Importazione dati di Google Security Operations
Google Security Operations importa i log dei clienti, normalizza i dati e rileva gli avvisi di sicurezza. La soluzione SIEM di Google Security Operations fornisce funzionalità self-service per l'importazione dei dati, il rilevamento delle minacce, gli avvisi e la gestione delle richieste. Google Security Operations può anche importare avvisi da altre piattaforme SIEM sistemi diversi. Questi avvisi vengono importati nel tuo account SIEM per le operazioni di sicurezza di Google, dove analizzabili.
Importazione dei log SIEM di Google Security Operations
Il servizio di importazione SIEM di Google Security Operations funge da gateway per tutti i dati. SIEM per Google Security Operations importa i dati utilizzando i seguenti sistemi:
Forwarder: gli forwarding del SIEM di Google Security Operations sono agenti remoti installati presso degli endpoint del cliente. I forwarder inviano i dati al servizio di importazione SIEM di Google Security Operations. Per ulteriori informazioni, vedi l'installazione dei forwarder per Linux o Windows.
API di importazione: Google Security Operations SIEM dispone di API di importazione pubbliche e i clienti possono inviare i dati direttamente a queste API. Per maggiori informazioni, consulta la pagina relativa all'API Importion.
Google Cloud: Google Security Operations SIEM può estrarre i dati direttamente dal tuo account Google Cloud. Per saperne di più, consulta Importare i dati di Google Cloud in Google SecOps.
Feed di dati: Google Security Operations SIEM supporta un set di feed di dati che possono estrarre Dati provenienti da posizioni esterne statiche (ad esempio Amazon S3) e API di terze parti (ad esempio Okta). Questi feed di dati inviano i log direttamente Servizio di importazione SIEM di Google Security Operations. Per saperne di più, consulta la documentazione sulla gestione dei feed.
I dati importati vengono ulteriormente elaborati dai parser SIEM di Google Security Operations, che convertono i log non elaborati dai sistemi del cliente in un modello di dati unificato (UDM) che downstream sistemi all'interno di Google Security Operations che SIEM può utilizzare per fornire funzionalità aggiuntive, tra cui: Regole e ricerca UDM. La piattaforma SIEM per le operazioni di sicurezza di Google può importare sia i log che gli avvisi. Per gli avvisi, Google Security Operations SIEM può importare solo per gli avvisi di un singolo evento. Google Security Operations SIEM non supporta l'importazione di eventi multi-evento avvisi. La ricerca UDM può essere utilizzata per cercare sia gli avvisi importati sia gli avvisi SOAR di Google Security Operations.
Procedura di importazione di Google Security Operations
La modalità di importazione di Google Security Operations include i seguenti tipi di dati importazione:
Importazione di log non elaborati in Google Security Operations: i log non elaborati vengono importati utilizzando i forwarder SIEM di Google Security Operations, l'API di importazione, direttamente da Google Cloud o utilizzando un feed di dati.
Importazione di avvisi generati da altri SIEM: gli avvisi generati in altri SIEM vengono importati nel seguente modo:
- Google Security Operations importa avvisi da altri sistemi SIEM, EDR o sistemi di gestione dei ticket utilizzando i connettori SOAR di Google Security Operations o i webhook SOAR di Google Security Operations.
- Google Security Operations SOAR importa gli eventi associati agli avvisi e crea un rilevamento corrispondente.
- Google Security Operations SOAR elabora gli avvisi e gli eventi importati.
I clienti possono creare regole del motore di rilevamento per identificare i pattern negli eventi importati e generare ulteriori rilevamenti.