Penyerapan data Chronicle Security Operations

Chronicle Security Operations menyerap log dari pelanggan, menormalisasi data, dan mendeteksi notifikasi keamanan. Chronicle SIEM menyediakan fitur layanan mandiri terkait penyerapan data, deteksi ancaman, pemberitahuan, dan pengelolaan kasus. Chronicle Security Operations juga dapat menyerap pemberitahuan dari sistem SIEM lainnya. Notifikasi ini akan diserap ke akun Chronicle SIEM Anda, tempat notifikasi tersebut dapat dianalisis.

Penyerapan log SIEM Chronicle

Layanan proses transfer Chronicle SIEM berfungsi sebagai gateway untuk semua data. Chronicle SIEM menyerap data menggunakan sistem berikut:

Forwarder: Forwarder SIEM Chronicle adalah agen jarak jauh yang diinstal di endpoint pelanggan. Forwarder mengirimkan data ke layanan proses transfer Chronicle SIEM. Untuk mengetahui informasi selengkapnya, lihat menginstal penerusan Linux atau Windows.
API Penyerapan: Chronicle SIEM memiliki API penyerapan publik, dan pelanggan dapat mengirim data langsung ke API ini. Untuk informasi selengkapnya, lihat Ingestion API.
Google Cloud: Chronicle SIEM dapat mengambil data langsung dari akun Google Cloud Anda. Untuk mengetahui informasi selengkapnya, lihat Menyerap data Google Cloud ke Chronicle.
Feed data: Chronicle SIEM mendukung sekumpulan feed data yang dapat mengambil data dari lokasi eksternal statis (misalnya, Amazon S3) dan API pihak ketiga (misalnya, Okta). Feed data ini mengirim log langsung ke layanan penyerapan Chronicle SIEM. Untuk informasi selengkapnya, lihat dokumentasi pengelolaan feed.

Data yang diserap akan diproses lebih lanjut oleh parser Chronicle SIEM, yang mengonversi log mentah dari sistem pelanggan menjadi Model Data Terpadu (UDM) yang dapat digunakan oleh sistem downstream dalam Chronicle SIEM untuk menyediakan fungsi tambahan, termasuk Aturan dan Penelusuran UDM. Chronicle SIEM dapat menyerap log dan pemberitahuan. Untuk pemberitahuan, Chronicle SIEM hanya dapat menyerap notifikasi satu peristiwa. Chronicle SIEM tidak mendukung penyerapan pemberitahuan multi-peristiwa. Penelusuran UDM dapat digunakan untuk menelusuri pemberitahuan yang diserap dan pemberitahuan Chronicle SOAR.

Proses penyerapan Chronicle Security Operations

Mode penyerapan Chronicle Security Operations mencakup jenis penyerapan data berikut:

Penyerapan log mentah ke Chronicle Security Operations: Log mentah diserap menggunakan forwarder Chronicle SIEM, API penyerapan, langsung dari Google Cloud, atau menggunakan feed data.
Penyerapan pemberitahuan yang dihasilkan oleh SIEM lain: Notifikasi yang dihasilkan di SIEM lain diserap sebagai berikut:
1. Chronicle Security Operations menyerap notifikasi dari sistem SIEM, EDR, atau sistem tiket lain menggunakan connectors Chronicle SOAR atau webhook Chronicle SOAR.
2. Chronicle SOAR menyerap peristiwa yang terkait dengan pemberitahuan dan membuat deteksi yang sesuai.
3. Chronicle SOAR memproses pemberitahuan dan peristiwa yang diserap.
Pelanggan dapat membuat aturan mesin deteksi untuk mengidentifikasi pola dalam peristiwa yang diserap dan menghasilkan deteksi tambahan.

Catatan: Aturan Detection Engine tidak mengidentifikasi pola dalam pemberitahuan yang diserap dari Chronicle SOAR.