Chronicle へのデータ取り込みの概要

次の図は、セキュリティ データが Chronicle に流れる仕組みと、Chronicle のユーザー インターフェースを使用してそのデータを処理して分析用に準備する方法を示しています。

Chronicle へのデータのフローと処理

Chronicle へのカスタマー セキュリティ データのフローと処理

Chronicle は、カスタマー セキュリティ データを次のように処理します。

  1. 内部のデータ転送サービス(Chronicle Forwarder など)または標準のセキュア プロトコル(SFTP など)が未加工のセキュリティ データを Chronicle に直接送信します。セキュリティ データが Chronicle への転送中に暗号化されます。
  2. Chronicle がクラウド サービス(Amazon S3 や Google Cloud など)に保存されているセキュリティ データを取得します。データが Chronicle への転送中に暗号化されます。
  3. Chronicle がセキュリティ データを論理的に分離して、お使いのアカウントに暗号化された形式で保存します。データにアクセスできるのはお客様のみ、およびプロダクトのサポート、開発、メンテナンスの必要に応じて限定された数の Google 担当者です。
  4. Chronicle が未加工セキュリティ データを解析して検証します。これにより、データの処理と表示が容易になります。
  5. Chronicle がデータにインデックスを付けます。これにより、データの検索が容易になります。
  6. 検証と解析の完了後、Chronicle はサードパーティのフィード(DHS 脅威フィードなど)と Chronicle の内部の脅威分析ツールとシステムでセキュリティ データをチェックします。
  7. Chronicle が解析とインデックス付けを終えたデータを各アカウントに暗号化された形式で保存します。
  8. アカウントにログインして、セキュリティ データを検索して確認します。
  9. Chronicle がセキュリティ データと VirusTotal マルウェア データベースとの間に一致データがないか検索します。アセットビューなどの Chronicle のイベントビューで、[VT コンテキスト] をクリックして VirusTotal の情報を表示します。セキュリティ データが VirusTotal と共有されることはありません。