BigQuery 中的 Google SecOps 資料
支援的國家/地區:
Google SecOps
SIEM
Google SecOps 會將資料匯出至 BigQuery,提供正規化和增補過的威脅情報資料,並代管遙測資料湖。這可讓您執行以下操作:
- 直接在 BigQuery 中執行臨時查詢。
- 使用 Looker 或 Microsoft Power BI 等商業智慧工具,建立資訊主頁、報表和數據分析。
- 將 Google SecOps 資料與第三方資料集彙整。
- 使用資料科學或機器學習工具執行分析。
- 使用預先定義的預設資訊主頁和自訂資訊主頁執行報表。
Google SecOps 會將下列類別的資料匯出至 BigQuery:
- UDM 事件記錄:從客戶擷取的記錄檔資料建立的 UDM 記錄。 這些記錄會加入別名資訊。
- 規則相符 (偵測):規則與一或多個事件相符的例項。
- IoC 比對結果:事件中的構件 (例如網域、IP 位址) 與入侵指標 (IoC) 資訊串流相符。包括來自全球動態饋給和客戶專屬動態饋給的比對。
- 擷取指標:包括統計資料,例如擷取的記錄行數、從記錄產生的事件數、指出記錄無法剖析的記錄錯誤數,以及 Google SecOps 轉送程式的狀態。詳情請參閱「擷取指標 BigQuery 結構定義」。
- 實體圖和實體關係:儲存實體的說明,以及實體與其他實體的關係。
資料表總覽
Google SecOps 會在 BigQuery 中建立 datalake 資料集和下列資料表:
entity_enum_value_to_name_mapping:針對entity_graph表格中的列舉型別,將數值對應至字串值。entity_graph:儲存 UDM 實體相關資料。events:儲存 UDM 事件的資料。ingestion_metrics: 儲存與特定擷取來源 (例如 Google SecOps 轉送器、動態消息和 Ingestion API) 資料擷取和正規化相關的統計資料。ioc_matches:儲存根據 UDM 事件找到的 IOC 相符項目。job_metadata:用於追蹤資料匯出至 BigQuery 的內部資料表。rule_detections:儲存 Google SecOps 中規則執行作業傳回的偵測結果。rulesets:儲存 Google SecOps 精選偵測的相關資訊,包括每個規則集所屬的類別、是否已啟用,以及目前的快訊狀態。udm_enum_value_to_name_mapping:針對事件表格中的列舉型別,將數值對應至字串值。udm_events_aggregates:儲存以標準化事件的小時為單位匯總的資料摘要。
存取 BigQuery 中的資料
您可以直接在 BigQuery 中執行查詢,或將自己的商業智慧工具 (例如 Looker 或 Microsoft Power BI) 連接至 BigQuery。
如要啟用 BigQuery 執行個體的存取權,請使用 Google SecOps BigQuery Access API。您可以提供使用者或您擁有的群組的電子郵件地址。如果您設定群組的存取權,請使用群組管理哪些團隊成員可以存取 BigQuery 執行個體。
如要將 Looker 或其他商業智慧工具連結至 BigQuery,請向 Google SecOps 代表索取服務帳戶憑證,以便將應用程式連結至 Google SecOps BigQuery 資料集。服務帳戶會擁有 IAM BigQuery 資料檢視者角色 (roles/bigquery.dataViewer) 和 BigQuery 工作檢視者角色 (roles/bigquery.jobUser)。
後續步驟
- 進一步瞭解下列結構定義:
- 如要瞭解如何在 BigQuery 中存取及執行查詢,請參閱執行互動式和批次查詢工作。
- 如要瞭解如何查詢分區資料表,請參閱查詢分區資料表。
- 如要瞭解如何將 Looker 連線至 BigQuery,請參閱 Looker 說明文件中的這篇文章。
還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。