Diese Seite wurde von der Cloud Translation API übersetzt.

Datenaufnahme von Google Security Operations

Google Security Operations nimmt Logs von Kunden auf, normalisiert die Daten und erkennt Sicherheitswarnungen. Google Security Operations SIEM bietet Self-Service-Funktionen zur Datenaufnahme, zur Bedrohungserkennung, zu Warnmeldungen und zur Fallverwaltung. Google Security Operations kann auch Benachrichtigungen von anderen SIEM-Systemen aufnehmen. Diese Benachrichtigungen werden in Ihr Google Security Operations SIEM-Konto aufgenommen, wo sie analysiert werden können.

Google Security Operations SIEM-Logaufnahme

Der Aufnahmedienst von Google Security Operations SIEM dient als Gateway für alle Daten. Google Security Operations SIEM nimmt Daten mit den folgenden Systemen auf:

Forwarder: Google Security Operations SIEM-Forwarder sind Remote-Agents, die an den Endpunkten von Kunden installiert sind. Die Forwarder senden Daten an den Aufnahmedienst von Google Security Operations SIEM. Weitere Informationen finden Sie unter Linux- oder Windows-Forwarder installieren.
Aufnahme-APIs: Google Security Operations SIEM verfügt über öffentliche Datenaufnahme-APIs und Kunden können Daten direkt an diese APIs senden. Weitere Informationen findest du unter der Ingestion API.
Google Cloud: Google Security Operations SIEM kann Daten direkt aus Ihrem Google Cloud-Konto abrufen. Weitere Informationen finden Sie unter Google Cloud-Daten in Google SecOps aufnehmen.
Datenfeeds: Google Security Operations SIEM unterstützt eine Reihe von Datenfeeds, mit denen Daten von statischen externen Speicherorten (z. B. Amazon S3) und APIs von Drittanbietern (z. B. Okta) abgerufen werden können. Über diese Datenfeeds werden Protokolle direkt an den Datenaufnahmedienst von Google Security Operations SIEM gesendet. Weitere Informationen finden Sie in der Dokumentation zur Feedverwaltung.

Die aufgenommenen Daten werden von den Google Security Operations SIEM-Parsern weiter verarbeitet, die die Rohlogs aus Kundensystemen in ein einheitliches Datenmodell (Unified Data Model, UDM) umwandeln, mit dem nachgelagerte Systeme in Google Security Operations SIEM zusätzliche Funktionen wie Regeln und UDM Search bereitstellen können. Google Security Operations SIEM kann sowohl Logs als auch Benachrichtigungen aufnehmen. Bei Benachrichtigungen kann Google Security Operations SIEM nur Benachrichtigungen zu einzelnen Ereignissen aufnehmen. Google Security Operations SIEM unterstützt nicht die Aufnahme von Benachrichtigungen zu mehreren Ereignissen. Mit UDM Search können Sie sowohl nach aufgenommenen Benachrichtigungen als auch nach SOAR-Benachrichtigungen von Google Security Operations suchen.

Google Security Operations-Aufnahmeprozess

Der Aufnahmemodus von Google Security Operations umfasst die folgenden Arten der Datenaufnahme:

Aufnahme von Rohlogs in Google Security Operations: Rohprotokolle werden mit den Forwardern von Google Security Operations SIEM, der Ingestion API, direkt aus Google Cloud oder über einen Datenfeed aufgenommen.
Aufnahme von Benachrichtigungen, die von anderen SIEMs generiert wurden: In anderen SIEMs generierte Benachrichtigungen werden so aufgenommen:
1. Google Security Operations nimmt Benachrichtigungen von anderen SIEM-Systemen, EDRs oder Ticketing-Systemen mithilfe von SOAR-connectors von Google Security Operations oder SOAR-Webhooks von Google Security Operations SOAR auf.
2. Google Security Operations SOAR nimmt die mit den Benachrichtigungen verbundenen Ereignisse auf und erstellt eine entsprechende Erkennung.
3. Google Security Operations SOAR verarbeitet die Benachrichtigungen und die aufgenommenen Ereignisse.
Kunden können Erkennungs-Engine-Regeln erstellen, um Muster in aufgenommenen Ereignissen zu identifizieren und zusätzliche Erkennungen zu generieren.

Hinweis: Detection Engine-Regeln identifizieren keine Muster in Benachrichtigungen, die aus Google Security Operations SOAR aufgenommen wurden.