Importazione dati Google Security Operations
Google Security Operations importa i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. Google Security Operations SIEM offre funzionalità self-service per importazione dati, rilevamento delle minacce, avvisi e gestione dei casi. Google Security Operations può anche importare avvisi da altri sistemi SIEM. Questi avvisi vengono importati nel tuo account Google Security Operations SIEM, dove possono essere analizzati.
Importazione dei log SIEM per Google Security Operations
Il servizio di importazione SIEM di Google Security Operations funge da gateway per tutti i dati. Il SIEM Google Security Operations importa i dati utilizzando i seguenti sistemi:
Speditori: i sistemi di inoltro SIEM di Google Security Operations sono agenti remoti installati negli endpoint del cliente. I forwarding inviano i dati al servizio di importazione SIEM di Google Security Operations. Per ulteriori informazioni, vedi l'articolo sull'installazione dei forwarding per Linux o Windows.
API di importazione: il SIEM Google Security Operations dispone di API di importazione pubbliche e i clienti possono inviare dati direttamente a queste API. Per ulteriori informazioni, consulta la pagina dedicata all'API Ingestion.
Google Cloud: il team Google Security Operations SIEM può estrarre i dati direttamente dal tuo account Google Cloud. Per saperne di più, vedi Importare i dati di Google Cloud in Google SecOps.
Feed di dati: Google Security Operations SIEM supporta un set di feed di dati che possono estrarre dati da posizioni esterne statiche (ad esempio Amazon S3) e API di terze parti (ad esempio Okta). Questi feed di dati inviano i log direttamente al servizio di importazione SIEM di Google Security Operations. Per saperne di più, consulta la documentazione sulla gestione dei feed.
I dati importati vengono ulteriormente elaborati dai parser SIEM di Google Security Operations, che convertono i log non elaborati dei sistemi dei clienti in un modello di dati unificato (UDM) che i sistemi downstream di Google Security Operations SIEM possono utilizzare per fornire funzionalità aggiuntive, tra cui regole e ricerca UDM. Google Security Operations SIEM può importare sia log che avvisi. Per gli avvisi, Google Security Operations SIEM può importare solo avvisi relativi a singoli eventi. Google Security Operations SIEM non supporta l'importazione di avvisi multi-evento. La ricerca UDM può essere utilizzata per cercare sia gli avvisi importati sia gli avvisi di Google Security Operations SOAR.
Processo di importazione di Google Security Operations
La modalità di importazione di Google Security Operations include i seguenti tipi di importazione dei dati:
Importazione di log non elaborati in Google Security Operations: i log non elaborati vengono importati utilizzando gli forwarding SIEM di Google Security Operations, l'API di importazione, direttamente da Google Cloud o utilizzando un feed di dati.
Importazione degli avvisi generati da altri SIEM: gli avvisi generati in altri SIEM vengono importati nel modo seguente:
- Le operazioni di sicurezza di Google importano avvisi da altri sistemi SIEM, EDR o sistemi di gestione dei ticket utilizzando i connectors SOAR di Google Security Operations o i webhook SOAR di Google Security Operations.
- Google Security Operations SOAR importa gli eventi associati agli avvisi e crea un rilevamento corrispondente.
- Google Security Operations SOAR elabora gli avvisi e gli eventi importati.
I clienti possono creare regole del motore di rilevamento per identificare pattern negli eventi importati e generare rilevamenti aggiuntivi.