Présentation de la gestion des flux
Cette page présente la gestion des flux Google SecOps. Vous pouvez créer et gérer des flux à l'aide de l'interface utilisateur ou de l'API de gestion des flux.
L'UI de gestion des flux est basée sur l'API de gestion des flux. Vous pouvez utiliser Google SecOps flux de données pour ingérer dans votre instance Google SecOps des données de journaux provenant des sources suivantes:
- Services de stockage dans le cloud compatibles avec Google SecOps, tels que Google Cloud Storage et Amazon S3
- Sources de données tierces compatibles avec Google SecOps et accessibles via une API, telles que Microsoft 365
- Fichiers accessibles directement à l'aide de requêtes HTTP(S)
- Sources compatibles avec l'ingestion push HTTPS, telles que les webhooks, Pub/Sub et Amazon Data Firehose Vous pouvez envoyer des journaux à l'aide d'un point de terminaison HTTPS à partir de ces sources.
Chaque flux que vous créez est composé d'un type de source de données et d'un type de journal. Google Cloud Storage, les API tierces et les fichiers accessibles en HTTP sont des exemples de types de sources. Pour chaque type de source de données compatible avec Google SecOps, Google SecOps prend également en charge des types de journaux spécifiques. Par exemple, pour le type de source Google Cloud Storage, Google SecOps est compatible avec le type de journal Carbon Black et de nombreux autres. La liste des types de journaux compatibles varie selon le type de source.
Lorsque vous créez un flux, vous spécifiez le type de source, le type de journal, les autorisations requises, les informations d'authentification et d'autres informations basées sur le type de journal. Dans le cadre de sa conception de sécurité, Google SecOps stocke les identifiants utilisateur (par exemple, les identifiants que vous fournissez pour qu'un flux Google SecOps puisse ingérer des données de journal à partir d'une API tierce) dans Secret Manager.
Si Google SecOps fournit un analyseur par défaut pour le type de journal, les données de journaux ingérées sont stockées à la fois dans Google SecOps Format de modèle de données unifié (UDM) et format de journal brut.
Types de sources et de journaux compatibles
Google SecOps est compatible avec les types de sources suivants:
| Type de source de flux | Description |
|---|---|
| API tierce | Ingérez des données à partir d'une API tierce. |
| Pub/Sub | Ingérer des données à l'aide d'un abonnement push Pub/Sub |
| Google Cloud Storage | Ingérer les données d'un bucket Google Cloud Storage |
| Amazon Data Firehose | Ingérez des données à l'aide d'Amazon Data Firehose. |
| Amazon S3 | Ingérer des données à partir d'un bucket Amazon Simple Storage Service |
| Amazon SQS | Ingérer les données d'une file d'attente Amazon Simple Queue Service dont les entrées pointent aux fichiers stockés dans S3 |
| Azure Blobstore | Ingérer des données à partir d'Azure Blob Storage |
| HTTP(S) | Ingérer des données à partir de fichiers accessibles via une requête HTTP(S). N'utilisez pas ce type de source pour interagir avec des API tierces. Utilisez le type de source de flux API pour les API tierces compatibles avec Google SecOps. |
| Webhook | Ingérer des données à l'aide d'un webhook HTTPS |
Il existe plusieurs façons d'afficher la liste des types de journaux compatibles :
Interface utilisateur Google SecOps : pour savoir comment afficher la liste des types de journaux compatibles pour chaque type de source, consultez Ajouter un flux.
Documentation de référence de l'API: permet d'afficher la liste des types de journaux compatibles avec les API tierces. consultez la section Configuration par type de journal.
API Feed Schema: pour afficher les types de journaux de n'importe quel type de source, vous pouvez également utiliser la API Feed Schema :
Étape suivante
- Découvrez comment créer et gérer des flux à l'aide de l'interface utilisateur de gestion des flux.
- Découvrez comment créer et gérer des flux à l'aide de l'API Feed Management.