Transferencia de datos de Google Security Operations
Google Security Operations transfiere registros de los clientes normaliza los datos y detecta alertas de seguridad. El SIEM de Google Security Operations proporciona funciones de autoservicio para la transferencia de datos, la detección de amenazas, las alertas y la administración de casos. Google Security Operations también puede transferir alertas de otros sistemas de SIEM. Estas alertas se transfieren a tu cuenta de SIEM de Google Security Operations, donde y cómo pueden analizarse.
Transferencia de registros de SIEM de Google Security Operations
El servicio de transferencia de SIEM de Google Security Operations actúa como una puerta de enlace para todos los datos. SIEM de Google Security Operations transfiere datos con los siguientes sistemas:
Servidores de reenvío: Los servidores de reenvío de SIEM de Google Security Operations son agentes remotos instalados en en los extremos del cliente. Los reenviadores envían datos al servicio de transferencia de SIEM de Google Security Operations. Para obtener más información, consulta cómo instalar los reenviadores de Linux o Windows.
API de transferencia: la SIEM de Google Security Operations tiene APIs de transferencia pública y los clientes pueden enviar los datos directamente a estas APIs. Para obtener más información, consulta la API de transferencia.
Google Cloud: La SIEM de Google Security Operations puede extraer datos directamente de tu cuenta de Google Cloud. Para obtener más información, consulta Transfiere datos de Google Cloud a Google SecOps.
Feeds de datos: El SIEM de Google Security Operations admite un conjunto de feeds de datos que pueden extraer datos de ubicaciones externas estáticas (por ejemplo, Amazon S3) y APIs de terceros (por ejemplo, Okta). Estos feeds de datos envían registros directamente al servicio de transferencia de SIEM de Google Security Operations. Para obtener más información, consulta la documentación de administración de feeds.
Los datos transferidos se procesan aún más con los analizadores de SIEM de Google Security Operations, que convierten la registros sin procesar de los sistemas del cliente a un modelo de datos unificados (UDM) que de seguridad dentro de la SIEM de Google Security Operations se pueden usar para proporcionar capacidades adicionales, como Búsqueda de UDM y reglas. La SIEM de Google Security Operations puede transferir registros y alertas. Para las alertas, la SIEM de Google Security Operations solo alertas de evento único. Google Security Operations SIEM no admite la transferencia de alertas de varios eventos. La búsqueda de UDM se puede usar para buscar alertas transferidas y alertas de SOAR de Google Security Operations.
Proceso de transferencia de Google Security Operations
El modo de transferencia de Google Security Operations incluye los siguientes tipos de datos transferencia:
Transferencia de registros sin procesar a Google Security Operations: Los registros sin procesar se transfieren con los reenvío de SIEM de Google Security Operations, la API de transferencia, directamente desde Google Cloud o con un feed de datos.
Transferencia de alertas generadas por otros SIEM: Las alertas generadas en otros SIEM se transfieren de la siguiente manera:
- Google Security Operations transfiere alertas de los otros sistemas de SIEM, EDR o de tickets con los conectores o los webhooks de SOAR de Google Security Operations.
- La SOAR de Google Security Operations transfiere los eventos asociados con las alertas y crea la detección correspondiente.
- La SOAR de Google Security Operations procesa las alertas y los eventos transferidos.
Los clientes pueden crear reglas de motor de detección para identificar patrones en eventos transferidos y generar detecciones adicionales.
Limitaciones
Los feeds de datos tienen un tamaño máximo de línea de registro de 4 MB.