Ingestion de données Google Security Operations
Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. Le SIEM Google Security Operations propose des fonctionnalités en libre-service pour l'ingestion de données, la détection des menaces, les alertes et la gestion des demandes. Google Security Operations peut également ingérer des alertes provenant d'autres systèmes SIEM. Ces alertes sont ingérées dans votre compte SIEM Google Security Operations, où elles peuvent être analysées.
Ingestion de journaux SIEM Google Security Operations
Le service d'ingestion SIEM de Google Security Operations fait office de passerelle pour toutes les données. Le SIEM Google Security Operations ingère les données à l'aide des systèmes suivants :
Forwarders: les redirecteurs SIEM de Google Security Operations sont des agents distants installés les points de terminaison des clients. Les transferts envoient des données au service d'ingestion SIEM de Google Security Operations. Pour en savoir plus, consultez la section sur l'installation des forwarders Linux ou Windows.
API d'ingestion : le SIEM Google Security Operations dispose d'API d'ingestion publiques, et les clients peuvent envoyer des données directement à ces API. Pour en savoir plus, consultez la page API d'ingestion.
Google Cloud : le SIEM Google Security Operations peut extraire des données directement à partir de votre compte Google Cloud. Pour en savoir plus, consultez la page Ingérer des données Google Cloud dans Google SecOps.
Flux de données : le SIEM Google Security Operations est compatible avec un ensemble de flux de données qui peuvent extraire des données à partir de sites externes statiques (par exemple, Amazon S3) et d'API tierces (par exemple, Okta). Ces flux de données envoient les journaux directement Service d'ingestion SIEM de Google Security Operations Pour en savoir plus, consultez la documentation sur la gestion des flux.
Les données ingérées sont ensuite traitées par les analyseurs SIEM Google Security Operations, qui convertissent les journaux bruts des systèmes client en un modèle de données unifié (UDM) que les systèmes en aval du SIEM Google Security Operations peuvent utiliser pour fournir des fonctionnalités supplémentaires, y compris les règles et la recherche UDM. Le SIEM Google Security Operations peut ingérer à la fois des journaux et des alertes. Pour les alertes, Google Security Operations SIEM ne peut ingérer que des alertes d'événement unique. La solution SIEM Google Security Operations n'est pas compatible avec l'ingestion de données alertes. La recherche UDM peut être utilisée pour rechercher à la fois des alertes ingérées et des alertes SOAR Google Security Operations.
Processus d'ingestion de Google Security Operations
Le mode d'ingestion de Google Security Operations inclut les types de données suivants l'ingestion:
Ingestion de journaux bruts dans Google Security Operations: les journaux bruts sont ingérés à l'aide des redirecteurs SIEM de Google Security Operations, de l'API d'ingestion, directement depuis Google Cloud ou à l'aide d'un flux de données.
Ingestion des alertes générées par d'autres SIEM : les alertes générées dans d'autres SIEM sont ingérées comme suit :
- Google Security Operations ingère les alertes des autres systèmes SIEM, EDR ou de suivi des demandes à l'aide de connecteurs SOAR Google Security Operations ou de webhooks Google Security Operations SOAR.
- Le SOAR Google Security Operations ingère les événements associés aux alertes et crée une détection correspondante.
- Le SOAR Google Security Operations traite les alertes et les événements ingérés.
Les clients peuvent créer des règles de moteur de détection pour identifier des modèles dans les événements ingérés et générer des détections supplémentaires.