Ingestion de données Google Security Operations
Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. La solution SIEM de la suite Google Security Operations fournit des fonctionnalités en libre-service concernant l'ingestion de données, la détection des menaces, les alertes et la gestion des cas. Google Security Operations peut également ingérer des alertes provenant d'autres systèmes SIEM. Ces alertes sont ingérées dans votre compte SIEM Google Security Operations, où elles peuvent être analysées.
Ingestion de journaux SIEM Google Security Operations
Le service d'ingestion SIEM de Google Security Operations fait office de passerelle pour toutes les données. Le service SIEM de la suite Google Security Operations ingère les données à l'aide des systèmes suivants:
Les redirecteurs: les redirecteurs SIEM de Google Security Operations sont des agents distants installés sur les points de terminaison des clients. Les redirecteurs envoient des données au service d'ingestion SIEM de Google Security Operations. Pour en savoir plus, consultez la section concernant l'installation des redirecteurs Linux ou Windows.
API d'ingestion: la solution SIEM Google Security Operations dispose d'API d'ingestion publiques. Les clients peuvent envoyer des données directement à ces API. Pour en savoir plus, consultez API d'ingestion.
Google Cloud: la solution SIEM Google Security Operations peut extraire des données directement de votre compte Google Cloud. Pour en savoir plus, consultez la page Ingérer des données Google Cloud dans Google SecOps.
Flux de données: la solution SIEM de la suite Google Security Operations accepte un ensemble de flux de données pouvant extraire des données d'emplacements externes statiques (par exemple, Amazon S3) et d'API tierces (par exemple, Okta). Ces flux de données envoient les journaux directement au service d'ingestion SIEM de Google Security Operations. Pour en savoir plus, consultez la documentation sur la gestion des flux.
Les données ingérées sont traitées par les analyseurs SIEM Google Security Operations, qui convertissent les journaux bruts des systèmes client en un modèle de données unifié (UDM) que les systèmes en aval de la solution SIEM Google Security Operations peuvent utiliser pour fournir des fonctionnalités supplémentaires, telles que les règles et la recherche UDM. La solution SIEM Google Security Operations peut ingérer à la fois des journaux et des alertes. Pour les alertes, la solution SIEM Google Security Operations ne peut ingérer que les alertes d'un seul événement. La solution SIEM de la suite Google Security Operations n'est pas compatible avec l'ingestion d'alertes multi-événements. La recherche UDM peut être utilisée pour rechercher à la fois des alertes ingérées et des alertes SOAR Google Security Operations.
Processus d'ingestion de Google Security Operations
Le mode d'ingestion de données de Google Security Operations inclut les types d'ingestion de données suivants:
Ingestion de journaux bruts dans Google Security Operations: les journaux bruts sont ingérés à l'aide des redirecteurs SIEM de Google Security Operations, de l'API d'ingestion, directement depuis Google Cloud ou à l'aide d'un flux de données.
Ingestion d'alertes générées par d'autres SIEM: les alertes générées dans d'autres SIEM sont ingérées comme suit:
- Google Security Operations ingère les alertes provenant d'autres systèmes SIEM, EDR ou systèmes de tickets à l'aide de connectors SOAR Google Security Operations ou de webhooks Google Security Operations SOAR.
- Le SOAR Google Security Operations ingère les événements associés aux alertes et crée une détection correspondante.
- Le SOAR Google Security Operations traite les alertes et les événements ingérés.
Les clients peuvent créer des règles de moteur de détection pour identifier des modèles dans les événements ingérés et générer des détections supplémentaires.