Google SecOps 資料擷取

Google Security Operations 會擷取客戶記錄、將資料標準化，並偵測安全快訊。此方案提供自助式功能，可進行資料擷取、威脅偵測、警示和案件管理。Google SecOps 也能接收其他 SIEM 系統的快訊並進行分析。

Google SecOps 記錄擷取

Google SecOps 擷取服務會做為所有資料的閘道。

Google SecOps 會使用下列系統擷取資料：

• 轉送器：安裝在客戶端點的遠端代理程式，可將資料傳送至 Google SecOps 擷取服務。如要進一步瞭解如何安裝 Linux 和 Windows 轉送器，請參閱「安裝及設定轉送器」。

• Bindplane 代理程式：Bindplane 代理程式會從各種來源收集記錄，並傳送至 Google SecOps。您可以使用選用的 Bindplane OP 管理控制台管理這個代理程式。詳情請參閱「使用 Bindplane 代理程式」。

• 擷取 API：Google SecOps 提供公開擷取 API，可讓您直接傳送資料。詳情請參閱 Ingestion API。

• Google Cloud：Google SecOps 會直接從貴機構 Google Cloud 擷取資料。詳情請參閱「將資料擷取至 Google SecOps」一文。 Google Cloud

• 資料動態饋給：資料動態饋給會從靜態外部位置 (例如 Amazon S3) 和第三方 API (例如 Okta) 擷取資料。這些資料動態饋給會將記錄直接傳送至 Google SecOps 擷取服務。詳情請參閱動態饋給管理說明文件。

  資料動態饋給支援大小上限為 4 MB 的記錄行。

剖析器會將客戶系統中的記錄轉換為統合式資料模型 (UDM)。Google SecOps 中的下游系統會使用 UDM 提供其他功能，包括規則和 UDM 搜尋。Google SecOps 可以擷取記錄和快訊，但僅支援單一事件快訊。您可以使用 UDM 搜尋功能，找出已擷取和內建的 Google SecOps 快訊。

瞭解 Google SecOps 擷取程序

Google SecOps 支援下列類型的資料擷取：

原始記錄

Google SecOps 會使用轉送器、擷取 API、資料動態饋給，或直接從 Google Cloud擷取原始記錄。

其他 SIEM 系統的快訊

Google SecOps 可從其他 SIEM 系統、EDR 或票證系統擷取快訊，方法如下：

1. 使用 Google SecOps 連接器或 Google SecOps Webhook 接收快訊。
2. 擷取與每個快訊相關聯的事件，並建立相應的偵測結果。
3. 處理擷取的事件和偵測結果。

您可以建立偵測引擎規則，找出擷取事件中的模式，並產生額外的偵測結果。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。