origem:
| Tipo de origem do feed | Descrição |
|---|---|
| API de terceiros | Ingerir dados de uma API de terceiros. |
| Pub/Sub | Ingerir dados usando uma assinatura de push do Pub/Sub. |
| Google Cloud Storage | Faça a ingestão de dados de um bucket do Google Cloud Storage. |
| Amazon Data Firehose | Faça a ingestão de dados usando o Amazon Data Firehose. |
| Amazon S3 | Faça a ingestão de dados de um bucket do Amazon Simple Storage Service. |
| Amazon SQS | Receber dados de uma fila do Amazon Simple Queue Service cujas entradas apontam para arquivos armazenados no S3 |
| Azure Blobstore | Faça a ingestão de dados do Armazenamento de blobs do Azure. |
| HTTP(S) | Ingerir dados de arquivos acessíveis por uma solicitação HTTP(S). Não
use esse tipo de origem para interagir com APIs de terceiros. Use o tipo de fonte de feed API
para APIs de terceiros com suporte do Google SecOps. |
| Webhook | Ingerir dados usando um webhook HTTPS. |
Há várias maneiras de conferir uma lista dos tipos de registro aceitos:
Google SecOps UI: para saber como conferir a lista de tipos de registro com suporte para cada tipo de origem, consulte Adicionar um feed.
Documentação de referência da API: para conferir uma lista de tipos de registro compatíveis com feeds de API de terceiros, consulte Configuração por tipo de registro.
API Feed Schema: para conferir os tipos de registro de qualquer tipo de origem, use também a API Feed Schema.
A seguir
- Saiba como criar e gerenciar feeds usando a interface de gerenciamento de feeds.
- Saiba como criar e gerenciar feeds usando a API Feed Management.