Transferencia de datos de Google Security Operations
Google Security Operations transfiere registros de los clientes, normaliza los datos y detecta alertas de seguridad. El SIEM de Google Security Operations proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google Security Operations también puede transferir alertas de otros sistemas de SIEM. Estas alertas se transfieren a tu cuenta de SIEM de Google Security Operations, donde se pueden analizar.
Transferencia de registros de SIEM de Google Security Operations
El servicio de transferencia de SIEM de Google Security Operations actúa como una puerta de enlace para todos los datos. El SIEM de Google Security Operations transfiere datos con los siguientes sistemas:
Redireccionadores: Los reenvío de SIEM de Google Security Operations son agentes remotos instalados en los extremos del cliente. Los reenviadores envían datos al servicio de transferencia de SIEM de Google Security Operations. Para obtener más información, consulta cómo instalar los reenviadores de Linux o Windows.
Agente de BindPlane: El agente de Bindplane recopila registros de varias fuentes y los envía a Google Security Operations. Este agente se puede administrar con la consola opcional de administración de OP de Bindplane. Para obtener más información, consulta Cómo usar el agente de Bindplane.
APIs de transferencia: El SIEM de Google Security Operations tiene APIs de transferencia públicas, y los clientes pueden enviar datos directamente a estas APIs. Para obtener más información, consulta la API de transferencia.
Google Cloud: Google Security Operations SIEM puede extraer datos directamente de tu cuenta de Google Cloud . Para obtener más información, consulta Cómo transferir Google Cloud datos a Google SecOps.
Feeds de datos: El SIEM de Google Security Operations admite un conjunto de feeds de datos que pueden extraer datos de ubicaciones externas estáticas (por ejemplo, Amazon S3) y APIs de terceros (por ejemplo, Okta). Estos feeds de datos envían registros directamente al servicio de transferencia de SIEM de Google Security Operations. Para obtener más información, consulta la documentación de administración de feeds.
Los analizadores de SIEM de Google Security Operations procesan aún más los datos ingeridos, que convierten los registros sin procesar de los sistemas de los clientes en un modelo de datos unificado (UDM) que los sistemas downstream del SIEM de Google Security Operations pueden usar para proporcionar funciones adicionales, como reglas y búsqueda de UDM. El SIEM de Google Security Operations puede transferir registros y alertas. En el caso de las alertas, el SIEM de Google Security Operations solo puede transferir alertas de un solo evento. Google Security Operations SIEM no admite la transferencia de alertas de varios eventos. La búsqueda de UDM se puede usar para buscar alertas transferidas y alertas de SOAR de Google Security Operations.
Proceso de transferencia de datos de Google Security Operations
El modo de transferencia de Google Security Operations incluye los siguientes tipos de transferencia de datos:
Transferencia de registros sin procesar a Google Security Operations: Los registros sin procesar se transfieren con los reenvío de SIEM de Google Security Operations, la API de transferencia, directamente desde Google Cloudo con un feed de datos.
Transferencia de alertas generadas por otros SIEM: Las alertas generadas en otros SIEM se transfieren de la siguiente manera:
- Google Security Operations transfiere alertas de los otros sistemas de SIEM, EDR o de tickets con los conectores o los webhooks de Google Security Operations SOAR.
- El SOAR de Google Security Operations transfiere los eventos asociados con las alertas y crea una detección correspondiente.
- El SOAR de Google Security Operations procesa las alertas y los eventos transferidos.
Los clientes pueden crear reglas del motor de detección para identificar patrones en los eventos transferidos y generar detecciones adicionales.
Limitaciones
Los feeds de datos tienen un tamaño máximo de línea de registro de 4 MB.
¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.