Visão geral da ingestão de dados no Chronicle

O diagrama a seguir ilustra como seus dados de segurança podem fluir para o Chronicle e como processam esses dados e os preparam para análise usando a interface do usuário do Chronicle.

Fluxo e processamento de dados para o Chronicle

Fluxo e processamento de dados de segurança do cliente para o Chronicle

O Chronicle processa dados de segurança dos clientes da seguinte forma:

  1. Um serviço de encaminhamento de dados interno (como o Chronicle Forwarder) ou um protocolo seguro padrão (como SFTP) envia dados brutos de segurança diretamente para o Chronicle. Os dados de segurança são criptografados em trânsito no Chronicle.
  2. O Chronicle recupera dados de segurança armazenados em um serviço na nuvem (como o Amazon S3 ou o Google Cloud). Os dados são criptografados em trânsito no Chronicle.
  3. O Chronicle separa e armazena logicamente os dados de segurança na sua conta, de forma criptografada. Os dados são acessados apenas pelo cliente e um número limitado de funcionários do Google, conforme necessário para dar suporte, desenvolver e manter o produto.
  4. O Chronicle analisa e valida os dados brutos de segurança, facilitando o processamento e a exibição deles.
  5. O Chronicle indexa os dados para facilitar a pesquisa.
  6. Depois de serem validados e analisados, o Chronicle verifica os dados de segurança em relação a feeds de terceiros (como o feed de ameaças DHS) e as ferramentas e sistemas internos de análise de ameaças do Chronicle.
  7. O Chronicle armazena dados analisados e indexados de maneira criptografada em cada conta.
  8. Você faz login na sua conta para pesquisar e analisar seus dados de segurança.
  9. O Chronicle pesquisa correspondências entre seus dados de segurança e o banco de dados de malware do VirusTotal. O Chronicle exibe correspondências no bloco VirusTotal Insight na IU do Chronicle. Seus dados de segurança nunca são compartilhados com o VirusTotal.