Importazione dei dati di Google Security Operations
Google Security Operations importa i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. La soluzione SIEM di Google Security Operations fornisce funzionalità self-service per l'importazione dei dati, il rilevamento delle minacce, gli avvisi e la gestione delle richieste. Google Security Operations può anche importare avvisi da altri sistemi SIEM. Questi avvisi vengono importati nel tuo account SIEM di Google Security Operations, dove possono essere analizzati.
Importazione dei log di Google Security Operations SIEM
Il servizio di importazione SIEM di Google Security Operations funge da gateway per tutti i dati. Il SIEM di Google Security Operations importa i dati utilizzando i seguenti sistemi:
Inoltratori: gli inoltratori di Google Security Operations SIEM sono agenti remoti installati negli endpoint dei clienti. I forwarder inviano i dati al servizio di importazione SIEM di Google Security Operations. Per ulteriori informazioni, consulta l'installazione dei forwarder per Linux o Windows.
Agente BindPlane: l'agente BindPlane raccoglie i log da varie fonti e li invia a Google Security Operations. Questo agente può essere gestito utilizzando la console di gestione OP di Bindplane (facoltativa). Per ulteriori informazioni, consulta Utilizzare l'agente Bindplane.
API di importazione: il SIEM di Google Security Operations dispone di API di importazione pubbliche e i clienti possono inviare i dati direttamente a queste API. Per ulteriori informazioni, consulta l'API di importazione.
Google Cloud: Google Security Operations SIEM può estrarre i dati direttamente dal tuo Google Cloud account. Per ulteriori informazioni, consulta Importare Google Cloud i dati in Google SecOps.
Feed di dati: Google Security Operations SIEM supporta un insieme di feed di dati che possono estrarre i dati da posizioni esterne statiche (ad esempio Amazon S3) e API di terze parti (ad esempio Okta). Questi feed di dati inviano i log direttamente al servizio di importazione SIEM di Google Security Operations. Per saperne di più, consulta la documentazione sulla gestione dei feed.
I dati importati vengono ulteriormente elaborati dai parser SIEM di Google Security Operations, che convertono i log non elaborati dei sistemi dei clienti in un modello di dati unificato (UDM) che i sistemi a valle all'interno di Google Security Operations SIEM possono utilizzare per fornire funzionalità aggiuntive, tra cui Regole e Ricerca UDM. Google Security Operations SIEM può importare sia i log che gli avvisi. Per gli avvisi, la piattaforma SIEM di Google Security Operations può importare solo avvisi con un singolo evento. Il SIEM di Google Security Operations non supporta l'importazione di avvisi con più eventi. La ricerca UDM può essere utilizzata per cercare sia gli avvisi importati sia gli avvisi SOAR di Google Security Operations.
Processo di importazione di Google Security Operations
La modalità di importazione di Google Security Operations include i seguenti tipi di importazione di dati:
Importazione di log non elaborati in Google Security Operations: i log non elaborati vengono importati utilizzando i forwarder SIEM di Google Security Operations, l'API di importazione, direttamente da Google Cloudo utilizzando un feed di dati.
Importazione degli avvisi generati da altri SIEM: gli avvisi generati in altri SIEM vengono importati come segue:
- Google Security Operations importa gli avvisi dagli altri sistemi SIEM, EDR o di ticketing utilizzando i connettori o i webhook di Google Security Operations SOAR.
- La piattaforma SOAR di Google Security Operations importa gli eventi associati agli avvisi e crea un rilevamento corrispondente.
- Google Security Operations SOAR elabora gli avvisi e gli eventi importati.
I clienti possono creare regole del motore di rilevamento per identificare schemi negli eventi importati e generare ulteriori rilevamenti.
Limitazioni
I feed di dati hanno una dimensione massima della riga di log di 4 MB.
Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.