Descripción general de la administración de feeds
En esta página, se proporciona una descripción general de la administración de feeds de Google SecOps. Puedes crear y administrar feeds con la IU o la API de administración de feeds.
La IU de administración de feeds se basa en la API de administración de feeds. Puedes usar feeds de datos de Google SecOps para transferir datos de registro a tu instancia de Google SecOps desde las siguientes fuentes:
- Servicios de almacenamiento en la nube compatibles con Google SecOps, como Google Cloud Storage y Amazon S3
- Fuentes de datos de terceros que son compatibles con Google SecOps y a las que se accede a través de una API, como Microsoft 365
- Archivos accesibles directamente con solicitudes HTTP(S)
- Fuentes que admiten la transferencia de envío HTTPS, como webhooks, Pub/Sub y Amazon Data Firehose. Puedes enviar registros con un extremo HTTPS desde estas fuentes.
Cada feed que creas está compuesto por un tipo de fuente de datos y un tipo de registro. Algunos ejemplos de tipos de fuentes son Google Cloud Storage, las API de terceros y los archivos accesibles mediante HTTP. Para cada tipo de fuente de datos compatible con Google SecOps, también admite tipos de registro específicos. Por ejemplo, para el tipo de fuente de Google Cloud Storage, Google SecOps es compatible con el tipo de registro Carbon Black y muchos más. La lista de tipos de registros admitidos varía según el tipo de fuente.
Cuando creas un feed, debes especificar el tipo de fuente, el tipo de registro, los permisos necesarios, los detalles de autenticación y otra información basada en el tipo de registro. Como parte de su diseño de seguridad, Google SecOps almacena las credenciales de los usuarios (por ejemplo, las credenciales que proporcionas para que un feed de Google SecOps pueda transferir datos de registro desde una API de terceros) en Secret Manager.
Si Google SecOps proporciona un analizador predeterminado para el tipo de registro, los datos de registro transferidos se almacenan en formato de Modelo de datos unificado (UDM) de Google SecOps y en formato de registro sin procesar.
Tipos de fuentes y tipos de registros admitidos
Google SecOps admite los siguientes tipos de fuentes:
| Tipo de fuente del feed | Descripción |
|---|---|
| API de terceros | Transferir datos desde una API de terceros |
| Pub/Sub | Transferir datos con una suscripción de envío de Pub/Sub |
| Google Cloud Storage | Transferir datos desde un bucket de Google Cloud Storage |
| Amazon Data Firehose | Transferir datos con Amazon Data Firehose |
| Amazon S3 | Transferir datos desde un bucket de Amazon Simple Storage Service. |
| Amazon SQS | Transfiere datos desde una cola de Amazon Simple Queue Service cuyas entradas apunten a archivos almacenados en S3. |
| Azure Blobstore | Transferir datos desde Azure Blob Storage |
| HTTP(S) | Transfiere datos desde archivos a los que se puede acceder a través de una solicitud HTTP(S). No uses este tipo de fuente para interactuar con APIs de terceros. Usa el tipo de fuente de feed API
para las APIs de terceros compatibles con Google SecOps. |
| Webhook | Transferir datos con un webhook HTTPS |
Existen varias formas de ver una lista de los tipos de registros admitidos:
IU de Google SecOps: Si quieres obtener información para ver la lista de tipos de registros compatibles con cada tipo de fuente, consulta Agrega un feed.
Documentación de referencia de la API: Si quieres ver una lista de los tipos de registros admitidos para los feeds de API de terceros, consulta Configuración por tipo de registro.
API de Feed Schema: Para ver los tipos de registro de cualquier tipo de fuente, también puedes usar la API de Feed Schema.
¿Qué sigue?
- Obtén más información para crear y administrar feeds con la IU de administración de feeds.
- Obtén más información para crear y administrar feeds con la API de administración de feeds.