Feed 管理概览
本页面简要介绍了 Google SecOps Feed 管理。 您可以使用 Feed 管理界面或 Feed Management API 创建和管理 Feed。
Feed 管理界面是以 Feed Management API 为基础构建的。您可以使用 Google SecOps 数据 Feed,以便从以下来源将日志数据注入到您的 Google SecOps 实例中:
- Google SecOps 支持的云存储服务,例如 Google Cloud Storage 和 Amazon S3
- 受 Google SecOps 支持并通过 API 访问的第三方数据源,例如 Microsoft 365
- 可通过 HTTP(S) 请求直接访问的文件
- 支持 HTTPS 推送提取的来源,例如 webhook、Pub/Sub Amazon Data Firehose。您可以使用 HTTPS 端点从这些来源推送日志。
您创建的每个 Feed 都由数据源类型和日志类型组成。 例如 Google Cloud Storage、第三方 API 和可通过 HTTP 访问的文件 多种来源类型对于 Google SecOps 支持的每种数据源类型,Google SecOps 还支持特定的日志类型。例如,对于 Google Cloud Storage 来源类型, Google SecOps 支持 Carbon Black 日志类型和许多其他日志类型。 支持的日志类型因来源类型而异。
创建 Feed 时,您需要指定来源类型、日志类型、所需权限 身份验证详细信息以及基于日志类型的其他信息。作为 Google SecOps 会存储用户凭据(例如 Google SecOps Feed 可以从 Secret Manager 中的第三方 API 注入日志数据)。
如果 Google SecOps 提供默认解析器 则提取的日志数据会同时存储在 Google SecOps 中 统一数据模型 (UDM) 格式和原始日志格式。
支持的来源类型和日志类型
Google SecOps 支持以下来源类型:
| Feed 来源类型 | 说明 |
|---|---|
| 第三方 API | 从第三方 API 注入数据。 |
| Pub/Sub | 使用 Pub/Sub 推送订阅注入数据。 |
| Google Cloud Storage | 从 Google Cloud Storage 存储桶注入数据。 |
| Amazon 数据 Firehose | 使用 Amazon Data Firehose 注入数据。 |
| Amazon S3 | 从 Amazon Simple Storage Service 存储桶注入数据。 |
| Amazon SQS | 从条目点的 Amazon Simple Queue Service 队列注入数据 S3 中存储的文件 |
| Azure Blob 存储区 | 从 Azure Blob Storage 注入数据。 |
| HTTP(S) | 从 HTTP(S) 请求可访问的文件中提取数据。正确做法
使用此来源类型与第三方 API 交互。使用 API
Google SecOps 支持的第三方 API 的 Feed 来源类型。 |
| 网络钩子 | 使用 HTTPS webhook 提取数据。 |
您可以通过以下几种方式查看支持的日志类型列表:
Google SecOps 界面:了解如何查看受支持的 SecOps 列表 日志类型,请参阅添加 Feed。
API 参考文档:查看第三方 API 支持的日志类型的列表 Feed,请参阅按日志类型进行配置。
Feed Schema API:要查看任何来源类型的日志类型,您还可以使用 Feed Schema API。