Ingestion de données Google Security Operations
Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. La solution SIEM de Google Security Operations fournit des fonctionnalités en libre-service pour l'ingestion de données, la détection des menaces, les alertes et la gestion des demandes. Google Security Operations peut également ingérer des alertes provenant d'autres systèmes SIEM. Ces alertes sont ingérées dans votre compte SIEM Google Security Operations, où elles peuvent être analysées.
Ingestion des journaux SIEM Google Security Operations
Le service d'ingestion SIEM de Google Security Operations fait office de passerelle pour toutes les données. La solution SIEM de Google Security Operations ingère les données à l'aide des systèmes suivants:
redirecteurs: les redirecteurs SIEM de Google Security Operations sont des agents distants installés sur les points de terminaison des clients. Les redirecteurs envoient les données au service d'ingestion SIEM de Google Security Operations. Pour en savoir plus, consultez la section concernant l'installation des redirecteurs Linux ou Windows.
API d'ingestion: le SIEM Google Security Operations dispose d'API d'ingestion publiques que les clients peuvent envoyer directement à ces API. Pour en savoir plus, consultez la page API d'ingestion.
Google Cloud: la solution SIEM Google Security Operations peut extraire les données directement de votre compte Google Cloud. Pour en savoir plus, consultez Ingérer des données Google Cloud dans Google SecOps.
Flux de données: la solution SIEM de Google Security Operations accepte un ensemble de flux de données pouvant extraire des données d'emplacements externes statiques (par exemple, Amazon S3) et d'API tierces (comme Okta). Ces flux de données envoient les journaux directement au service d'ingestion SIEM Google Security Operations. Pour en savoir plus, consultez la documentation sur la gestion des flux.
Les données ingérées sont traitées par les analyseurs SIEM Google Security Operations, qui convertissent les journaux bruts des systèmes du client en un modèle de données unifié (UDM) que les systèmes en aval de la solution SIEM Google Security Operations peuvent utiliser pour fournir des fonctionnalités supplémentaires, telles que des règles et la recherche UDM. L'outil SIEM de Google Security Operations peut ingérer à la fois des journaux et des alertes. Pour les alertes, la solution SIEM Google Security Operations ne peut ingérer que les alertes associées à un seul événement. La solution SIEM Google Security Operations n'accepte pas l'ingestion d'alertes multi-événements. UDM Search permet de rechercher à la fois des alertes ingérées et des alertes SOAR Google Security Operations.
Processus d'ingestion de Google Security Operations
Le mode d'ingestion de Google Security Operations inclut les types d'ingestion de données suivants:
Ingestion de journaux bruts dans la suite Opérations de sécurité Google: les journaux bruts sont ingérés à l'aide des redirecteurs SIEM Google et de l'API d'ingestion, directement à partir de Google Cloud ou à l'aide d'un flux de données.
Ingestion d'alertes générées par d'autres SIEM: les alertes générées dans d'autres SIEM sont ingérées comme suit:
- Google Security Operations ingère des alertes provenant d'autres systèmes SIEM, EDR ou systèmes de tickets à l'aide de connectors SOAR Google Security Operations ou de webhooks SOAR Google Security Operations.
- Le SOAR Google Security Operations ingère les événements associés aux alertes et crée une détection correspondante.
- Le SOAR Google Security Operations traite les alertes et les événements ingérés.
Les clients peuvent créer des règles de moteur de détection pour identifier des modèles dans les événements ingérés et générer des détections supplémentaires.