Cette page a été traduite par l'API Cloud Translation.

Ingestion des données Google Security Operations

Compatible avec:

Google SecOps SIEM

Google Security Operations ingère les journaux des clients, normalise les données et détecte les alertes de sécurité. Le SIEM Google Security Operations propose des fonctionnalités en libre-service pour l'ingestion de données, la détection des menaces, les alertes et la gestion des demandes. Google Security Operations peut également ingérer des alertes provenant d'autres systèmes SIEM. Ces alertes sont ingérées dans votre compte SIEM Google Security Operations, où elles peuvent être analysées.

Ingestion des journaux Google Security Operations SIEM

Le service d'ingestion du SIEM Google Security Operations sert de passerelle pour toutes les données. Le SIEM Google Security Operations ingère les données à l'aide des systèmes suivants:

Transferts: les transferts Google Security Operations SIEM sont des agents distants installés sur les points de terminaison des clients. Les transferts envoient des données au service d'ingestion SIEM de Google Security Operations. Pour en savoir plus, consultez la section sur l'installation des retransmetteurs Linux ou Windows.
Agent BindPlane: l'agent Bindplane collecte les journaux de différentes sources et les envoie à Google Security Operations. Cet agent peut être géré à l'aide de la console de gestion des opérateurs Bindplane (facultatif). Pour en savoir plus, consultez Utiliser l'agent Bindplane.
API d'ingestion: le SIEM Google Security Operations dispose d'API d'ingestion publiques, et les clients peuvent envoyer des données directement à ces API. Pour en savoir plus, consultez la page API d'ingestion.
Google Cloud: la solution SIEM pour les opérations de sécurité Google peut extraire des données directement à partir de votre compte Google Cloud . Pour en savoir plus, consultez Ingérer des données Google Cloud dans Google SecOps.
Flux de données: le SIEM Google Security Operations est compatible avec un ensemble de flux de données qui peuvent extraire des données à partir de sites externes statiques (par exemple, Amazon S3) et d'API tierces (par exemple, Okta). Ces flux de données envoient des journaux directement au service d'ingestion SIEM Google Security Operations. Pour en savoir plus, consultez la documentation sur la gestion des flux.

Les données ingérées sont ensuite traitées par les analyseurs SIEM Google Security Operations, qui convertissent les journaux bruts des systèmes client en un modèle de données unifié (UDM) que les systèmes en aval du SIEM Google Security Operations peuvent utiliser pour fournir des fonctionnalités supplémentaires, y compris les règles et la recherche UDM. Le SIEM Google Security Operations peut ingérer à la fois des journaux et des alertes. Pour les alertes, le SIEM Google Security Operations ne peut ingérer que des alertes d'un seul événement. Google Security Operations SIEM n'est pas compatible avec l'ingestion d'alertes multi-événements. La recherche UDM permet de rechercher à la fois des alertes ingérées et des alertes SOAR Google Security Operations.

Processus d'ingestion Google Security Operations

Le mode d'ingestion Google Security Operations inclut les types d'ingestion de données suivants:

Ingestion de journaux bruts dans Google Security Operations: les journaux bruts sont ingérés à l'aide des transferts SIEM Google Security Operations, de l'API d'ingestion, directement depuis Google Cloudou à l'aide d'un flux de données.
Ingestion des alertes générées par d'autres SIEM: les alertes générées dans d'autres SIEM sont ingérées comme suit:
1. Google Security Operations ingère les alertes des autres systèmes SIEM, EDR ou systèmes de gestion des demandes d'assistance à l'aide de connecteurs ou de webhooks Google Security Operations SOAR.
2. Le SOAR de Google Security Operations ingère les événements associés aux alertes et crée une détection correspondante.
3. Google Security Operations SOAR traite les alertes et les événements ingérés.
Les clients peuvent créer des règles de moteur de détection pour identifier des tendances dans les événements ingérés et générer des détections supplémentaires.

Remarque :Les règles du moteur de détection n'identifient pas de tendances dans les alertes ingérées à partir de SOAR Google Security Operations.

Limites

La taille maximale des lignes de journal des flux de données est de 4 Mo.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.