Diese Seite wurde von der Cloud Translation API übersetzt.

Google Security Operations-Datenaufnahme

Google Security Operations nimmt Logs von Kunden auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Google Security Operations SIEM bietet Self-Service-Features für die Datenaufnahme, die Bedrohungserkennung, Benachrichtigungen und die Fallverwaltung. Google Security Operations kann auch Benachrichtigungen von anderen SIEM-Systemen aufnehmen. Diese Benachrichtigungen werden in Ihr Google Security Operations SIEM-Konto aufgenommen und können dort analysiert werden.

Aufnahme von SIEM-Logs von Google Security Operations

Der SIEM-Aufnahmedienst von Google Security Operations fungiert als Gateway für alle Daten. Google Security Operations SIEM nimmt Daten über folgende Systeme auf:

Forwarder: SIEM-Forwarder von Google Security Operations sind Remote-Agents, die auf Kundenendpunkten installiert sind. Die Forwarder senden Daten an den SIEM-Aufnahmedienst von Google Security Operations. Weitere Informationen finden Sie unter Linux- oder Windows-Forwarder installieren.
Datenaufnahme-APIs: Google Security Operations SIEM verfügt über öffentliche Datenaufnahme-APIs und Kunden können Daten direkt an diese APIs senden. Weitere Informationen findest du in der Ingestion API.
Google Cloud: Mit Google Security Operations SIEM können Daten direkt aus Ihrem Google Cloud-Konto abgerufen werden. Weitere Informationen finden Sie unter Google Cloud-Daten in Google SecOps aufnehmen.
Datenfeeds: Google Security Operations SIEM unterstützt eine Reihe von Datenfeeds, mit denen Daten aus statischen externen Speicherorten (z. B. Amazon S3) und APIs von Drittanbietern (z. B. Okta) abgerufen werden können. Diese Datenfeeds senden Protokolle direkt an den SIEM-Aufnahmedienst von Google Security Operations. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung.

Aufgenommene Daten werden von den SIEM-Parsern von Google Security Operations weiter verarbeitet, die die Rohlogs von Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) konvertieren, das nachgelagerte Systeme in Google Security Operations SIEM verwenden können, um zusätzliche Funktionen wie Regeln und UDM-Suche bereitzustellen. Google Security Operations SIEM kann sowohl Logs als auch Benachrichtigungen aufnehmen. Bei Benachrichtigungen kann Google Security Operations SIEM nur Benachrichtigungen zu Einzelereignissen aufnehmen. Google Security Operations SIEM unterstützt die Aufnahme von Benachrichtigungen zu mehreren Ereignissen nicht. Mit der UDM-Suche können Sie sowohl nach aufgenommenen Benachrichtigungen als auch nach Google Security Operations SOAR-Benachrichtigungen suchen.

Aufnahmeprozess von Google Security Operations

Der Aufnahmemodus von Google Security Operations umfasst die folgenden Arten der Datenaufnahme:

Aufnahme von Rohprotokollen in Google Security Operations: Rohprotokolle werden mithilfe der SIEM-Forwarder von Google Security Operations, der Ingestion API, direkt aus Google Cloud oder über einen Datenfeed aufgenommen.
Aufnahme von Benachrichtigungen, die von anderen SIEMs generiert wurden: In anderen SIEMs generierte Benachrichtigungen werden so aufgenommen:
1. Google Security Operations nimmt Benachrichtigungen von anderen SIEM-Systemen, EDRs oder Ticketing-Systemen über Google Security Operations-SOAR-connectors oder Google Security Operations SOAR-Webhooks auf.
2. Google Security Operations SOAR nimmt die mit den Benachrichtigungen verknüpften Ereignisse auf und erstellt eine entsprechende Erkennung.
3. Google Security Operations SOAR verarbeitet die Benachrichtigungen und die aufgenommenen Ereignisse.
Kunden können Erkennungs-Engine-Regeln erstellen, um Muster in aufgenommenen Ereignissen zu erkennen und zusätzliche Erkennungen zu generieren.

Hinweis: Regeln der Erkennungs-Engine identifizieren keine Muster in Benachrichtigungen, die aus Google Security Operations SOAR aufgenommen wurden.