Datenaufnahme in Google Security Operations
Google Security Operations nimmt Protokolle von Kunden auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Das SIEM von Google Security Operations bietet Selfservice-Funktionen für die Datenaufnahme, Bedrohungserkennung, Benachrichtigungen und Fallverwaltung. Google Security Operations kann auch Benachrichtigungen von anderen SIEM-Systemen aufnehmen. Diese Warnungen werden in Ihr Google Security Operations-SIEM-Konto aufgenommen, wo sie analysiert werden können.
Aufnahme von Google Security Operations SIEM-Logs
Der Google Security Operations-SIEM-Aufnahmedienst dient als Gateway für alle Daten. Das SIEM-System von Google Security Operations nimmt Daten über die folgenden Systeme auf:
Weiterleitungen: Google Security Operations SIEM-Weiterleitungen sind Remote-Agents, die an Kundenendpunkten installiert sind. Die Weiterleiter senden Daten an den SIEM-Aufnahmedienst von Google Security Operations. Weitere Informationen finden Sie unter „Weiterleitungen unter Linux oder Windows installieren“.
BindPlane-Agent: Der BindPlane-Agent erfasst Protokolle aus verschiedenen Quellen und sendet sie an Google Security Operations. Dieser Agent kann über die optionale Bindplane OP Management Console verwaltet werden. Weitere Informationen finden Sie unter BindPlane-Agent verwenden.
Aufnahme-APIs: Google Security Operations SIEM bietet öffentliche Aufnahme-APIs, über die Kunden Daten direkt an diese APIs senden können. Weitere Informationen finden Sie in der Ingestion API.
Google Cloud: Google Security Operations SIEM kann Daten direkt aus Ihrem Google Cloud Konto abrufen. Weitere Informationen finden Sie unter Daten in Google SecOps aufnehmen Google Cloud .
Datenfeeds: Google Security Operations SIEM unterstützt eine Reihe von Datenfeeds, mit denen Daten aus statischen externen Speicherorten (z. B. Amazon S3) und APIs von Drittanbietern (z. B. Okta) abgerufen werden können. Über diese Datenfeeds werden Protokolle direkt an den SIEM-Aufnahmedienst von Google Security Operations gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung.
Die aufgenommenen Daten werden von den SIEM-Parsern von Google Security Operations weiterverarbeitet. Diese wandeln die Rohprotokolle aus Kundensystemen in ein einheitliches Datenmodell (UDM) um, das von Downstream-Systemen innerhalb von Google Security Operations SIEM verwendet werden kann, um zusätzliche Funktionen wie Regeln und UDM-Suche bereitzustellen. Google Security Operations SIEM kann sowohl Protokolle als auch Benachrichtigungen aufnehmen. Google Security Operations SIEM kann nur Benachrichtigungen für einzelne Ereignisse aufnehmen. Das SIEM von Google Security Operations unterstützt nicht die Aufnahme von Benachrichtigungen mit mehreren Ereignissen. Mit der UDM-Suche können Sie sowohl nach aufgenommenen als auch nach Google Security Operations SOAR-Benachrichtigungen suchen.
Google Security Operations-Aufnahmeprozess
Der Datenaufnahmemodus von Google Security Operations umfasst die folgenden Arten der Datenaufnahme:
Aufnahme von Rohlogs in Google Security Operations: Rohlogs werden mithilfe der SIEM-Weiterleitungen, der Aufnahme-API, direkt von Google Cloudoder über einen Datenfeed in Google Security Operations aufgenommen.
Aufnahme von Benachrichtigungen, die von anderen SIEMs generiert wurden: Benachrichtigungen, die in anderen SIEMs generiert wurden, werden so aufgenommen:
- Google Security Operations nimmt Warnungen von anderen SIEM-Systemen, EDRs oder Ticketsystemen mithilfe von Connectors oder Webhooks von Google Security Operations SOAR auf.
- Das SOAR von Google Security Operations nimmt die mit den Benachrichtigungen verknüpften Ereignisse auf und erstellt eine entsprechende Erkennung.
- Google Security Operations SOAR verarbeitet die Benachrichtigungen und die aufgenommenen Ereignisse.
Kunden können Regeln für die Erkennungs-Engine erstellen, um Muster in aufgenommenen Ereignissen zu identifizieren und zusätzliche Erkennungen zu generieren.
Beschränkungen
Datenfeeds dürfen maximal 4 MB groß sein.
Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten