Google Security Operations へのデータの取り込みの概要
次の図は、セキュリティ データが Google Security Operations に流れる仕組みと、Google Security Operations がそのデータを処理して、Google Security Operations のユーザー インターフェースを使用して分析用に準備する方法を示しています。
Google Security Operations へのカスタマー セキュリティ データのフローと処理
Google Security Operations では、カスタマー セキュリティ データを次のように処理します。
- 内部のデータ転送サービス(Google Security Operations Forwarder など)または標準のセキュア プロトコル(SFTP など)が未加工のセキュリティ データを Google Security Operations に直接送信します。セキュリティ データが Google Security Operations への転送中に暗号化されます。
- Google Security Operations は、クラウド サービス(Amazon S3 や Google Cloud など)に保存されているセキュリティ データを取得します。データが Google Security Operations への転送中に暗号化されます。
- Google Security Operations がセキュリティ データを論理的に分離して、お使いのアカウントに暗号化された形式で保存します。データにアクセスできるのはお客様のみ、およびプロダクトのサポート、開発、メンテナンスの必要に応じて限定された数の Google 担当者です。
- Google Security Operations が未加工セキュリティ データを解析して検証します。これにより、データの処理と表示が容易になります。
- Google Security Operations がデータにインデックスを付けます。これにより、データの検索が容易になります。
- 検証と解析の完了後、Google Security Operations はサードパーティのフィード(DHS 脅威フィードなど)と Google Security Operations の内部の脅威分析ツールとシステムでセキュリティ データをチェックします。
- Google Security Operations は、解析とインデックス付けを終えたデータを各アカウントに暗号化された形式で保存します。
- アカウントにログインして、セキュリティ データの検索と確認を行います。
- Google Security Operations がセキュリティ データと VirusTotal マルウェア データベースとの間に一致データがないか検索します。アセットビューなどの Google Security Operations のイベントビューで、[VT コンテキスト] をクリックして VirusTotal の情報を表示します。セキュリティ データが VirusTotal と共有されることはありません。