Transferencia de datos de las operaciones de seguridad de Google
Las operaciones de seguridad de Google transfieren los registros de los clientes, normalizan los datos y detectan alertas de seguridad. La SIEM de operaciones de seguridad de Google proporciona funciones de autoservicio en torno a la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Las operaciones de seguridad de Google también pueden transferir alertas de otros sistemas SIEM. Estas alertas se transfieren a tu cuenta de SIEM de operaciones de seguridad de Google, en la que se pueden analizar.
Transferencia de registros de SIEM de operaciones de seguridad de Google
El servicio de transferencia SIEM de operaciones de seguridad de Google actúa como una puerta de enlace para todos los datos. La SIEM de operaciones de seguridad de Google transfiere datos mediante los siguientes sistemas:
Reenviadores: Los servidores de reenvío SIEM de operaciones de seguridad de Google son agentes remotos instalados en extremos de clientes. Los servidores de reenvío envían datos al servicio de transferencia SIEM de operaciones de seguridad de Google. Para obtener más información, consulta cómo instalar los servidores de reenvío de Linux o Windows.
APIs de transferencia: La SIEM de operaciones de seguridad de Google tiene APIs de transferencia públicas, y los clientes pueden enviar datos directamente a estas APIs. Si quieres obtener más información, consulta la API de transferencia.
Google Cloud: La SIEM de operaciones de seguridad de Google puede extraer datos directamente de tu cuenta de Google Cloud. Para obtener más información, consulta Transfiere datos de Google Cloud a Google SecOps.
Feeds de datos: La SIEM de operaciones de seguridad de Google admite un conjunto de feeds de datos que pueden extraer datos de ubicaciones externas estáticas (por ejemplo, Amazon S3) y de APIs de terceros (por ejemplo, Okta). Estos feeds de datos envían registros directamente al servicio de transferencia SIEM de operaciones de seguridad de Google. Si necesitas más información, consulta la documentación sobre administración de feeds.
Los analizadores SIEM de las operaciones de seguridad de Google procesan aún más los datos transferidos, que convierten los registros sin procesar de los sistemas del cliente en un modelo de datos unificado (UDM) que los sistemas downstream de las operaciones de seguridad de Google pueden usar para proporcionar capacidades adicionales, incluidas las reglas y la búsqueda de UDM. La SIEM de operaciones de seguridad de Google puede transferir registros y alertas. Para las alertas, la SIEM de operaciones de seguridad de Google solo puede transferir alertas de un solo evento. La SIEM de operaciones de seguridad de Google no admite la transferencia de alertas de varios eventos. La búsqueda de UDM se puede usar para buscar alertas transferidas y alertas de la SOAR de operaciones de seguridad de Google.
Proceso de transferencia de las operaciones de seguridad de Google
El modo de transferencia de las operaciones de seguridad de Google incluye los siguientes tipos de transferencia de datos:
Transferencia de registros sin procesar a Google Security Operations: Los registros sin procesar se transfieren a través de los servidores de reenvío de SIEM de las operaciones de seguridad de Google, la API de transferencia, directamente desde Google Cloud o con un feed de datos.
Transferencia de alertas generadas por otras SIEM: Las alertas generadas en otras SIEM se transfieren de la siguiente manera:
- Las operaciones de seguridad de Google transfieren las alertas de otros sistemas SIEM, EDR o sistemas de tickets mediante connectors de operaciones de seguridad de Google o webhooks de SOAR de Google.
- La SOAR de las operaciones de seguridad de Google transfiere los eventos asociados con las alertas y crea la detección correspondiente.
- La SOAR de las operaciones de seguridad de Google procesa las alertas y los eventos transferidos.
Los clientes pueden crear reglas del motor de detección para identificar patrones en los eventos transferidos y generar detecciones adicionales.