BigQuery の Google Security Operations データ

以下でサポートされています。

Google Security Operations は、データを BigQuery にエクスポートすることで、標準化されたテレメトリーと脅威インテリジェンスで強化されたマネージド データレイクを提供します。これにより、次のことが可能になります。

  • BigQuery でアドホック クエリを直接実行します。
  • Looker や Microsoft Power BI などの独自のビジネス インテリジェンス ツールを使用して、ダッシュボード、レポート、分析を作成します。
  • Google Security Operations のデータをサードパーティ データセットと結合します。
  • データ サイエンス ツールまたは ML ツールを使用して分析を実行します。
  • 事前定義されたデフォルトのダッシュボードとカスタム ダッシュボードを使用して、レポートを実行します。

Google Security Operations は、次のカテゴリのデータを BigQuery にエクスポートします。

  • UDM イベント レコード: お客様が取り込んだログデータから作成された UDM レコード。これらのレコードは、エイリアス情報で拡充されています。
  • ルールの一致(検出): ルールが 1 つ以上のイベントと一致するインスタンス。
  • IoC の一致: セキュリティ侵害インジケーター(IoC)フィードに一致するイベントのアーティファクト(ドメイン、IP アドレスなど)。これには、グローバル フィードとお客様固有のフィードからの一致が含まれます。
  • 取り込み指標: 取り込まれたログ行の数、ログから生成されたイベントの数、ログが解析できなかったことを示すログエラーの数、Google Security Operations フォワーダーの状態などの統計情報が含まれます。詳細については、取り込み指標の BigQuery スキーマをご覧ください。
  • エンティティ グラフとエンティティの関係: エンティティの説明と、他のエンティティとの関係を保存します。

データ エクスポート フロー

データ エクスポートの流れは次のとおりです。

  1. ユースケースに固有の一連の Google Security Operations データが、お客様固有の Google Cloud プロジェクトに存在し、Google によって管理されている BigQuery インスタンスにエクスポートされます。ユースケースごとのデータは、個別のテーブルにエクスポートされます。これは、Google Security Operations からお客様固有のプロジェクトの BigQuery にエクスポートされます。
  2. エクスポートの一環として、Google Security Operations はユースケースごとに事前定義された Looker データモデルを作成します。
  3. Google Security Operations のデフォルト ダッシュボードは、事前定義された Looker データモデルを使用して構築されます。Google Security Operations では、事前定義された Looker データモデルを使用してカスタム ダッシュボードを作成できます。
  4. お客様は、BigQuery テーブルに保存されている Google Security Operations データに対してアドホック クエリを作成できます。

  5. BigQuery と統合された他のサードパーティ ツールを使用して、より高度な分析を作成することもできます。

    BigQuery に対するプロセスへのデータ エクスポート

BigQuery インスタンスは、Google Security Operations テナントと同じリージョンに作成されます。お客様 ID ごとに 1 つの BigQuery インスタンスが作成されます。元のログは、BigQuery の Google Security Operations データレイクにエクスポートされません。データは、先行入力ベースでエクスポートされます。データが Google Security Operations で取り込まれ、正規化されると、BigQuery にエクスポートされます。以前に取り込まれたデータをバックフィルすることはできません。すべての BigQuery テーブルのデータの保持期間は 365 日です。

Looker 接続の場合、Looker インスタンスを BigQuery の Google Security Operations データに接続できるようにするサービス アカウントの認証情報については、Google Security Operations の担当者にお問い合わせください。サービス アカウントには読み取り専用権限が付与されます。

テーブルの概要

Google Security Operations は、BigQuery に datalake データセットと次のテーブルを作成します。

  • entity_enum_value_to_name_mapping: entity_graph テーブルの列挙型の場合、数値を文字列値にマッピングします。
  • entity_graph: UDM エンティティに関するデータを保存します。
  • events: UDM イベントに関するデータを保存します。
  • ingestion_metrics: Google Security Operations フォワーダ、フィード、Ingestion API など、特定の取り込みソースからのデータの取り込みと正規化に関連する統計情報を保存します。
  • ioc_matches: UDM イベントに対して検出された IOC マッチを保存します。
  • job_metadata: BigQuery へのデータのエクスポートを追跡するために使用される内部テーブル。
  • rule_detections: Google Security Operations で実行されるルールによって返された検出結果を保存します。
  • rulesets: 各ルールセットが属するカテゴリ、カテゴリが有効になっているかどうか、現在のアラート ステータスなど、Google Security Operations のキュレートされた検出に関する情報を保存します。
  • udm_enum_value_to_name_mapping: イベント テーブルの列挙型の場合、数値を文字列値にマッピングします。
  • udm_events_aggregates: 正規化されたイベントの 1 時間単位の集計データを保存します。

BigQuery のデータにアクセスする

BigQuery でクエリを直接実行することも、Looker や Microsoft Power BI などの独自のビジネス インテリジェンス ツールを BigQuery に接続することもできます。

BigQuery インスタンスへのアクセスを有効にするには、Google Security Operations CLI または Google Security Operations BigQuery Access API を使用します。所有しているユーザーまたはグループのメールアドレスを指定できます。グループへのアクセスを構成する場合は、そのグループを使用して、BigQuery インスタンスにアクセスできるチームメンバーを管理します。

Looker などのビジネス インテリジェンス ツールを BigQuery に接続するには、アプリケーションを Google Security Operations の BigQuery データセットに接続できるサービス アカウント認証情報について、Google Security Operations の担当者にお問い合わせください。サービス アカウントには、IAM BigQuery データ閲覧者ロール(roles/bigquery.dataViewer)と BigQuery ジョブ閲覧者ロール(roles/bigquery.jobUser)が付与されます。

次のステップ