Penyerapan data Google Security Operations
Google Security Operations menyerap log dari pelanggan, mennormalisasi data, dan mendeteksi pemberitahuan keamanan. SIEM Google Security Operations menyediakan fitur layanan mandiri seputar penyerapan data, deteksi ancaman, pemberitahuan, dan manajemen kasus. Google Security Operations juga dapat menyerap pemberitahuan dari sistem SIEM lain. Notifikasi ini diserap ke akun SIEM Google Security Operations Anda, tempat notifikasi tersebut dapat dianalisis.
Proses transfer log SIEM Google Security Operations
Layanan penyerapan SIEM Google Security Operations bertindak sebagai gateway untuk semua data. SIEM Google Security Operations menyerap data menggunakan sistem berikut:
Forwarder: Forwarder Google Security Operations SIEM adalah agen jarak jauh yang diinstal di endpoint pelanggan. Pengirim mengirimkan data ke layanan penyerapan SIEM Google Security Operations. Untuk informasi selengkapnya, lihat cara menginstal penerusan Linux atau Windows.
Agen BindPlane: Agen Bindplane mengumpulkan log dari berbagai sumber dan mengirimkannya ke Google Security Operations. Agen ini dapat dikelola menggunakan konsol Pengelolaan OP Bindplane opsional. Untuk mengetahui informasi selengkapnya, lihat Menggunakan agen Bindplane.
Ingestion API: Google Security Operations SIEM memiliki ingestion API publik, dan pelanggan dapat mengirim data langsung ke API ini. Untuk informasi selengkapnya, lihat Ingestion API.
Google Cloud: Google Security Operations SIEM dapat mengambil data langsung dari akun Google Cloud Anda. Untuk informasi selengkapnya, lihat Menyerap data Google Cloud ke Google SecOps.
Feed data: Google Security Operations SIEM mendukung serangkaian feed data yang dapat mengambil data dari lokasi eksternal statis (misalnya, Amazon S3) dan API pihak ketiga (misalnya, Okta). Feed data ini mengirim log langsung ke layanan penyerapan SIEM Google Security Operations. Untuk informasi selengkapnya, lihat dokumentasi pengelolaan feed.
Data yang ditransfer akan diproses lebih lanjut oleh parser SIEM Google Security Operations, yang mengonversi log mentah dari sistem pelanggan menjadi Unified Data Model (UDM) yang dapat digunakan oleh sistem downstream dalam Google Security Operations SIEM untuk memberikan kemampuan tambahan, termasuk Aturan dan Penelusuran UDM. Google Security Operations SIEM dapat menyerap log dan pemberitahuan. Untuk pemberitahuan, SIEM Google Security Operations hanya dapat menyerap pemberitahuan satu peristiwa. SIEM Google Security Operations tidak mendukung penyerapan pemberitahuan multi-peristiwa. Penelusuran UDM dapat digunakan untuk menelusuri pemberitahuan yang ditransfer dan pemberitahuan SOAR Google Security Operations.
Proses penyerapan Google Security Operations
Mode penyerapan Google Security Operations mencakup jenis penyerapan data berikut:
Penyerapan log mentah ke Google Security Operations: Log mentah diserap menggunakan penerusan SIEM Google Security Operations, API penyerapan, langsung dari Google Cloud, atau menggunakan feed data.
Penyerapan pemberitahuan yang dihasilkan oleh SIEM lain: Pemberitahuan yang dihasilkan di SIEM lain diserap sebagai berikut:
- Google Security Operations menyerap pemberitahuan dari sistem SIEM, EDR, atau sistem pemberian tiket lainnya menggunakan konektor SOAR Google Security Operations atau webhook SOAR Google Security Operations.
- SOAR Google Security Operations menyerap peristiwa yang terkait dengan pemberitahuan dan membuat deteksi yang sesuai.
- Google Security Operations SOAR memproses pemberitahuan dan peristiwa yang diserap.
Pelanggan dapat membuat aturan mesin deteksi untuk mengidentifikasi pola dalam peristiwa yang ditransfer dan menghasilkan deteksi tambahan.
Batasan
Feed data memiliki ukuran baris log maksimum 4 MB.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.